Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Отключение протокола LLMNR на ПК и серверах Windows

1 1

Цель: уменьшение поверхности для сетевых атак

Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) это механизм многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Протокол уязвим к атаке LLMNR/NBNS-спуфинга через которую возможна компрометация хешей паролей пользователей.
Для исключения возможности атаки протокол необходимо отключить и на уровне рабочих станций и на уровне серверов.

Настройка с помощью групповой политики:

Computer Configuration\Administrative Templates\Network\DNS Client 
Параметр: Turn Off Multicast Name Resolution 
Значение: Enabled
Конфигурация компьютера\Политики\Административные шаблоны\Сеть\DNS-клиент
Параметр: Отключить  многоадресное разрешение имен 
Значение: Включено

Статья на тему

Рекомендации к заполнению карточки:

Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Реализация

Автоматически

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Исполнение требований

SWIFT Customer Security Controls Framework v2022:

2 - 2.3 System Hardening

2.3 System Hardening

Связанные риски

Риск	Связи
Перехват данных, передаваемых по локальной сети из-за возможности атаки LLMNR спуфинг в ОС Windows Конфиденциальность Раскрытие информации	1