Куда я попал?
Цель: уменьшение поверхности для сетевых атак.
Подписание SMB (server message block signing, SMB signing) это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB.
По умолчанию в современных ОС Windows подписание пакетов включено. Но с целью повышения скорости работы сети или для обеспечения совместимости с устаревшим ПО подписание SMB может быть отключено.
Необходимо принудительно через GPO включить подписание SMB пакетов на всех ПК и серверов. Так же необходимо включить подписание как входящих так и исходящих пакетов.
Внимание: подписание SMB требует значительных системных ресурсов и может оказать негативное влияние на работоспособность инфраструктуры.
Подробнее
Настройка с помощью групповой политики:
Подписание SMB (server message block signing, SMB signing) это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB.
По умолчанию в современных ОС Windows подписание пакетов включено. Но с целью повышения скорости работы сети или для обеспечения совместимости с устаревшим ПО подписание SMB может быть отключено.
Необходимо принудительно через GPO включить подписание SMB пакетов на всех ПК и серверов. Так же необходимо включить подписание как входящих так и исходящих пакетов.
Внимание: подписание SMB требует значительных системных ресурсов и может оказать негативное влияние на работоспособность инфраструктуры.
Подробнее
Настройка с помощью групповой политики:
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности
Параметр: Сетевой сервер Майкрософт: использовать цифровую подпись (всегда)
Значение: Включено
Параметр: Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
Значение: ВключеноРекомендации к заполнению карточки:
- Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Область действия: Вся организация
Классификация
Тип
Техническая
?
Превентивная
?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.7
ИАФ.7 Защита аутентификационной информации при передаче
Связанные риски
| Риск | Связи | |
|---|---|---|
|
Раскрытие ключей (паролей) доступа из-за
возможности атаки SMB Relay в ОС Windows
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
2 | |
|
Несанкционированное сетевое подключение к ОС из локальной сети из-за
возможности атаки SMB Relay в ОС Windows
НСД
|
2 |