Куда я попал?
Цель: уменьшение поверхности атаки.
Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак.
Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos.
Частичной реализацией меры может являться отключение только протокола NTLMv1.
Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов.
Подробнее о процессе отключения NTLM
Рекомендации к заполнению карточки:
Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак.
Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos.
Частичной реализацией меры может являться отключение только протокола NTLMv1.
Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов.
Подробнее о процессе отключения NTLM
Рекомендации к заполнению карточки:
- Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Область действия: Вся организация
Классификация
Тип
Техническая
?
Превентивная
?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.7
ИАФ.7 Защита аутентификационной информации при передаче
Связанные риски
Риск | Связи | |
---|---|---|
Раскрытие ключей (паролей) доступа из-за
возможности атаки SMB Relay в ОС Windows
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
2 | |
Несанкционированное сетевое подключение к ОС из локальной сети из-за
возможности атаки SMB Relay в ОС Windows
НСД
|
2 |