V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1024Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Ограничение прав доступа к реестру

Ограничение прав доступа к реестру предполагает настройку параметров контроля доступа для чувствительных разделов и кустов реестра, чтобы гарантировать возможность внесения изменений только авторизованными пользователями или процессами. Ограничение доступа позволяет предотвратить несанкционированные изменения, которые злоумышленники могут использовать для закрепления, повышения привилегий или предотвращения обнаружения. Данная мера может быть реализована следующими способами: Проверка и корректировка прав доступа к критически важным ключам - Регулярно проверяйте права доступа к таким ключам, как `Run`, `RunOnce` и `Services`, чтобы убедиться в наличии прав на запись только у авторизованных пользователей. - Используйте инструменты `icacls` или `PowerShell` для автоматизации корректировки прав доступа. Включение аудита реестра - Включайте аудит на чувствительных ключах для регистрации попыток доступа. - Используйте просмотрщик событий или решения SIEM для анализа журналов и обнаружения подозрительной активности. - Пример политики аудита: `auditpol /set /subcategory:"Registry" /success:enable /failure:enable` Защита кустов, связанных с учётными данными - Ограничивайте доступ к кустам `SAM`, `SECURITY` и `SYSTEM` для предотвращения извлечения учётных данных или иного несанкционированного доступа. - Используйте защиту LSA для дополнительного уровня безопасности хранилища учётных данных. Ограничение использования редактора реестра - Используйте групповую политику для ограничения доступа к regedit.exe для неадминистративных пользователей. - Блокируйте выполнение инструментов редактирования реестра на конечных точках, где они не нужны. Развёртывание инструментов базовой конфигурации - Используйте инструменты Microsoft Security Compliance Toolkit или эталоны CIS для применения и поддержания безопасных конфигураций реестра. *Инструменты реализации* Инструменты управления правами доступа к реестру: - Редактор реестра (regedit): встроенный инструмент управления правами доступа к реестру. - PowerShell: автоматизация прав доступа и управление ключами. `Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "KeyName" -Value "Value"` - icacls: инструмент командной строки для изменения ACL. Инструменты мониторинга: - Sysmon: мониторинг и регистрация событий реестра. - Просмотрщик событий: просмотр журналов доступа к реестру. Инструменты управления политиками: - Консоль управления групповыми политиками (GPMC): применение прав доступа к реестру через GPO. - Microsoft Endpoint Manager: развёртывание базовых конфигураций для прав доступа к реестру.

Связанные техники

T1037
Скрипты инициализации загрузки или входа
T1037.001
Скрипт входа (Windows)
T1070.007
Очистка истории и конфигурации сетевого подключения
T1112
Изменение реестра
T1489
Остановка службы
T1505
Серверный программный компонент
T1505.005
DLL служб терминалов
T1547.003
Провайдеры времени
T1553
Подрыв средств контроля доверия
T1553.003
Перехват SIP и провайдера доверия
T1553.006
Изменение политики подписания кода
T1556
Изменение процесса аутентификации
T1556.008
DLL сетевого провайдера
T1574
Перехват потока выполнения
T1574.011
Слабость разрешений реестра служб
T1574.012
COR_PROFILER
T1685
Отключение или модификация инструментов
T1685.001
Отключение или модификация журнала событий Windows
T1686
Отключение или модификация системного брандмауэра
T1686.003
Локальный брандмауэр Windows
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.