Windows10 ユーザーアカウント制御 UAC 完全無効化のセキュリティリスク

Windows10 ユーザーアカウント制御 UAC 完全無効化のセキュリティリスクについての情報になります。

Windows10についてはセキュリティの観点からUACを無効にして運用しているところは少ないとは思いますが、Windows Server 2016やWindows Server 2019などは、アプリケーションインストール時にポップアップが煩わしいとか、権限エラーがでるので、無効にしているケースがあるかもしれません。

IPAの情報になりますが、UACが有効の場合、マルウェア感染によるリスクを軽減できるとあります。

1.1.1.3 ビルトイン Administrator へのブルートフォース攻撃（総当たり攻撃）

ビルトイン Administrator はアカウントロックアウト設定ができないため、ブルートフォース攻撃が可能です。

リモートデスクトップ接続 (RDP)、PowerShell (PsSession)、PSEXECなどのリモート接続で実行されます。また、クラウド上の Public IPを持つ仮想マシンに対する RDP でのブルートフォース攻撃は頻繁に実施されることが知られています。

ビルトイン Administrator 以外のコマンドラインによるリモート接続は、通常、UACが適用されるため、マルウェアによる接続を緩和することができますが、ビルトイン Administrator は UAC が適用されないため危険です。

また、NTLM ハッシュが窃取された場合、オフラインで解析するという手法が知られています。この場合、8桁複雑なパスワードでも、2.5時間で解析可能だとの報告があります。