Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Перевод доменной аутентификации на Kerberos (отключение NTLM)

2 2

Цель: уменьшение поверхности атаки.

Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак.
Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos.
Частичной реализацией меры может являться отключение только протокола NTLMv1.
Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов.
Подробнее о процессе отключения NTLM

Рекомендации к заполнению карточки:

Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Исполнение требований

SWIFT Customer Security Controls Framework v2022:

2 - 2.3 System Hardening

2.3 System Hardening

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

ИАФ.7 ИАФ.7 Защита аутентификационной информации при передаче

Связанные риски

Риск	Связи
Раскрытие ключей (паролей) доступа из-за возможности атаки SMB Relay в ОС Windows Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя	2
Несанкционированное сетевое подключение к ОС из локальной сети из-за возможности атаки SMB Relay в ОС Windows НСД	2