権限昇格対策
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「権限昇格対策」の解説
攻撃者は権限昇格の為ユーザ端末にキャッシュされている管理者権限のアカウント情報を窃取しようとするので、これを防ぐために、ユーザ端末で使用するアカウント権限を必要最低限にする必要がある。 具体的には、ユーザ端末で使用するアカウントはDomain Usersグループ(ユーザ端末の一般ユーザ権限を持つグループ)に登録していかなる管理者権限を付与せず、ユーザ端末のメンテナンスを行うアカウントはOperatorsグループ(ユーザ端末のローカル管理者権限を持つグループ)に登録してDomain Adminsグループなどドメインの管理者権限を持つグループには登録しないようにする。またユーザ端末のローカル管理者などそれ以外のローカルアカウントは、トラップアカウント以外原則全て無効にする。 ドメイン管理者アカウントは可能な限り利用しないようにし、ドメイン管理者権限が必要な作業を運用記録として管理し、Active Directoryの認証ログと月に一度など定期的に突き合わせて、ドメイン管理者権限の不正利用がないか確認する必要がある。運用記録の負荷軽減のため、システム管理製品のメッセージ監視機能等を使ってActive DirectoryのDomain Adminsグループのログイン履歴を監視し、ログインした事実を管理者に送信する事で実作業と突き合わせるようにするとよい。
※この「権限昇格対策」の解説は、「サイバーセキュリティ」の解説の一部です。
「権限昇格対策」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- 権限昇格対策のページへのリンク
