Language:
マシンにログオンしているユーザーの認証情報はメモリ上で露出されることが多く、マルウェアがそれを盗み出し、ユーザーになりすますことがあります。機密性の高いビジネスデータにアクセスできる特権ユーザーは、個人情報漏洩のリスクを最小限に抑えるため、安全で信頼できるマシンにのみ接続する必要があります。技術的な対策は、このルールを実施するために存在し、この露出インジケーター (IoE) はその実施を検証するものです。
攻撃者やマルウェアが特権 ID とそれに関連するアクセス許可を盗みにくくするには、特権ユーザーが信頼されたマシン以外には接続しないようにする必要があります。「ティアモデル」を使用する特権ユーザーと信頼されたマシンが定義されたら、技術的対策を実装し、間違いが発生した場合であっても、特権ユーザーのログオン制限が日常業務で強制実行されるようにする必要があります。
ユーザー権限:ネットワークからこのコンピューターへのアクセスを拒否する(SeDenyNetworkLogonRight)
ユーザー権限:バッチジョブとしてのログオンを拒否する(SeDenyBatchLogonRight)
ユーザー権限:サービスとしてのログオンを拒否する(SeDenyServiceLogonRight)
ユーザー権限:ローカルでのログオンを拒否する(SeDenyInteractiveLogonRight)
ユーザー権限:リモートデスクトップサービスを通したログオンを拒否する(SeDenyRemoteInteractiveLogonRight)
名前: 特権ユーザーのログオン制限
コード名: C-ADMIN-RESTRICT-AUTH
深刻度: High
戦術: TA0004
テクニック: T1078
Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound
Benjamin Delpy: Mimikatz