Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям CIS Critical Security Controls... 3.3
Группы требований Все документы
Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

CIS Critical Security Controls v8 (The 18 CIS CSC)

Framework

3.3

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

NIST Cybersecurity Framework (RU):
PR.AC-4
PR.AC-4: При предоставлении разрешения на доступ и авторизации используется принцип наименьших привилегий и разделения обязанностей
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.9.1.1 A.9.1.1 Политика контроля доступа
Средства реализации: Политика контроля доступа должна быть сформулирована, документирована и пересматриваться с точки зрения требований бизнеса и информационной безопасности.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.6 CSC 14.6 Protect Information Through Access Control Lists
Protect all information stored on systems with file system, network share, claims, application, or database specific access control lists. These controls will enforce the principle that only authorized individuals should have access to the information based on their need to access the information as a part of their responsibilities.
SWIFT Customer Security Controls Framework v2022:
5 - 5.1 Logical Access Control
5.1 Logical Access Control
NIST Cybersecurity Framework (EN):
PR.AC-4 PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстанавливающая Удерживающая Компенсирующая
Название Дата Влияние
Community
1 8 / 49
Блокировка возможности удаленного завершения работы в ОС Windows
Постоянно Автоматически Техническая Превентивная
25.02.2022 		25.02.2022 1 8 / 49
Цель: запрет удаленного завершения работы ОС Windows всем группам пользователей кроме локальных администраторов.
Любой пользователь, который может отключить устройство, может вызвать отказ в обслуживании как самого оборудования, операционной системы, так и работающих на данной ОС сервисов и приложений. Поэтому право на удаленное завершение работы и перезагрузку должно быть строго ограничено.
Наиболее актуальна данная мера для серверных экземпляров ОС.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя.
Параметр: Принудительное удаленное завершение работы.
Значение: Администраторы

Рекомендации к заполнению карточки:
Community
2 17 / 54
Настройка контроля учетных записей (UAC) в ОС Windows
Постоянно Автоматически Техническая Превентивная
24.02.2022 		24.02.2022 2 17 / 54
Цель: полноценная настройка контроля учетных записей (User Access Control, UAC) для защиты от несанкционированного повышения привилегий пользователем (злоумышленником).
Реализуется через настройку групповой политики домена, на уровне серверов и рабочих станций.
Возможна реализация через наложенные средства защиты от НСД, типа Secret Net и Dallas Lock.

1. Повышение прав только для подписанных и проверенных исполняемых файлов
Следует отключить проверку цепочки сертификатов PKI до разрешения запуска заданного исполняемого файла.
ОС Windows обеспечивает проверку подписи для инфраструктуры общедоступных ключей (PKI) для любого интерактивного приложения, которое запрашивает повышение привилегий. Вы можете управлять приложениями, которые разрешены для работы с населением сертификатов в хранилище доверенных издателей локального компьютера.
Доверенный издатель — это эмитент сертификатов, которому пользователь компьютера доверяет, и у него есть сведения о сертификате, добавленные в хранилище доверенных издателей.
Пользователи и администраторы по своей сути доверяют приложениям, используемым с этими источниками информации, и предоставляют свои учетные данные. Если одно из этих приложений будет заменено приложением-изгоем, которое кажется идентичным надежному приложению, конфиденциальные данные могут быть скомпрометированы, а административные учетные данные пользователя также будут скомпрометированы.

Настройка с помощью групповой политики: 
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Повышение прав только для подписанных и проверенных исполняемых файлов.
Значение: Отключен

2. Повышать права для UIAccess-приложений только при установке в безопасных местах
Microsoft UI Automation — это текущая модель для поддержки требований к доступности в Windows операционных системах.
Приложения, запрашивающие работу с уровнем целостности UIAccess, помеченные UIAccess=true в манифесте приложения, должны находиться в безопасном расположении в файловой системе.
Относительно безопасные расположения ограничены следующими каталогами:
  • \Program Files\ включая подтеки
  • \Windows\system32\
  • \Program Files (x86)\ включая подтеки для 64-битных версий Windows
Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
 Параметр: Контроль учетных записей: Повышать права для UIAccess-приложений только при установке в безопасных местах.
 Значение: Включен

3. Включен режим одобрения повышения привилегий
Необходимо чтобы встроенная учетная запись администратора входила в режим утверждения администратора так, чтобы любая операция, требуемая для повышения привилегий, отображала запрос, который предоставляет администратору возможность разрешить или запретить повышение привилегии. Т.е. по умолчанию любая операция, требующая повышения прав, предлагает пользователю подтвердить операцию.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора.
Значение: Включен

4. Определено поведение запроса на повышение прав для администраторов
Определить поведение запроса на повышение прав администраторам: требовать запрос учетных данных. В этом случае операция, требуемая повышения привилегий, побуждает администратора вводить имя пользователя и пароль. Если администратор вводит допустимые учетные данные, операция продолжается с применимой привилегией.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором.
Значение: Запрос учетных данных

5. Определено поведение запроса на повышение прав для пользователей
Требуется определить поведение запроса на повышение прав пользователям: автоматически отклонять запросы на повышение прав. При попытке выполнить операцию, требуемую повышения привилегий, возвращает сообщение об ошибке "Отказано в доступе" стандартным пользователям. 

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для обычных пользователей.
Значение: Автоматически отклонять запросы на повышение прав

6. Все администраторы работают в режиме одобрения администратором
Для безопасного выполнения операций необходимо контролировать утверждения прав администратора для встроенной учетной записи администратора. Встроенная учетная запись администратора должна использовать режим утверждения. По умолчанию любая операция, требуемая повышения привилегий, будет побуждать пользователя одобрить операцию.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Все администраторы работают в режиме одобрения администратором.
Значение: Включен

7. Переключение к безопасному рабочему столу при выполнении запроса на повышение прав
Необходимо определить, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на защищенный рабочий стол.
Защищенный рабочий стол ограничивает функциональность и доступ к системе до тех пор, пока требования не будут выполнены. Основное отличие защищенного рабочего стола от рабочего стола пользователя состоит в том, что здесь разрешено запускать только доверенные процессы, которые запускаются в системе (то есть на уровне привилегий пользователя ничего не работает). 

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Значение: Включен

8. Виртуализация сбоев записи в файл или реестр на основании расположений пользователя
Следует управлять перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Эта мера позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software\
Сбои записи приложений должны перенаправляться во время выполнения в определенные пользователем расположения в файловой системе и реестре.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: При сбоях записи в файл или реестр виртуализация в место размещения пользователя.
Значение: Включен

9. Запретить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
Необходимо контролировать, могут ли программы доступности пользовательского интерфейса (UIAccess или UIA) автоматически отключать безопасный рабочий стол для повышения прав, у стандартных пользователей. По умолчанию в ОС Windows отключено данное поведение. Защищенный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики 'Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав'.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Значение: Отключен

Рекомендации к заполнению карточки: