SeDebugPrivilege.

保持者が LSASS を含む任意プロセスのメモリを開いて読み書きできる、極めて強力な Windows 特権。資格情報窃取を狙う攻撃者にとって最重要のターゲットとなる。 サイバーセキュリティの ID とアクセス カテゴリに属します。

保持者が LSASS を含む任意プロセスのメモリを開いて読み書きできる、極めて強力な Windows 特権。資格情報窃取を狙う攻撃者にとって最重要のターゲットとなる。

SeDebugPrivilege は Local Security Authority に定義された Windows 特権で、プロセストークンが保持していると、任意のプロセスやスレッド(SYSTEM 所有のものを含む)を PROCESS_ALL_ACCESS で開くことができます。既定ではローカル Administrators グループおよび SYSTEM プロセスにのみ付与され、Microsoft はホストの管理者権限と実質的に同等と文書化しています。Mimikatz、LSASS ダンプ用の ProcDump、EDR 製品はメモリの内省にこの特権を必要とします。攻撃者は SeDebugPrivilege を使って LSASS のダンプ、トークンハイジャック、保護プロセスへのインジェクション、セキュリティツールの無効化を行います。防御側は Windows Security ログのイベント 4673/4703 を監視し、Credential Guard を有効化し、グループポリシーで権利を剥奪します。

SeDebugPrivilege に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: SeDebug, プログラムのデバッグ権限。