Куда я попал?
Цель: безопасность обмена данными между членами домена.
При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала связи с контроллером домена используется пароль учетной записи компьютера.
Безопасный канал используется в доменной инфраструктуре для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д.
1. Цифровая подпись или шифрование данных для организации безопасного канала
Весь трафик безопасного канала, инициированного членом домена, подписывается или шифруется. Безопасный канал не будет установлен до тех пор, пока не будет согласовано либо подписание, либо шифрование всего его трафика. Учетные данные, передаваемые по безопасному каналу, всегда шифруются, независимо от согласования шифрования остального трафика.
Настройка с помощью групповой политики:
При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала связи с контроллером домена используется пароль учетной записи компьютера.
Безопасный канал используется в доменной инфраструктуре для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д.
1. Цифровая подпись или шифрование данных для организации безопасного канала
Весь трафик безопасного канала, инициированного членом домена, подписывается или шифруется. Безопасный канал не будет установлен до тех пор, пока не будет согласовано либо подписание, либо шифрование всего его трафика. Учетные данные, передаваемые по безопасному каналу, всегда шифруются, независимо от согласования шифрования остального трафика.
Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Член домена: Всегда требуется цифровая подпись или шифрование потока данных безопасного канала.
Значение: Включен
Подробнее на сайте Microsoft
2. Шифрование данных безопасного канала
Член домена пытается согласовать шифрование всего трафика безопасного канала, который он инициирует.
Настройка с помощью групповой политики:
2. Шифрование данных безопасного канала
Член домена пытается согласовать шифрование всего трафика безопасного канала, который он инициирует.
Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Член домена: Шифрование данных безопасного канала, когда это возможно.
Значение: Включен
Подробнее на сайте Microsoft
3.Стойкий ключ сеанса для зашифрованных данных безопасного канала
Для зашифрованных данных безопасного канала устанавливается 128-разрядный ключ.
Чтобы использовать этот параметр на рабочих станциях и серверах, входящих в домен, все контроллеры, формирующие домен, должны работать под управлением операционной системы Windows 2000 или более поздней версии.
Настройка с помощью групповой политики:
3.Стойкий ключ сеанса для зашифрованных данных безопасного канала
Для зашифрованных данных безопасного канала устанавливается 128-разрядный ключ.
Чтобы использовать этот параметр на рабочих станциях и серверах, входящих в домен, все контроллеры, формирующие домен, должны работать под управлением операционной системы Windows 2000 или более поздней версии.
Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Член домена: Требовать стойкий ключ сеанса (Windows 2000 или выше).
Значение: Включен
- Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Область действия: Вся организация
Классификация
Тип
Техническая
?
Превентивная
?
Реализация
Автоматически
Периодичность
Постоянно
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
NIST Cybersecurity Framework (RU):
PR.AC-7
PR.AC-7: Пользователи, устройства и другие активы проходят аутентификацию (например, однофакторную, многофакторную), соизмеримую с риском транзакции (например, рисками безопасности и конфиденциальности отдельных лиц и другими организационными рисками)
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
SWIFT Customer Security Controls Framework v2022:
2 - 2.1 Internal Data Flow Security
2.1 Internal Data Flow Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
NIST Cybersecurity Framework (EN):
PR.AC-7
PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
Связанные риски
Риск | Связи | |
---|---|---|
Обход систем защиты из-за
возможности использования скомпрометированных билетов Kerberos в ОС Windows
Повышение привилегий
Целостность
|
1 | |
Боковое перемещение злоумышленника по локальной сети из-за
возможности использования скомпрометированных билетов Kerberos в ОС Windows
Конфиденциальность
Целостность
|
2 |