V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1025Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Целостность привилегированных процессов

Целостность привилегированных процессов направлена на защиту высокопривилегированных процессов (например, системных служб, антивирусных программ или процессов аутентификации) от вмешательства, внедрения кода или компрометации злоумышленниками. Такие процессы нередко взаимодействуют с критически важными компонентами, что делает их первоочередными целями для таких техник, как внедрение кода, повышение привилегий и манипулирование процессами. Данная мера может быть реализована следующими способами: Механизмы защищённых процессов: - Включайте RunAsPPL в системах Windows для защиты LSASS и других критически важных процессов. - Применяйте изменения реестра для принудительного применения параметров защищённых процессов: `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL` Защита от внедрения кода и памяти: - Включайте Control Flow Guard (CFG), DEP и ASLR для защиты памяти процессов от вмешательства. - Развёртывайте средства защиты конечных точек, активно блокирующие попытки внедрения кода в процессы. Проверка подписи кода: - Внедряйте политики Windows Defender Application Control (WDAC) или AppLocker для обеспечения выполнения только подписанных двоичных файлов. - Убеждайтесь, что критически важные процессы подписаны действительными сертификатами. Контроль доступа: - Используйте DACL и MIC для ограничения круга пользователей и процессов, имеющих право взаимодействовать с привилегированными процессами. - Отключайте ненужные возможности отладки для высокопривилегированных процессов. Защита на уровне ядра: - Убеждайтесь, что защита ядра от исправлений (PatchGuard) включена в системах Windows. - Используйте SELinux или AppArmor в Linux для применения политик безопасности на уровне ядра. *Инструменты реализации* Protected Process Light (PPL): - RunAsPPL (Windows) - Windows Defender Credential Guard Целостность и подписание кода: - Windows Defender Application Control (WDAC) - AppLocker - SELinux/AppArmor (Linux) Защита памяти: - Control Flow Guard (CFG), Data Execution Prevention (DEP), ASLR Изоляция процессов и изолированная среда: - Firejail (Linux Sandbox) - Windows Sandbox - Изоляция на основе QEMU/KVM Защита ядра: - PatchGuard (Windows Kernel Patch Protection) - SELinux (Mandatory Access Control для Linux) - AppArmor

Связанные техники

T1003
Дамп учетных данных ОС
T1003.001
Память LSASS
T1547.002
Пакет аутентификации
T1547.005
Провайдер поддержки безопасности
T1547.008
Драйвер LSASS
T1556
Изменение процесса аутентификации
T1556.001
Аутентификация контроллера домена
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.