Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Отключение протокола NBT-NS на ПК и серверах Windows

Цель: уменьшение поверхности для сетевых атак.

Протокол NetBIOS over TCP/IP или NBT-NS (UDP/137,138; TCP/139)  является широковещательным протоколом-предшественником LLMNR.
Поддержка NetBIOS over TCP/IP по умолчанию включена для всех интерфейсов во всех ОС Windows и нужна чтобы компьютеры в локальной сети могли найти друг друга в случае недоступности DNS сервера.
Протокол уязвим к атакам NBNS-спуфинга, позволяющим получить хеши паролей пользователей.
Для исключения возможности атаки протокол необходимо отключать.
Отключение осуществляется через запуск скрипта на всех ПК и серверах инфраструктуры.

Реализация на PowerShell:
//PowerShell
$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Реализация на BAT/CMD:
//CMD
@echo off
:checkpermissions
net.exe session >nul 2>&1 || (echo Ошибка! Запустите скрипт от имени администратора. & exit /b 1)
set "hive=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces"
set "regv=NetbiosOptions"
setlocal EnableDelayedExpansion
set "iface=" & set "nbopt="
for /f "tokens=*" %%a in ('reg.exe query "%hive%" /s /v "%regv%" 2^>nul') do (
	set "regd=%%~a"
	if not "!regd!" == "!regd:%hive%=!" (set "iface=!regd!") else if not "!regd!" == "!regd:%regv%=!" (set "nbopt=!regd!")
	if defined iface if defined nbopt (
		for /f "tokens=3" %%b in ("!nbopt!") do if not "%%~b" == "0x2" (
			echo ^> !iface!\%regv% = 2
			reg.exe add "!iface!" /v "%regv%" /t REG_DWORD /d 2 /f
		)
		set "iface=" & set "nbopt="
	)
)
endlocal

Реализация на VBScript:
//VBS 
cscript.exe /nologo "%vbs%" > "%tmplog%" 2>&1
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
Set colNetCards = objWMIService.ExecQuery _
	("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True And TcpipNetbiosOptions != 2")

For Each objNetCard in colNetCards
	objNetCard.SetTCPIPNetBIOS(2)
	WScript.Echo objNetCard.Caption & " -- Ok"
Next

Рекомендации к заполнению карточки:
  • Описать выбранный способ реализации меры
  • Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент 
Область действия: Вся организация
Классификация
Тип
Техническая ?
Превентивная ?
Реализация
Автоматически
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening