V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1034Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Ограничение установки оборудования

Запрещайте неавторизованным пользователям или группам устанавливать или использовать оборудование — внешние диски, периферийные устройства или неодобренные внутренние компоненты — за счёт применения политик использования оборудования и технических средств контроля. Это включает отключение USB-портов, ограничение установки драйверов и применение средств защиты конечных точек для мониторинга и блокировки неодобренных устройств. Данная мера может быть реализована следующими способами: Отключение USB-портов и политики установки оборудования: - Используйте объекты групповых политик (GPO) для отключения USB-устройств хранения данных: - Перейдите в раздел Конфигурация компьютера > Административные шаблоны > Система > Доступ к съёмным хранилищам. - Запретите доступ на запись и чтение для USB-устройств. - Включайте одобренные устройства в разрешённые списки по уникальным серийным номерам с помощью политик установки устройств Windows. Развёртывание решений защиты конечных точек и контроля устройств: - Используйте инструменты Microsoft Defender for Endpoint, Symantec Endpoint Protection или Tanium для мониторинга и блокировки несанкционированного оборудования. - Внедряйте политики контроля устройств, разрешающие конкретные типы оборудования (например, клавиатуры, мыши) и блокирующие остальные. Усиление защиты BIOS/UEFI и встроенного программного обеспечения: - Устанавливайте надёжные пароли для доступа к BIOS/UEFI. - Включайте Secure Boot для предотвращения загрузки несанкционированной прошивки от стороннего оборудования. Ограничение периферийных устройств и драйверов: - Используйте политики диспетчера устройств Windows для блокировки установки неодобренных драйверов. - Отслеживайте попытки установки оборудования с помощью инструментов мониторинга конечных точек. Отключение Bluetooth и беспроводного оборудования: - Используйте GPO или инструменты MDM для отключения интерфейсов Bluetooth и Wi-Fi на системах. - Ограничивайте сопряжение оборудования только одобренными устройствами. Ведение журналов и мониторинг: - Включайте регистрацию событий установки оборудования в журналах событий Windows (Event ID 20001 для Device Setup Manager). - Используйте решения SIEM (например, Splunk, Elastic Stack) для обнаружения несанкционированных действий по установке оборудования. *Инструменты реализации* Контроль USB и устройств: - Объекты групповых политик (GPO) Microsoft - Microsoft Defender for Endpoint - Symantec Endpoint Protection - McAfee Device Control Мониторинг конечных точек: - Средства EDR - OSSEC (открытая хостовая IDS) Разрешённые списки оборудования: - BitLocker для внешних дисков (Windows) - Политики установки устройств Windows - Device Control Безопасность BIOS/UEFI: - Secure Boot (Windows/Linux) - Инструменты управления прошивкой, такие как Dell Command Update или HP Sure Start

Связанные техники

T1052
Эксфильтрация через физический носитель
T1052.001
Эксфильтрация через USB
T1091
Репликация через съемные носители
T1200
Добавление аппаратных средств
T1219
Инструменты удаленного доступа
T1219.003
Аппаратное обеспечение удаленного доступа
T1674
Внедрение ввода
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.