Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям NIST Cybersecurity Framework (... PR.IP-1
Группы требований Все документы
Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

NIST Cybersecurity Framework (EN)

Framework

PR.IP-1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
9.1
9.1 Ensure Use of Only Fully Supported Browsers and Email Clients 
Ensure only fully supported browsers and email clients are allowed to execute in the enterprise, only using the latest version of browsers and email clients provided through the vendor. 
4.1
4.1 Establish and Maintain a Secure Configuration Process 
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard 
9.4
9.4 Restrict Unnecessary or Unauthorized Browser and Email Client Extensions 
Restrict, either through uninstalling or disabling, any unauthorized or unnecessary browser or email client plugins, extensions, and add-on applications. 
4.8
4.8 Uninstall or Disable Unnecessary Services on Enterprise Assets and Software 
Uninstall or disable unnecessary services on enterprise assets and software, such as an unused file sharing service, web application module, or service function. 
16.7
16.7 Use Standard Hardening Configuration Templates for Application Infrastructure
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening. 
NIST Cybersecurity Framework (RU):
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.2
A.12.1.2 Процесс управления изменениями 
Мера обеспечения информационной безопасности: Необходимо обеспечить управление изменениями в организации, бизнеспроцессах, средствах обработки информации и системах, влияющих на информационную безопасность 
A.14.2.4
A.14.2.4 Ограничения на изменения пакетов программ 
Мера обеспечения информационной безопасности: Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения 
A.14.2.2
A.14.2.2 Процедуры управления изменениями системы 
Мера обеспечения информационной безопасности: Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями 
A.12.5.1
A.12.5.1 Установка программного обеспечения в эксплуатируемых системах 
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации 
A.14.2.3
A.14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы 
Мера обеспечения информационной безопасности: При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации 
A.12.6.2
A.12.6.2 Ограничения на установку программного обеспечения 
Мера обеспечения информационной безопасности: Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 18.11 CSC 18.11 Use Standard Hardening Configuration Templates for Databases
For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested.
CSC 5.1 CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
CSC 7.2 CSC 7.2 Disable Unnecessary or Unauthorized Browser or Email Client Plugins
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.
CSC 7.3 CSC 7.3 Limit Use of Scripting Languages in Web Browsers and Email Clients
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.
CSC 5.2 CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
CSC 9.2 CSC 9.2 Ensure Only Approved Ports, Protocols, and Services Are Running
Ensure that only network ports, protocols, and services listening on a system with validated business needs are running on each system.
CSC 15.4 CSC 15.4 Disable Wireless Access on Devices if Not Required
Disable wireless access on devices that do not have a business purpose for wireless access.
CSC 7.1 CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
CSC 15.5 CSC 15.5 Limit Wireless Access on Client Devices
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
2 - 2.10 Application Hardening
2.10 Application Hardening

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстанавливающая Удерживающая Компенсирующая
10 20 50
Название Дата Влияние
Community
18 7 / 35
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022 		16.05.2022 18 7 / 35
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).

Общий алгоритм:
  1. Определить, задокументировать требования к безопасности конфигурации.
  2. Применить безопасную конфигурацию на существующих хостах.
  3. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
  4. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа

Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.

Минимальные требования к безопасной конфигурации:
  • Изменить пароли по умолчанию.
  • Настроить SSH 
  • Настроить сложность паролей
  • Настроить смену (жизненный цикл) паролей 
  • Настроить политику аутентификации
  • Отключить или удалить ненужные учетные записи пользователей
  • Отключить или ограничить ненужные службы, порты и протоколы
  • Удалить ненужное программное обеспечение
  • При необходимости ограничить физические порты
  • Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
  • Подключение хоста к корпоративной системе мониторинга
  • Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) 
  • Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).

Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.

Показателем эффективности процесса может являться: 
- общий процент соответствия требованиям (суммарно по всем хостам), 
- процент хостов, соответствующих требованиям.

Рекомендации к заполнению карточки:
  • Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
  • Описать принятый в компании перечень требований к безопасности конфигурации.
  • Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
  • Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент 
  • Добавить шаблон регулярной задачи по проверке конфигураций.
  • Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community
2 17 / 57
Настройка контроля учетных записей (UAC) в ОС Windows
Постоянно Автоматически Техническая Превентивная
24.02.2022 		24.02.2022 2 17 / 57
Цель: полноценная настройка контроля учетных записей (User Access Control, UAC) для защиты от несанкционированного повышения привилегий пользователем (злоумышленником).
Реализуется через настройку групповой политики домена, на уровне серверов и рабочих станций.
Возможна реализация через наложенные средства защиты от НСД, типа Secret Net и Dallas Lock.

1. Повышение прав только для подписанных и проверенных исполняемых файлов
Следует отключить проверку цепочки сертификатов PKI до разрешения запуска заданного исполняемого файла.
ОС Windows обеспечивает проверку подписи для инфраструктуры общедоступных ключей (PKI) для любого интерактивного приложения, которое запрашивает повышение привилегий. Вы можете управлять приложениями, которые разрешены для работы с населением сертификатов в хранилище доверенных издателей локального компьютера.
Доверенный издатель — это эмитент сертификатов, которому пользователь компьютера доверяет, и у него есть сведения о сертификате, добавленные в хранилище доверенных издателей.
Пользователи и администраторы по своей сути доверяют приложениям, используемым с этими источниками информации, и предоставляют свои учетные данные. Если одно из этих приложений будет заменено приложением-изгоем, которое кажется идентичным надежному приложению, конфиденциальные данные могут быть скомпрометированы, а административные учетные данные пользователя также будут скомпрометированы.

Настройка с помощью групповой политики: 
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Повышение прав только для подписанных и проверенных исполняемых файлов.
Значение: Отключен

2. Повышать права для UIAccess-приложений только при установке в безопасных местах
Microsoft UI Automation — это текущая модель для поддержки требований к доступности в Windows операционных системах.
Приложения, запрашивающие работу с уровнем целостности UIAccess, помеченные UIAccess=true в манифесте приложения, должны находиться в безопасном расположении в файловой системе.
Относительно безопасные расположения ограничены следующими каталогами:
  • \Program Files\ включая подтеки
  • \Windows\system32\
  • \Program Files (x86)\ включая подтеки для 64-битных версий Windows
Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
 Параметр: Контроль учетных записей: Повышать права для UIAccess-приложений только при установке в безопасных местах.
 Значение: Включен

3. Включен режим одобрения повышения привилегий
Необходимо чтобы встроенная учетная запись администратора входила в режим утверждения администратора так, чтобы любая операция, требуемая для повышения привилегий, отображала запрос, который предоставляет администратору возможность разрешить или запретить повышение привилегии. Т.е. по умолчанию любая операция, требующая повышения прав, предлагает пользователю подтвердить операцию.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора.
Значение: Включен

4. Определено поведение запроса на повышение прав для администраторов
Определить поведение запроса на повышение прав администраторам: требовать запрос учетных данных. В этом случае операция, требуемая повышения привилегий, побуждает администратора вводить имя пользователя и пароль. Если администратор вводит допустимые учетные данные, операция продолжается с применимой привилегией.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором.
Значение: Запрос учетных данных

5. Определено поведение запроса на повышение прав для пользователей
Требуется определить поведение запроса на повышение прав пользователям: автоматически отклонять запросы на повышение прав. При попытке выполнить операцию, требуемую повышения привилегий, возвращает сообщение об ошибке "Отказано в доступе" стандартным пользователям. 

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для обычных пользователей.
Значение: Автоматически отклонять запросы на повышение прав

6. Все администраторы работают в режиме одобрения администратором
Для безопасного выполнения операций необходимо контролировать утверждения прав администратора для встроенной учетной записи администратора. Встроенная учетная запись администратора должна использовать режим утверждения. По умолчанию любая операция, требуемая повышения привилегий, будет побуждать пользователя одобрить операцию.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Все администраторы работают в режиме одобрения администратором.
Значение: Включен

7. Переключение к безопасному рабочему столу при выполнении запроса на повышение прав
Необходимо определить, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на защищенный рабочий стол.
Защищенный рабочий стол ограничивает функциональность и доступ к системе до тех пор, пока требования не будут выполнены. Основное отличие защищенного рабочего стола от рабочего стола пользователя состоит в том, что здесь разрешено запускать только доверенные процессы, которые запускаются в системе (то есть на уровне привилегий пользователя ничего не работает). 

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Значение: Включен

8. Виртуализация сбоев записи в файл или реестр на основании расположений пользователя
Следует управлять перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Эта мера позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software\
Сбои записи приложений должны перенаправляться во время выполнения в определенные пользователем расположения в файловой системе и реестре.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: При сбоях записи в файл или реестр виртуализация в место размещения пользователя.
Значение: Включен

9. Запретить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
Необходимо контролировать, могут ли программы доступности пользовательского интерфейса (UIAccess или UIA) автоматически отключать безопасный рабочий стол для повышения прав, у стандартных пользователей. По умолчанию в ОС Windows отключено данное поведение. Защищенный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики 'Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав'.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Значение: Отключен

Рекомендации к заполнению карточки:
Community
2 21 / 102
Ограничение запуска неизвестного ПО с помощью Windows SmartScreen
Постоянно Автоматически Техническая Превентивная
16.02.2022 		16.02.2022 2 21 / 102
Цель: запрет выполнения неизвестного ПО на ПК и серверах под управлением ОС Windows. 
Windows SmartScreen повышает безопасность ПК, предупреждая пользователей перед запуском неопознанных программ, загруженных из Интернета. При этом в Майкрософт отправляются сведения о файлах и программах, выполняемых на ПК с включенной функцией SmartScreen.
Если этот параметр политики включен, поведением Windows SmartScreen можно управлять путем установки одного из следующих параметров:
  • Требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО
  • Предупреждать пользователя, прежде чем выполнять загруженное неизвестное ПО
  • Выключить SmartScreen
Настройка с помощью групповой политики: 
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Проводник.
Параметр: Настроить Windows SmartScreen.
Значение: Включено, требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО

Подробнее: Фильтр SmartScreen в Microsoft Defender

Рекомендации к заполнению карточки:
Community
3 3 / 29
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021 		29.07.2021 3 3 / 29
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.

Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Инструкция к регулярной задаче
  1. Найти в локальной сети все IP телефоны
    Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
  2. Проверить текущие настройки и версию прошивки.
  3. Если требуется - провести настройку в соответствии с установленными требованиями
Рекомендации к заполнению карточки:
  • Описать требования к безопасной конфигурации
  • Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа
  • Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;
Community
1 9 / 41
Резервное копирование и архивирование конфигураций сетевого оборудования
Еженедельно Автоматически Восстанавливающая
26.07.2021 		26.07.2021 1 9 / 41
Цель: сохранение возможности быстрого восстановления конфигурации сетевого оборудования (при сбросе, сбое или замене оборудования).

С заданной периодичностью со всего сетевого оборудования (коммутаторов и маршрутизаторов) собирается текущая конфигурация.
Пример реализации для оборудования Cisco - в заметке.
Собираются:
  1. Конфигурация (show running-config view full)
  2. Таблицы соединений с другим коммутационным оборудованием (show cdp neighbors detail)
  3. Таблицы розданных IP по DHCP (show ip dhcp binding)
  4. Таблицы подключенных MAC адресов (show mac address-table)
Глубина хранения архивных версий: N лет.
Место хранения резервных копий: XXX.
Примечание: доступ к месту хранения скрипта и резервных копий должен быть ограничен.

Проверка работоспособности защитной меры:
  1. Проверить, что список проверяемых коммутаторов соответствует актуальному
  2. Проверить, что подключения проходят успешно (смотреть логи отработки скрипта);
  3. Проверить, что конфигурации собираются успешно (проверить каталог с результатами).
Рекомендации к заполнению карточки:
  • Описать методологию выполнения, хранения и проверки резервных копий конфигураций;
  • Добавить шаблон регулярной задачи на выполнение и проверку резервных копий конфигураций;
  • Если ведется реестр скриптов - привязать соответствующий скрипт к карточке как инструмент.
Community
1 1 / 16
Блокировка возможности удаленного подключения к ПК через RDP Shadow
Разово Автоматически Техническая Превентивная
22.06.2021 		22.06.2021 1 1 / 16
Цель: защита от бокового перемещения злоумышленника с использованием функционала RDP Shadow.

Протокол RDP позволяет осуществлять удаленное подключение к сессии пользователя. По умолчанию в ОС Windows возможность включена с запросом на подтверждение от пользователя. В случае корректировки параметра на уровне ПК возможно последующее незаметное подключение к сессии пользователя. Необходимо принудительно отключить данную возможность.

Настройка с помощью групповой политики:
Конфигурация компьютера / Административные шаблоны /Компоненты Windows / Службы удаленных рабочих столов / Узел сеансов удаленных рабочих столов / Подключения
Параметр Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов
Значение Включено с опцией Удаленное управление не разрешено.

Рекомендации к заполнению карточки:
Community
2 2 / 17
Включение подписи SMB пакетов
Разово Вручную Техническая Превентивная
15.06.2021 		15.06.2021 2 2 / 17
Цель: уменьшение поверхности для сетевых атак.

Подписание SMB (server message block signing, SMB signing) это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB.
По умолчанию в современных ОС Windows подписание пакетов включено. Но с целью повышения скорости работы сети или для обеспечения совместимости с устаревшим ПО подписание SMB может быть отключено.
Необходимо принудительно через GPO включить подписание SMB пакетов на всех ПК и серверов. Так же необходимо включить подписание как входящих так и исходящих пакетов.
Внимание: подписание SMB требует значительных системных ресурсов и может оказать негативное влияние на работоспособность инфраструктуры.
Подробнее

Настройка с помощью групповой политики:
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности
Параметр:    Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) 
Значение:  Включено
Параметр:    Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
Значение:  Включено

Рекомендации к заполнению карточки:
Community
2 2 / 17
Перевод доменной аутентификации на Kerberos (отключение NTLM)
Разово Вручную Техническая Превентивная
15.06.2021 		15.06.2021 2 2 / 17
Цель: уменьшение поверхности атаки.

Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак.
Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos.
Частичной реализацией меры может являться отключение только протокола NTLMv1.
Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов.
Подробнее о процессе отключения NTLM

Рекомендации к заполнению карточки:
Community
1 1 / 16
Отключение протокола NBT-NS на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021 		15.06.2021 1 1 / 16
Цель: уменьшение поверхности для сетевых атак.

Протокол NetBIOS over TCP/IP или NBT-NS (UDP/137,138; TCP/139)  является широковещательным протоколом-предшественником LLMNR.
Поддержка NetBIOS over TCP/IP по умолчанию включена для всех интерфейсов во всех ОС Windows и нужна чтобы компьютеры в локальной сети могли найти друг друга в случае недоступности DNS сервера.
Протокол уязвим к атакам NBNS-спуфинга, позволяющим получить хеши паролей пользователей.
Для исключения возможности атаки протокол необходимо отключать.
Отключение осуществляется через запуск скрипта на всех ПК и серверах инфраструктуры.

Реализация на PowerShell:
//PowerShell
$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Реализация на BAT/CMD:
//CMD
@echo off
:checkpermissions
net.exe session >nul 2>&1 || (echo Ошибка! Запустите скрипт от имени администратора. & exit /b 1)
set "hive=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces"
set "regv=NetbiosOptions"
setlocal EnableDelayedExpansion
set "iface=" & set "nbopt="
for /f "tokens=*" %%a in ('reg.exe query "%hive%" /s /v "%regv%" 2^>nul') do (
	set "regd=%%~a"
	if not "!regd!" == "!regd:%hive%=!" (set "iface=!regd!") else if not "!regd!" == "!regd:%regv%=!" (set "nbopt=!regd!")
	if defined iface if defined nbopt (
		for /f "tokens=3" %%b in ("!nbopt!") do if not "%%~b" == "0x2" (
			echo ^> !iface!\%regv% = 2
			reg.exe add "!iface!" /v "%regv%" /t REG_DWORD /d 2 /f
		)
		set "iface=" & set "nbopt="
	)
)
endlocal

Реализация на VBScript:
//VBS 
cscript.exe /nologo "%vbs%" > "%tmplog%" 2>&1
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
Set colNetCards = objWMIService.ExecQuery _
	("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True And TcpipNetbiosOptions != 2")

For Each objNetCard in colNetCards
	objNetCard.SetTCPIPNetBIOS(2)
	WScript.Echo objNetCard.Caption & " -- Ok"
Next

Рекомендации к заполнению карточки:
  • Описать выбранный способ реализации меры
  • Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент 
Community
1 1 / 16
Отключение протокола LLMNR на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021 		15.06.2021 1 1 / 16
Цель: уменьшение поверхности для сетевых атак 

Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) это механизм многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Протокол уязвим к атаке LLMNR/NBNS-спуфинга через которую возможна компрометация хешей паролей пользователей.
Для исключения возможности атаки протокол необходимо отключить и на уровне рабочих станций и на уровне серверов.

Настройка с помощью групповой политики:
Computer Configuration\Administrative Templates\Network\DNS Client 
Параметр: Turn Off Multicast Name Resolution 
Значение: Enabled
Конфигурация компьютера\Политики\Административные шаблоны\Сеть\DNS-клиент
Параметр: Отключить  многоадресное разрешение имен 
Значение: Включено

Статья на тему

Рекомендации к заполнению карточки: