Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Настройка безопасного канала для обмена данными в домене Active Directory

Цель: безопасность обмена данными между членами домена.
При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала связи с контроллером домена используется пароль учетной записи компьютера.
Безопасный канал используется в доменной инфраструктуре для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д.

1. Цифровая подпись или шифрование данных для организации безопасного канала
Весь трафик безопасного канала, инициированного членом домена, подписывается или шифруется. Безопасный канал не будет установлен до тех пор, пока не будет согласовано либо подписание, либо шифрование всего его трафика. Учетные данные, передаваемые по безопасному каналу, всегда шифруются, независимо от согласования шифрования остального трафика.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Всегда требуется цифровая подпись или шифрование потока данных безопасного канала. 
Значение: Включен
Подробнее на сайте Microsoft

2. Шифрование данных безопасного канала
Член домена пытается согласовать шифрование всего трафика безопасного канала, который он инициирует.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Шифрование данных безопасного канала, когда это возможно.
Значение: Включен
Подробнее на сайте Microsoft

3.Стойкий ключ сеанса для зашифрованных данных безопасного канала
Для зашифрованных данных безопасного канала устанавливается 128-разрядный ключ.
Чтобы использовать этот параметр на рабочих станциях и серверах, входящих в домен, все контроллеры, формирующие домен, должны работать под управлением операционной системы Windows 2000 или более поздней версии.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Требовать стойкий ключ сеанса (Windows 2000 или выше).
Значение: Включен
Подробнее на сайте Microsoft

Рекомендации к заполнению карточки:
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри орган...
Превентивная ? Превентивные меры Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо. Примеры: Межсетевые экраны; Системы предотвр...
Реализация
Автоматически
Периодичность
Постоянно
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

NIST Cybersecurity Framework (RU):
PR.AC-7
PR.AC-7: Пользователи, устройства и другие активы проходят аутентификацию (например, однофакторную, многофакторную), соизмеримую с риском транзакции (например, рисками безопасности и конфиденциальности отдельных лиц и другими организационными рисками)
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.1 ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.1 ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
SWIFT Customer Security Controls Framework v2022:
2 - 2.1 Internal Data Flow Security
2.1 Internal Data Flow Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.1 ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
NIST Cybersecurity Framework (EN):
PR.AC-7 PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.1 ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Обход систем защиты из-за возможности использования скомпрометированных билетов Kerberos в ОС Windows
Повышение привилегий Целостность
Обход систем защиты
Повышение привилегий Целостность
Возможность использования скомпрометированных билетов Kerberos ОС Windows 1
Боковое перемещение злоумышленника по локальной сети из-за возможности использования скомпрометированных билетов Kerberos в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Возможность использования скомпрометированных билетов Kerberos ОС Windows 2