安全なログオン手順 2004/08/26 Port139 伊原 秀明 ログオンの危険性 • ログオン操作により、仕掛けられた罠を 実行してしまう可能性がある • 罠を仕掛けられる箇所(プログラムの自 動実行機能)が数多く存在 • ログオン前に罠の存在を確認することが 困難 • 罠が確認できたとして,それを外すことに 問題はないのか? © Hideaki Ihara(Port139). 2 ログオンの影響 • ログオン操作により,証拠となるデータを 変更・喪失する危険性がある • ログオン操作に伴うディスクへの書込み (削除ファイル復元への影響) • コマンド実行の影響で変化する MAC Time © Hideaki Ihara(Port139). 3 ログオンの必要性 • ログオンした状態でなければ得られない情報(揮発 性情報など)を保全する場合にはログオンが必要と なる • 例:メモリ上にのみ証拠となるデータが存在するよう な場合(電源断により失われてしまう) • ログオンして得られる証拠と、ログオンにより失われ る証拠・危険性を比較し判断すること • 本当にデータを保全する必要があるのか? (ログオンの危険を冒す価値があるか?) © Hideaki Ihara(Port139). 4 ログオンの事前準備 • ログオンし証拠保全などを行うのであれば事 前に準備を行うこと • ログオン手順を事前に文書化しておく • ログオンに利用するアカウント • ログオンに利用する手段 • 操作の記録方法 © Hideaki Ihara(Port139). 5 ログオンに利用するアカウント • インシデント対応/調査用に専用のアカウント を事前に登録しておく • ログオンには、既知の管理者アカウントは利 用しないこと • 専用アカウントを悪用されないよう厳重に管 理する(パスワードの分割管理等) • 但し、意図的なアカウント削除や名前変更に より利用できない可能性もある © Hideaki Ihara(Port139). 6 ログオン手段(Windows) • インシデント対応/調査用に専用のログオン手段を 準備しておく • ログオンスクリプト,スタートアップ,Runキー(レジスト リ)など,自動実行される機能は危険なので回避でき る手段を選択すること 例:Ctrl + OK でスタートアップの回避が可能 • CUIベースのログオン手段は、GUIと比較するとト ラップを実行する可能性が低い (記録が取りやすいメリットもある) © Hideaki Ihara(Port139). 7 Telnetサービスの利用(1) • Windows 2000以降に標準実装されている Telnetサービスを利用し,リモートホストからロ グオンする • 標準機能のみで実現可能,追加費用が発生し ない • CUIベースで操作記録が取りやすい • 利用できるクライアントソフトが豊富 • 各種OSから利用できる • TelnetではCUIコマンドのみ利用可能 © Hideaki Ihara(Port139). 8 Telnetサービスの利用(2) • デフォルトではサービスが有効になっていない • 設定を行いサービスを開始しておく必要がある • Telnetサーバ管理ツール,Tlntadmn.exe,レジストリエディタな どを利用して設定を行う • Telnet Serverサービスのレジストリ エントリについて http://support.microsoft.com/default.aspx?kbid=226107 • レジストリキーと主に変更が必要な値 HKEY_LOCAL_MACHINE\Software\Microsoft\TelnetServer\1.0 DefaultShell:デフォルトのシェル(CMD.EXE) LoginScript:ログインスクリプト(System32\login.cmd) TelnetPort:ポート番号(23/tcp) NTLM認証モード(0,1,2) © Hideaki Ihara(Port139). 9 Telnetサービスの利用(3) • Telnetではユーザー名とパスワード,データが平文で ネットワーク上を流れる! (経路途中での盗聴、改ざん対策は別途実施) • Telnetサービスを悪用されないように管理する • NTLM認証はパスワードが暗号化される • Windowsにおけるデフォルト認証モード (a)Windows 2000(NTLM認証を要求) (b)Windows XP(NTLM認証失敗後は平文認証へ) (c)Windows Server 2003 • 認証モードは平文を利用するモードへ変更 © Hideaki Ihara(Port139). 10 Telnetサービスの利用(4) • 不正アクセス者によるTelnetサービスの悪用を防ぐ 工夫 • 安全なCMD.EXEを実行するよう、シェルのパスをデ フォルトから変更する • 例)CD-ROM(eドライブ)へ設定を変更 DefaultShell = e:\cmd.exe /K /D LoginScript = e:\login.cmd • FD,CD-ROMが挿入されていなければTelnetサービ スを開始(ログオン)できない • ポート番号も変更しておくとなお良い © Hideaki Ihara(Port139). 11 Telnetサービスの利用(5) • CMD.EXEは起動時にAutoRunキーに設 定されたプログラムを実行する HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun • 悪意のあるプログラムを実行する危険 性がある! • /Dオプションを指定し、AutoRunコマンド の実行を無効化すること © Hideaki Ihara(Port139). 12 Telnetサービスの利用(6) • login.cmdの調整 • バナーの表示(目的外使用の禁止) • prompt命令の実行(日時の表示) $D 現在の日付 $G > (不等号 (より大)) $P 現在のドライブとパス $S (空白) $T 現在の時刻 prompt $D$S$T$S$P$G 2002/03/03 12:36:15.78 C:\temp> • pathの設定(安全なプログラムを実行) © Hideaki Ihara(Port139). 13 Telnetサービスの利用(7) • Telnet接続のログは保存しておく • ログ機能のあるソフトを利用 • ログは接続元で保存すること (ログオン先に書き込まないこと) © Hideaki Ihara(Port139). 14 Telnetログオン(図) ログオン先 ログオン Telnet クライアント コマンド結果や, 揮発性情報を保存 安全なCMD.EXEなどを含むCD-ROM © Hideaki Ihara(Port139). 操作を記録する 15 手順通り進まない場合 • 意図的な妨害や、トラブルにより事前に準備 したログオン手段が利用できない場合もあり える • 失敗した作業を記録へ残しておくこと © Hideaki Ihara(Port139). 16 事前の準備がない環境 • 安全なログオン手段,アカウントが用意されて いない環境 • 選択肢は二つ • 最悪の被害を覚悟しつつログオンする • ログオンせず電源断する (HDDの内容を調査する) © Hideaki Ihara(Port139). 17 補足(a) • ログオン先にて通信履歴(TCP/IPトラフィック ログ)を記録している場合 • ネットワーク経由のログオンによりディスクへ の書込みが発生する • 大量のデータ通信を行うとログの循環や溢れ を発生させる危険性がある © Hideaki Ihara(Port139). 18 補足(b) • 常にログオンした状態(コンソール)を維持し、 それを利用しては? • 常に利用できるとは限らない (意図的な再起動などで利用不可に) © Hideaki Ihara(Port139). 19 補足(c) • シリアルポートからログオンするには? • リモートコンソールパック(沖電気) http://www.oki.com/jp/FSC/soft/rc.htm 1ライセンス 19,000円 © Hideaki Ihara(Port139). 20
© Copyright 2024 ExpyDoc