検出

特権ユーザーのログオン制限

high

Language:

説明

マシンにログオンしているユーザーの認証情報はメモリ上で露出されることが多く、マルウェアがそれを盗み出し、ユーザーになりすますことがあります。機密性の高いビジネスデータにアクセスできる特権ユーザー​は、個人情報漏洩のリスクを最小限に抑えるため、安全で信頼できるマシンにのみ接続する必要があります​。技術的な対策​は、このルールを実施するために存在し、この露出インジケーター (IoE) はその実施を検証するものです。

ソリューション

攻撃者やマルウェアが特権 ID とそれに関連するアクセス許可を盗みにくくするには、特権ユーザーが信頼されたマシン以外には接続しないようにする必要があります。「ティアモデル」を使用する特権ユーザーと信頼されたマシンが定義されたら、技術的対策を実装し、間違いが発生した場合であっても、特権ユーザーのログオン制限が日常業務で強制実行されるようにする必要があります。

参考資料

User-Workstationsの廃止に関する通知

ユーザー権限:ネットワークからこのコンピューターへのアクセスを拒否する(SeDenyNetworkLogonRight)

ユーザー権限:バッチジョブとしてのログオンを拒否する(SeDenyBatchLogonRight)

ユーザー権限:サービスとしてのログオンを拒否する(SeDenyServiceLogonRight)

ユーザー権限:ローカルでのログオンを拒否する(SeDenyInteractiveLogonRight)

ユーザー権限:リモートデスクトップサービスを通したログオンを拒否する(SeDenyRemoteInteractiveLogonRight)

選択的認証(Windows 2003で導入)の説明

選択的認証がドメインコントローラーの動作にどのような影響を与えるか

Allowed-To-Authenticateの拡張された権限

インジケーターの詳細

名前: 特権ユーザーのログオン制限

コード名: C-ADMIN-RESTRICT-AUTH

深刻度: High

MITRE ATT&CK 情報:

戦術: TA0004

テクニック: T1078

攻撃者の既知のツール

Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound

Benjamin Delpy: Mimikatz