Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.IP-1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
9.1
9.1 Ensure Use of Only Fully Supported Browsers and Email Clients 
Ensure only fully supported browsers and email clients are allowed to execute in the enterprise, only using the latest version of browsers and email clients provided through the vendor. 
4.1
4.1 Establish and Maintain a Secure Configuration Process 
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard 
9.4
9.4 Restrict Unnecessary or Unauthorized Browser and Email Client Extensions 
Restrict, either through uninstalling or disabling, any unauthorized or unnecessary browser or email client plugins, extensions, and add-on applications. 
4.8
4.8 Uninstall or Disable Unnecessary Services on Enterprise Assets and Software 
Uninstall or disable unnecessary services on enterprise assets and software, such as an unused file sharing service, web application module, or service function. 
16.7
16.7 Use Standard Hardening Configuration Templates for Application Infrastructure
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening. 
NIST Cybersecurity Framework (RU):
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.6
2.2.6
Defined Approach Requirements: 
System security parameters are configured to prevent misuse. 

Customized Approach Objective:
System components cannot be compromised because of incorrect security parameter configuration. 

Defined Approach Testing Procedures:
  •  2.2.6.a Examine system configuration standards to verify they include configuring system security parameters to prevent misuse.
  •  2.2.6.b Interview system administrators and/or security managers to verify they have knowledge of common security parameter settings for system components.
  •  2.2.6.c Examine system configurations to verify that common security parameters are set appropriately and in accordance with the system configuration standards. 
Purpose:
Correctly configuring security parameters provided in system components takes advantage of the capabilities of the system component to defeat malicious attacks. 

Good Practice:
System configuration standards and related processes should specifically address security settings and parameters that have known security implications for each type of system in use. 
For systems to be configured securely, personnel responsible for configuration and/or administering systems should be knowledgeable in the specific security parameters and settings that apply to the system. Considerations should also include secure settings for parameters used to access cloud portals. 

Further Information: 
Refer to vendor documentation and industry references noted in Requirement 2.2.1 for information about applicable security parameters for each type of system. 
Requirement 2.2.4
2.2.4
Defined Approach Requirements: 
Only necessary services, protocols, daemons, and functions are enabled, and all unnecessary functionality is removed or disabled. 

Customized Approach Objective:
System components cannot be compromised by exploiting unnecessary functionality present in the system component. 

Defined Approach Testing Procedures:
  • 2.2.4.a Examine system configuration standards to verify necessary system services, protocols, and daemons are identified and documented. 
  • 2.2.4.b Examine system configurations to verify the following: 
    • All unnecessary functionality is removed or disabled. 
    • Only required functionality, as documented in the configuration standards, is enabled. 
Purpose:
Unnecessary services and functions can provide additional opportunities for malicious individuals to gain access to a system. By removing or disabling all unnecessary services, protocols, daemons, and functions, organizations can focus on securing the functions that are required and reduce the risk that unknown or unnecessary functions will be exploited. 

Good Practice:
There are many protocols that could be enabled by default that are commonly used by malicious individuals to compromise a network. Disabling or removing all services, functions, and protocols that are not used minimizes the potential attack surface—for example, by removing or disabling an unused FTP or web server. 

Examples:
Unnecessary functionality may include, but is not limited to scripts, drivers, features, subsystems, file systems, interfaces (USB and Bluetooth), and unnecessary web servers. 
Requirement 1.2.1
1.2.1 
Defined Approach Requirements: 
Configuration standards for NSC rulesets are: 
  • Defined. 
  • Implemented.
  • Maintained. 
Customized Approach Objective:
The way that NSCs are configured and operate are defined and consistently applied. 

Defined Approach Testing Procedures:
  • 1.2.1.a Examine the configuration standards for NSC rulesets to verify the standards are in accordance with all elements specified in this requirement. 
  • 1.2.1.b Examine configuration settings for NSC rulesets to verify that rulesets are implemented according to the configuration standards. 
Purpose:
The implementation of these configuration standards results in the NSC being configured and managed to properly perform their security function (often referred to as the ruleset). 

Good Practice:
These standards often define the requirements for acceptable protocols, ports that are permitted to be used, and specific configuration requirements that are acceptable. Configuration standards may also outline what the entity considers not acceptable or not permitted within its network. 

Definitions:
NSCs are key components of a network architecture. Most commonly, NSCs are used at the boundaries of the CDE to control network traffic flowing inbound and outbound from the CDE. 
Configuration standards outline an entity’s minimum requirements for the configuration of its NSCs.

Examples:
Examples of NSCs covered by these configuration standards include, but are not limited to, firewalls, routers configured with access control lists, and cloud virtual networks.  
Guideline for a healthy information system v.2.0 (EN):
29 STANDARD
/STANDARD
Numerous users, including at the top management level, are tempted to ask their IT department to be able to provide them, in line with their personal use, with higher privileges on their workstations: installation of software, system configuration, etc. By default, it is recommended that an information system user, whatever his responsibility level and allocations, should not have administration privileges on his workstation. This measure, which appears restrictive, aims to limit the consequences of malicious executions from malware. The availability of a well-rounded application store, validated by the organization from the security point of view, will be able to respond to the majority of needs. 

Consequently, only administrators responsible for the administration of workstations must have these rights during their interventions. 

If delegating privileges to a workstation is really necessary to respond to a one-off need from the user, it must be monitored, for a limited time, and be withdrawn afterwards. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.2
A.12.1.2 Процесс управления изменениями 
Мера обеспечения информационной безопасности: Необходимо обеспечить управление изменениями в организации, бизнеспроцессах, средствах обработки информации и системах, влияющих на информационную безопасность 
A.14.2.4
A.14.2.4 Ограничения на изменения пакетов программ 
Мера обеспечения информационной безопасности: Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения 
A.14.2.2
A.14.2.2 Процедуры управления изменениями системы 
Мера обеспечения информационной безопасности: Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями 
A.12.5.1
A.12.5.1 Установка программного обеспечения в эксплуатируемых системах 
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации 
A.14.2.3
A.14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы 
Мера обеспечения информационной безопасности: При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации 
A.12.6.2
A.12.6.2 Ограничения на установку программного обеспечения 
Мера обеспечения информационной безопасности: Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 18.11 CSC 18.11 Use Standard Hardening Configuration Templates for Databases
For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested.
CSC 5.1 CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
CSC 7.2 CSC 7.2 Disable Unnecessary or Unauthorized Browser or Email Client Plugins
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.
CSC 7.3 CSC 7.3 Limit Use of Scripting Languages in Web Browsers and Email Clients
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.
CSC 5.2 CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
CSC 9.2 CSC 9.2 Ensure Only Approved Ports, Protocols, and Services Are Running
Ensure that only network ports, protocols, and services listening on a system with validated business needs are running on each system.
CSC 15.4 CSC 15.4 Disable Wireless Access on Devices if Not Required
Disable wireless access on devices that do not have a business purpose for wireless access.
CSC 7.1 CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
CSC 15.5 CSC 15.5 Limit Wireless Access on Client Devices
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.2.4
2.2.4
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.

Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.

Определенные Процедуры Тестирования Подхода:
  • 2.2.4.a Изучить стандарты конфигурации системы, чтобы убедиться, что необходимые системные службы, протоколы и демоны идентифицированы и задокументированы.
  • 2.2.4.b Изучите конфигурации системы, чтобы убедиться в следующем:
    • Все ненужные функции удаляются или отключаются.
    • Включена только необходимая функциональность, задокументированная в стандартах конфигурации.
Цель:
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.

Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.

Примеры:
Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.
Requirement 1.2.1
1.2.1
Определенные Требования к Подходу:
Стандарты конфигураций для наборов правил NSC:
  • Определенный.
  • Реализованный.
  • Поддерживается.
Цель Индивидуального подхода:
Способы настройки и работы NSC определены и последовательно применяются.

Определенные Процедуры Тестирования Подхода:
  • 1.2.1.a Изучите стандарты конфигурации для наборов правил NSC, чтобы убедиться, что стандарты соответствуют всем элементам, указанным в этом требовании.
  • 1.2.1.b Изучите параметры конфигурации для наборов правил NSC, чтобы убедиться, что наборы правил реализованы в соответствии со стандартами конфигурации.
Цель:
Реализация этих стандартов конфигурации приводит к тому, что NSC настраивается и управляется для надлежащего выполнения своей функции безопасности (часто называемой набором правил).

Надлежащая практика:
Эти стандарты часто определяют требования к приемлемым протоколам, портам, которые разрешено использовать, и конкретные требования к конфигурации, которые являются приемлемыми. Стандарты конфигурации могут также определять то, что организация считает неприемлемым или недопустимым в своей сети.

Определения:
NSC являются ключевыми компонентами сетевой архитектуры.
Чаще всего NSCS используются на границах CDE для управления сетевым трафиком, входящим и исходящим из CDE. Стандарты конфигурации определяют минимальные требования организации к конфигурации ее NSCS.

Примеры:
Примеры NSC, охватываемых этими стандартами конфигурации, включают, но не ограничиваются: брандмауэры, маршрутизаторы, настроенные со списками контроля доступа, и облачные виртуальные сети.
Requirement 2.2.6
2.2.6
Определенные Требования к Подходу:
Параметры безопасности системы настроены для предотвращения неправильного использования.

Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы из-за неправильной настройки параметров безопасности.

Определенные Процедуры Тестирования Подхода:
  • 2.2.6.a Изучите стандарты конфигурации системы, чтобы убедиться, что они включают настройку параметров безопасности системы для предотвращения неправильного использования.
  • 2.2.6.b Опросите системных администраторов и/или менеджеров по безопасности, чтобы убедиться, что они знают общие настройки параметров безопасности для системных компонентов.
  • 2.2.6.c Изучите конфигурации системы, чтобы убедиться, что общие параметры безопасности установлены надлежащим образом и в соответствии со стандартами конфигурации системы.
Цель:
Правильная настройка параметров безопасности, предоставляемых в системных компонентах, использует возможности системного компонента для предотвращения вредоносных атак.

Надлежащая практика:
Стандарты конфигурации системы и связанные с ними процессы должны учитывать параметры и параметры безопасности, которые имеют известные последствия для безопасности для каждого типа используемой системы.
Для безопасной настройки систем персонал, ответственный за настройку и/или администрирование систем, должен быть осведомлен о конкретных параметрах и настройках безопасности, которые применяются к системе. Соображения также должны включать безопасные настройки параметров, используемых для доступа к облачным порталам.

Дополнительная информация:
Обратитесь к документации поставщика и отраслевым справочникам, указанным в Требовании 2.2.1, для получения информации о применимых параметрах безопасности для каждого типа системы.
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
2 - 2.10 Application Hardening
2.10 Application Hardening
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УКФ.0 УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы
УКФ.2 УКФ.2 Управление изменениями
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УКФ.0 УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
УКФ.2 УКФ.2 Управление изменениями

Связанные защитные меры

Название Дата Влияние
Community
18 10 / 89
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 89
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).

Общий алгоритм:
  1. Определить, задокументировать требования к безопасности конфигурации.
  2. Применить безопасную конфигурацию на существующих хостах.
  3. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
  4. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа

Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.

Минимальные требования к безопасной конфигурации:
  • Изменить пароли по умолчанию.
  • Настроить SSH 
  • Настроить сложность паролей
  • Настроить смену (жизненный цикл) паролей 
  • Настроить политику аутентификации
  • Отключить или удалить ненужные учетные записи пользователей
  • Отключить или ограничить ненужные службы, порты и протоколы
  • Удалить ненужное программное обеспечение
  • При необходимости ограничить физические порты
  • Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
  • Подключение хоста к корпоративной системе мониторинга
  • Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) 
  • Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).

Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.

Показателем эффективности процесса может являться: 
- общий процент соответствия требованиям (суммарно по всем хостам), 
- процент хостов, соответствующих требованиям.

Рекомендации к заполнению карточки:
  • Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
  • Описать принятый в компании перечень требований к безопасности конфигурации.
  • Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
  • Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент 
  • Добавить шаблон регулярной задачи по проверке конфигураций.
  • Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community
2 17 / 101
Настройка контроля учетных записей (UAC) в ОС Windows
Постоянно Автоматически Техническая Превентивная
24.02.2022
24.02.2022 2 17 / 101
Цель: полноценная настройка контроля учетных записей (User Access Control, UAC) для защиты от несанкционированного повышения привилегий пользователем (злоумышленником).
Реализуется через настройку групповой политики домена, на уровне серверов и рабочих станций.
Возможна реализация через наложенные средства защиты от НСД, типа Secret Net и Dallas Lock.

1. Повышение прав только для подписанных и проверенных исполняемых файлов
Следует отключить проверку цепочки сертификатов PKI до разрешения запуска заданного исполняемого файла.
ОС Windows обеспечивает проверку подписи для инфраструктуры общедоступных ключей (PKI) для любого интерактивного приложения, которое запрашивает повышение привилегий. Вы можете управлять приложениями, которые разрешены для работы с населением сертификатов в хранилище доверенных издателей локального компьютера.
Доверенный издатель — это эмитент сертификатов, которому пользователь компьютера доверяет, и у него есть сведения о сертификате, добавленные в хранилище доверенных издателей.
Пользователи и администраторы по своей сути доверяют приложениям, используемым с этими источниками информации, и предоставляют свои учетные данные. Если одно из этих приложений будет заменено приложением-изгоем, которое кажется идентичным надежному приложению, конфиденциальные данные могут быть скомпрометированы, а административные учетные данные пользователя также будут скомпрометированы.

Настройка с помощью групповой политики: 
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Повышение прав только для подписанных и проверенных исполняемых файлов.
Значение: Отключен

2. Повышать права для UIAccess-приложений только при установке в безопасных местах
Microsoft UI Automation — это текущая модель для поддержки требований к доступности в Windows операционных системах.
Приложения, запрашивающие работу с уровнем целостности UIAccess, помеченные UIAccess=true в манифесте приложения, должны находиться в безопасном расположении в файловой системе.
Относительно безопасные расположения ограничены следующими каталогами:
  • \Program Files\ включая подтеки
  • \Windows\system32\
  • \Program Files (x86)\ включая подтеки для 64-битных версий Windows
Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
 Параметр: Контроль учетных записей: Повышать права для UIAccess-приложений только при установке в безопасных местах.
 Значение: Включен

3. Включен режим одобрения повышения привилегий
Необходимо чтобы встроенная учетная запись администратора входила в режим утверждения администратора так, чтобы любая операция, требуемая для повышения привилегий, отображала запрос, который предоставляет администратору возможность разрешить или запретить повышение привилегии. Т.е. по умолчанию любая операция, требующая повышения прав, предлагает пользователю подтвердить операцию.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора.
Значение: Включен

4. Определено поведение запроса на повышение прав для администраторов
Определить поведение запроса на повышение прав администраторам: требовать запрос учетных данных. В этом случае операция, требуемая повышения привилегий, побуждает администратора вводить имя пользователя и пароль. Если администратор вводит допустимые учетные данные, операция продолжается с применимой привилегией.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для администраторов в режиме одобрения администратором.
Значение: Запрос учетных данных

5. Определено поведение запроса на повышение прав для пользователей
Требуется определить поведение запроса на повышение прав пользователям: автоматически отклонять запросы на повышение прав. При попытке выполнить операцию, требуемую повышения привилегий, возвращает сообщение об ошибке "Отказано в доступе" стандартным пользователям. 

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Поведение запроса на повышение прав для обычных пользователей.
Значение: Автоматически отклонять запросы на повышение прав

6. Все администраторы работают в режиме одобрения администратором
Для безопасного выполнения операций необходимо контролировать утверждения прав администратора для встроенной учетной записи администратора. Встроенная учетная запись администратора должна использовать режим утверждения. По умолчанию любая операция, требуемая повышения привилегий, будет побуждать пользователя одобрить операцию.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Все администраторы работают в режиме одобрения администратором.
Значение: Включен

7. Переключение к безопасному рабочему столу при выполнении запроса на повышение прав
Необходимо определить, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на защищенный рабочий стол.
Защищенный рабочий стол ограничивает функциональность и доступ к системе до тех пор, пока требования не будут выполнены. Основное отличие защищенного рабочего стола от рабочего стола пользователя состоит в том, что здесь разрешено запускать только доверенные процессы, которые запускаются в системе (то есть на уровне привилегий пользователя ничего не работает). 

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Переключение к безопасному рабочему столу при выполнении запроса на повышение прав.
Значение: Включен

8. Виртуализация сбоев записи в файл или реестр на основании расположений пользователя
Следует управлять перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Эта мера позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%, %Windir%\system32 или HKEY_LOCAL_MACHINE\Software\
Сбои записи приложений должны перенаправляться во время выполнения в определенные пользователем расположения в файловой системе и реестре.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: При сбоях записи в файл или реестр виртуализация в место размещения пользователя.
Значение: Включен

9. Запретить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол
Необходимо контролировать, могут ли программы доступности пользовательского интерфейса (UIAccess или UIA) автоматически отключать безопасный рабочий стол для повышения прав, у стандартных пользователей. По умолчанию в ОС Windows отключено данное поведение. Защищенный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики 'Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав'.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Параметр: Контроль учетных записей: Разрешить UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.
Значение: Отключен

Рекомендации к заполнению карточки:
Community
2 21 / 118
Ограничение запуска неизвестного ПО с помощью Windows SmartScreen
Постоянно Автоматически Техническая Превентивная
16.02.2022
16.02.2022 2 21 / 118
Цель: запрет выполнения неизвестного ПО на ПК и серверах под управлением ОС Windows. 
Windows SmartScreen повышает безопасность ПК, предупреждая пользователей перед запуском неопознанных программ, загруженных из Интернета. При этом в Майкрософт отправляются сведения о файлах и программах, выполняемых на ПК с включенной функцией SmartScreen.
Если этот параметр политики включен, поведением Windows SmartScreen можно управлять путем установки одного из следующих параметров:
  • Требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО
  • Предупреждать пользователя, прежде чем выполнять загруженное неизвестное ПО
  • Выключить SmartScreen
Настройка с помощью групповой политики: 
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Проводник.
Параметр: Настроить Windows SmartScreen.
Значение: Включено, требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО

Подробнее: Фильтр SmartScreen в Microsoft Defender

Рекомендации к заполнению карточки:
Community
3 3 / 48
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021
29.07.2021 3 3 / 48
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.

Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Инструкция к регулярной задаче
  1. Найти в локальной сети все IP телефоны
    Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
  2. Проверить текущие настройки и версию прошивки.
  3. Если требуется - провести настройку в соответствии с установленными требованиями
Рекомендации к заполнению карточки:
  • Описать требования к безопасной конфигурации
  • Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа
  • Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;
Community
1 9 / 54
Резервное копирование и архивирование конфигураций сетевого оборудования
Еженедельно Автоматически Восстановительная
26.07.2021
26.07.2021 1 9 / 54
Цель: сохранение возможности быстрого восстановления конфигурации сетевого оборудования (при сбросе, сбое или замене оборудования).

С заданной периодичностью со всего сетевого оборудования (коммутаторов и маршрутизаторов) собирается текущая конфигурация.
Пример реализации для оборудования Cisco - в заметке.
Собираются:
  1. Конфигурация (show running-config view full)
  2. Таблицы соединений с другим коммутационным оборудованием (show cdp neighbors detail)
  3. Таблицы розданных IP по DHCP (show ip dhcp binding)
  4. Таблицы подключенных MAC адресов (show mac address-table)
Глубина хранения архивных версий: N лет.
Место хранения резервных копий: XXX.
Примечание: доступ к месту хранения скрипта и резервных копий должен быть ограничен.

Проверка работоспособности защитной меры:
  1. Проверить, что список проверяемых коммутаторов соответствует актуальному
  2. Проверить, что подключения проходят успешно (смотреть логи отработки скрипта);
  3. Проверить, что конфигурации собираются успешно (проверить каталог с результатами).
Рекомендации к заполнению карточки:
  • Описать методологию выполнения, хранения и проверки резервных копий конфигураций;
  • Добавить шаблон регулярной задачи на выполнение и проверку резервных копий конфигураций;
  • Если ведется реестр скриптов - привязать соответствующий скрипт к карточке как инструмент.
Community
1 3 / 35
Блокировка возможности удаленного подключения к ПК через RDP Shadow
Разово Автоматически Техническая Превентивная
22.06.2021
22.06.2021 1 3 / 35
Цель: защита от бокового перемещения злоумышленника с использованием функционала RDP Shadow.

Протокол RDP позволяет осуществлять удаленное подключение к сессии пользователя. По умолчанию в ОС Windows возможность включена с запросом на подтверждение от пользователя. В случае корректировки параметра на уровне ПК возможно последующее незаметное подключение к сессии пользователя. Необходимо принудительно отключить данную возможность.

Настройка с помощью групповой политики:
Конфигурация компьютера / Административные шаблоны /Компоненты Windows / Службы удаленных рабочих столов / Узел сеансов удаленных рабочих столов / Подключения
Параметр Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов
Значение Включено с опцией Удаленное управление не разрешено.

Рекомендации к заполнению карточки:
Community
2 2 / 24
Включение подписи SMB пакетов
Разово Вручную Техническая Превентивная
15.06.2021
15.06.2021 2 2 / 24
Цель: уменьшение поверхности для сетевых атак.

Подписание SMB (server message block signing, SMB signing) это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB.
По умолчанию в современных ОС Windows подписание пакетов включено. Но с целью повышения скорости работы сети или для обеспечения совместимости с устаревшим ПО подписание SMB может быть отключено.
Необходимо принудительно через GPO включить подписание SMB пакетов на всех ПК и серверов. Так же необходимо включить подписание как входящих так и исходящих пакетов.
Внимание: подписание SMB требует значительных системных ресурсов и может оказать негативное влияние на работоспособность инфраструктуры.
Подробнее

Настройка с помощью групповой политики:
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности
Параметр:    Сетевой сервер Майкрософт: использовать цифровую подпись (всегда) 
Значение:  Включено
Параметр:    Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
Значение:  Включено

Рекомендации к заполнению карточки:
Community
2 2 / 24
Перевод доменной аутентификации на Kerberos (отключение NTLM)
Разово Вручную Техническая Превентивная
15.06.2021
15.06.2021 2 2 / 24
Цель: уменьшение поверхности атаки.

Протоколы аутентификации NTLM v1 и NTLMv2 уязвимы к ряду атак.
Необходимо отключить протоколы NTLM в доменной инфраструктуре перейдя на аутентификацию через протокол Kerberos.
Частичной реализацией меры может являться отключение только протокола NTLMv1.
Управление используемыми протоколами реализация через GPO. Групповые политики позволяют так же гибко осуществить переход с NTLM на Kerberos используя инструменты аудита и белых списков, разрешая протокол NTLM только для части серверов и клиентов.
Подробнее о процессе отключения NTLM

Рекомендации к заполнению карточки:
Community
1 1 / 19
Отключение протокола NBT-NS на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021
15.06.2021 1 1 / 19
Цель: уменьшение поверхности для сетевых атак.

Протокол NetBIOS over TCP/IP или NBT-NS (UDP/137,138; TCP/139)  является широковещательным протоколом-предшественником LLMNR.
Поддержка NetBIOS over TCP/IP по умолчанию включена для всех интерфейсов во всех ОС Windows и нужна чтобы компьютеры в локальной сети могли найти друг друга в случае недоступности DNS сервера.
Протокол уязвим к атакам NBNS-спуфинга, позволяющим получить хеши паролей пользователей.
Для исключения возможности атаки протокол необходимо отключать.
Отключение осуществляется через запуск скрипта на всех ПК и серверах инфраструктуры.

Реализация на PowerShell:
//PowerShell
$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Реализация на BAT/CMD:
//CMD
@echo off
:checkpermissions
net.exe session >nul 2>&1 || (echo Ошибка! Запустите скрипт от имени администратора. & exit /b 1)
set "hive=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces"
set "regv=NetbiosOptions"
setlocal EnableDelayedExpansion
set "iface=" & set "nbopt="
for /f "tokens=*" %%a in ('reg.exe query "%hive%" /s /v "%regv%" 2^>nul') do (
	set "regd=%%~a"
	if not "!regd!" == "!regd:%hive%=!" (set "iface=!regd!") else if not "!regd!" == "!regd:%regv%=!" (set "nbopt=!regd!")
	if defined iface if defined nbopt (
		for /f "tokens=3" %%b in ("!nbopt!") do if not "%%~b" == "0x2" (
			echo ^> !iface!\%regv% = 2
			reg.exe add "!iface!" /v "%regv%" /t REG_DWORD /d 2 /f
		)
		set "iface=" & set "nbopt="
	)
)
endlocal

Реализация на VBScript:
//VBS 
cscript.exe /nologo "%vbs%" > "%tmplog%" 2>&1
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
Set colNetCards = objWMIService.ExecQuery _
	("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True And TcpipNetbiosOptions != 2")

For Each objNetCard in colNetCards
	objNetCard.SetTCPIPNetBIOS(2)
	WScript.Echo objNetCard.Caption & " -- Ok"
Next

Рекомендации к заполнению карточки:
  • Описать выбранный способ реализации меры
  • Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент 
Community
1 1 / 19
Отключение протокола LLMNR на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021
15.06.2021 1 1 / 19
Цель: уменьшение поверхности для сетевых атак 

Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) это механизм многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Протокол уязвим к атаке LLMNR/NBNS-спуфинга через которую возможна компрометация хешей паролей пользователей.
Для исключения возможности атаки протокол необходимо отключить и на уровне рабочих станций и на уровне серверов.

Настройка с помощью групповой политики:
Computer Configuration\Administrative Templates\Network\DNS Client 
Параметр: Turn Off Multicast Name Resolution 
Значение: Enabled
Конфигурация компьютера\Политики\Административные шаблоны\Сеть\DNS-клиент
Параметр: Отключить  многоадресное разрешение имен 
Значение: Включено

Статья на тему

Рекомендации к заполнению карточки: