Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 5.2

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.

Обязательно для implementation Group 2 3

Связанные защитные меры

	Название	Дата	Влияние
Community 18 7 / 35	Настройка безопасной конфигурации для серверов ОС Linux Разово Вручную Техническая Превентивная 16.05.2022	16.05.2022	18 7 / 35
Цель: сокращение поверхности атаки. Часть общего процесса управления безопасностью конфигураций (Hardening). Общий алгоритм: Определить, задокументировать требования к безопасности конфигурации. Применить безопасную конфигурацию на существующих хостах. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям. Источником для формирования требований к безопасности конфигурации служат: Руководства по настройке безопасности от производителя (например, Red Hat Enterprise Linux Security guide); Руководства по настройке безопасности (например, CIS CentOS Linux Benchmarks, CIS Debian Linux Benchmarks, CIS Red Hat Enterprise Linux Benchmarks, CIS Ubuntu Linux Benchmarks, SCAP Security Guide Project, FIPS for Ubuntu); Рекомендации регулирующих органов и отрасли; Собственные наработки и решения. Документирование требований осуществляется в зависимости от принятых подходов в организации. Вариант реализации: описать требования в карточке защитной меры. Пример документа Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами. Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере. Минимальные требования к безопасной конфигурации: Изменить пароли по умолчанию. Настроить SSH Настроить сложность паролей Настроить смену (жизненный цикл) паролей Настроить политику аутентификации Отключить или удалить ненужные учетные записи пользователей Отключить или ограничить ненужные службы, порты и протоколы Удалить ненужное программное обеспечение При необходимости ограничить физические порты Настроить баннеры при входе В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены: Подключение хоста к корпоративной системе мониторинга Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) Конфигурация NTP и часового пояса Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible). Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций. Показателем эффективности процесса может являться: - общий процент соответствия требованиям (суммарно по всем хостам), - процент хостов, соответствующих требованиям. *Рекомендации к заполнению карточки:* Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой. Описать принятый в компании перечень требований к безопасности конфигурации. Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент Добавить шаблон регулярной задачи по проверке конфигураций. Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community 2 17 / 57	Настройка контроля учетных записей (UAC) в ОС Windows Постоянно Автоматически Техническая Превентивная 24.02.2022	24.02.2022	2 17 / 57
Цель: полноценная настройка контроля учетных записей (User Access Control, UAC) для защиты от несанкционированного повышения привилегий пользователем (злоумышленником). Реализуется через настройку групповой политики домена, на уровне серверов и рабочих станций. Возможна реализация через наложенные средства защиты от НСД, типа Secret Net и Dallas Lock. 1. Повышение прав только для подписанных и проверенных исполняемых файлов Следует отключить проверку цепочки сертификатов PKI до разрешения запуска заданного исполняемого файла. ОС Windows обеспечивает проверку подписи для инфраструктуры общедоступных ключей (PKI) для любого интерактивного приложения, которое запрашивает повышение привилегий. Вы можете управлять приложениями, которые разрешены для работы с населением сертификатов в хранилище доверенных издателей локального компьютера. Доверенный издатель — это эмитент сертификатов, которому пользователь компьютера доверяет, и у него есть сведения о сертификате, добавленные в хранилище доверенных издателей. Пользователи и администраторы по своей сути доверяют приложениям, используемым с этими источниками информации, и предоставляют свои учетные данные. Если одно из этих приложений будет заменено приложением-изгоем, которое кажется идентичным надежному приложению, конфиденциальные данные могут быть скомпрометированы, а административные учетные данные пользователя также будут скомпрометированы. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Повышение прав только для подписанных и проверенных исполняемых файлов. Значение: Отключен` 2. Повышать права для UIAccess-приложений только при установке в безопасных местах Microsoft UI Automation — это текущая модель для поддержки требований к доступности в Windows операционных системах. Приложения, запрашивающие работу с уровнем целостности UIAccess, помеченные UIAccess=true в манифесте приложения, должны находиться в безопасном расположении в файловой системе. Относительно безопасные расположения ограничены следующими каталогами: \Program Files\ включая подтеки \Windows\system32\ \Program Files (x86)\ включая подтеки для 64-битных версий Windows Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Повышать права для UIAccess-приложений только при установке в безопасных местах. Значение: Включен` 3. Включен режим одобрения повышения привилегий Необходимо чтобы встроенная учетная запись администратора входила в режим утверждения администратора так, чтобы любая операция, требуемая для повышения привилегий, отображала запрос, который предоставляет администратору возможность разрешить или запретить повышение привилегии. Т.е. по умолчанию любая операция, требующая повышения прав, предлагает пользователю подтвердить операцию. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора. Значение: Включен` 4. Определено поведение запроса на повышение прав для администраторов Определить поведение запроса на повышение прав администраторам: требовать запрос учетных данных. В этом случае операция, требуемая повышения привилегий, побуждает администратора вводить имя пользователя и пароль. Если администратор вводит допустимые учетные данные, операция продолжается с применимой привилегией. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором. Значение: Запрос учетных данных` 5. Определено поведение запроса на повышение прав для пользователей Требуется определить поведение запроса на повышение прав пользователям: автоматически отклонять запросы на повышение прав. При попытке выполнить операцию, требуемую повышения привилегий, возвращает сообщение об ошибке "Отказано в доступе" стандартным пользователям. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Поведение запроса на повышение прав для обычных пользователей. Значение: Автоматически отклонять запросы на повышение прав` 6. Все администраторы работают в режиме одобрения администратором Для безопасного выполнения операций необходимо контролировать утверждения прав администратора для встроенной учетной записи администратора. Встроенная учетная запись администратора должна использовать режим утверждения. По умолчанию любая операция, требуемая повышения привилегий, будет побуждать пользователя одобрить операцию. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Все администраторы работают в режиме одобрения администратором. Значение: Включен` 7. Переключение к безопасному рабочему столу при выполнении запроса на повышение прав Необходимо определить, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на защищенный рабочий стол. Защищенный рабочий стол ограничивает функциональность и доступ к системе до тех пор, пока требования не будут выполнены. Основное отличие защищенного рабочего стола от рабочего стола пользователя состоит в том, что здесь разрешено запускать только доверенные процессы, которые запускаются в системе (то есть на уровне привилегий пользователя ничего не работает). Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Переключение к безопасному рабочему столу при выполнении запроса на повышение прав. Значение: Включен` 8. Виртуализация сбоев записи в файл или реестр на основании расположений пользователя Следует управлять перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Эта мера позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software\ Сбои записи приложений должны перенаправляться во время выполнения в определенные пользователем расположения в файловой системе и реестре. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: При сбоях записи в файл или реестр виртуализация в место размещения пользователя. Значение: Включен` 9. Запретить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол Необходимо контролировать, могут ли программы доступности пользовательского интерфейса (UIAccess или UIA) автоматически отключать безопасный рабочий стол для повышения прав, у стандартных пользователей. По умолчанию в ОС Windows отключено данное поведение. Защищенный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики 'Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав'. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. Параметр: Контроль учетных записей: Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол. Значение: Отключен` *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 2 21 / 102	Ограничение запуска неизвестного ПО с помощью Windows SmartScreen Постоянно Автоматически Техническая Превентивная 16.02.2022	16.02.2022	2 21 / 102
Цель: запрет выполнения неизвестного ПО на ПК и серверах под управлением ОС Windows. Windows SmartScreen повышает безопасность ПК, предупреждая пользователей перед запуском неопознанных программ, загруженных из Интернета. При этом в Майкрософт отправляются сведения о файлах и программах, выполняемых на ПК с включенной функцией SmartScreen. Если этот параметр политики включен, поведением Windows SmartScreen можно управлять путем установки одного из следующих параметров: Требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО Предупреждать пользователя, прежде чем выполнять загруженное неизвестное ПО Выключить SmartScreen Настройка с помощью групповой политики: `Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Проводник. Параметр: Настроить Windows SmartScreen. Значение: Включено, требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО` Подробнее: Фильтр SmartScreen в Microsoft Defender *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 3 3 / 29	Приведение конфигурации IP телефонов в соответствие требованиям безопасности Ежегодно Вручную Техническая Превентивная 29.07.2021	29.07.2021	3 3 / 29
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации. Пример требований безопасности к конфигурации IP телефонов: Смена пароля для учетной записи администратора Обновление прошивки IP телефонов до крайней стабильной версии Отключение неиспользуемых/небезопасных портов/протоколов HTTP (порт 80) Telnet (порт 23) VxWorks debugger (порт 17185) Настройка встроенного межсетевого экрана Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link). Инструкция к регулярной задаче Найти в локальной сети все IP телефоны Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24 Проверить текущие настройки и версию прошивки. Если требуется - провести настройку в соответствии с установленными требованиями *Рекомендации к заполнению карточки:* Описать требования к безопасной конфигурации Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;
Community 1 9 / 41	Резервное копирование и архивирование конфигураций сетевого оборудования Еженедельно Автоматически Восстанавливающая 26.07.2021	26.07.2021	1 9 / 41
Цель: сохранение возможности быстрого восстановления конфигурации сетевого оборудования (при сбросе, сбое или замене оборудования). С заданной периодичностью со всего сетевого оборудования (коммутаторов и маршрутизаторов) собирается текущая конфигурация. Пример реализации для оборудования Cisco - в заметке. Собираются: Конфигурация (show running-config view full) Таблицы соединений с другим коммутационным оборудованием (show cdp neighbors detail) Таблицы розданных IP по DHCP (show ip dhcp binding) Таблицы подключенных MAC адресов (show mac address-table) Глубина хранения архивных версий: N лет. Место хранения резервных копий: XXX. Примечание: доступ к месту хранения скрипта и резервных копий должен быть ограничен. Проверка работоспособности защитной меры: Проверить, что список проверяемых коммутаторов соответствует актуальному Проверить, что подключения проходят успешно (смотреть логи отработки скрипта); Проверить, что конфигурации собираются успешно (проверить каталог с результатами). *Рекомендации к заполнению карточки:* Описать методологию выполнения, хранения и проверки резервных копий конфигураций; Добавить шаблон регулярной задачи на выполнение и проверку резервных копий конфигураций; Если ведется реестр скриптов - привязать соответствующий скрипт к карточке как инструмент.
Community 1 1 / 16	Блокировка возможности удаленного подключения к ПК через RDP Shadow Разово Автоматически Техническая Превентивная 22.06.2021	22.06.2021	1 1 / 16
Цель: защита от бокового перемещения злоумышленника с использованием функционала RDP Shadow. Протокол RDP позволяет осуществлять удаленное подключение к сессии пользователя. По умолчанию в ОС Windows возможность включена с запросом на подтверждение от пользователя. В случае корректировки параметра на уровне ПК возможно последующее незаметное подключение к сессии пользователя. Необходимо принудительно отключить данную возможность. Настройка с помощью групповой политики: Конфигурация компьютера / Административные шаблоны /Компоненты Windows / Службы удаленных рабочих столов / Узел сеансов удаленных рабочих столов / Подключения Параметр Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов Значение Включено с опцией Удаленное управление не разрешено. *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 2 2 / 17	Включение подписи SMB пакетов Разово Вручную Техническая Превентивная 15.06.2021	15.06.2021	2 2 / 17
Цель: уменьшение поверхности для сетевых атак. Подписание SMB (server message block signing, SMB signing) это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB. По умолчанию в современных ОС Windows подписание пакетов включено. Но с целью повышения скорости работы сети или для обеспечения совместимости с устаревшим ПО подписание SMB может быть отключено. Необходимо принудительно через GPO включить подписание SMB пакетов на всех ПК и серверов. Так же необходимо включить подписание как входящих так и исходящих пакетов. Внимание: подписание SMB требует значительных системных ресурсов и может оказать негативное влияние на работоспособность инфраструктуры. Подробнее Настройка с помощью групповой политики: Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности Параметр: Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) Значение: Включено Параметр: Сетевой клиент Майкрософт: использовать цифровую подпись (всегда) Значение: Включено *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 2 2 / 17	Перевод доменной аутентификации на Kerberos (отключение NTLM) Разово Вручную Техническая Превентивная 15.06.2021	15.06.2021	2 2 / 17
Цель: уменьшение поверхности атаки. Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак. Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos. Частичной реализацией меры может являться отключение только протокола NTLMv1. Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов. Подробнее о процессе отключения NTLM *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 1 1 / 16	Отключение протокола NBT-NS на ПК и серверах Windows Разово Автоматически Техническая Превентивная 15.06.2021	15.06.2021	1 1 / 16
Цель: уменьшение поверхности для сетевых атак. Протокол NetBIOS over TCP/IP или NBT-NS (UDP/137,138; TCP/139) является широковещательным протоколом-предшественником LLMNR. Поддержка NetBIOS over TCP/IP по умолчанию включена для всех интерфейсов во всех ОС Windows и нужна чтобы компьютеры в локальной сети могли найти друг друга в случае недоступности DNS сервера. Протокол уязвим к атакам NBNS-спуфинга, позволяющим получить хеши паролей пользователей. Для исключения возможности атаки протокол необходимо отключать. Отключение осуществляется через запуск скрипта на всех ПК и серверах инфраструктуры. Реализация на PowerShell: `//PowerShell $regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces" Get-ChildItem $regkey \|foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}` Реализация на BAT/CMD: //CMD @echo off :checkpermissions net.exe session >nul 2>&1 \|\| (echo Ошибка! Запустите скрипт от имени администратора. & exit /b 1) set "hive=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces" set "regv=NetbiosOptions" setlocal EnableDelayedExpansion set "iface=" & set "nbopt=" for /f "tokens=" %%a in ('reg.exe query "%hive%" /s /v "%regv%" 2^>nul') do ( set "regd=%%~a" if not "!regd!" == "!regd:%hive%=!" (set "iface=!regd!") else if not "!regd!" == "!regd:%regv%=!" (set "nbopt=!regd!") if defined iface if defined nbopt ( for /f "tokens=3" %%b in ("!nbopt!") do if not "%%~b" == "0x2" ( echo ^> !iface!\%regv% = 2 reg.exe add "!iface!" /v "%regv%" /t REG_DWORD /d 2 /f ) set "iface=" & set "nbopt=" ) ) endlocal Реализация на VBScript: `//VBS cscript.exe /nologo "%vbs%" > "%tmplog%" 2>&1 Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2") Set colNetCards = objWMIService.ExecQuery _ ("Select From Win32_NetworkAdapterConfiguration Where IPEnabled = True And TcpipNetbiosOptions != 2") For Each objNetCard in colNetCards objNetCard.SetTCPIPNetBIOS(2) WScript.Echo objNetCard.Caption & " -- Ok" Next` *Рекомендации к заполнению карточки:* Описать выбранный способ реализации меры Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 1 1 / 16	Отключение протокола LLMNR на ПК и серверах Windows Разово Автоматически Техническая Превентивная 15.06.2021	15.06.2021	1 1 / 16
Цель: уменьшение поверхности для сетевых атак Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) это механизм многоадресного разрешения локальных имен. Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS. Протокол уязвим к атаке LLMNR/NBNS-спуфинга через которую возможна компрометация хешей паролей пользователей. Для исключения возможности атаки протокол необходимо отключить и на уровне рабочих станций и на уровне серверов. Настройка с помощью групповой политики: `Computer Configuration\Administrative Templates\Network\DNS Client Параметр: Turn Off Multicast Name Resolution Значение: Enabled Конфигурация компьютера\Политики\Административные шаблоны\Сеть\DNS-клиент Параметр: Отключить многоадресное разрешение имен Значение: Включено` Статья на тему *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 5.2

Похожие требования

Связанные защитные меры