Защита от получения учётных данных

Защита от получения учётных данных направлена на реализацию мер предотвращения получения злоумышленниками учётных данных — паролей, хэшей, токенов или ключей, — которые могут использоваться для несанкционированного доступа. Это включает ограничение доступа к механизмам хранения учётных данных, усиление конфигураций для блокировки методов извлечения учётных данных и применение инструментов мониторинга для обнаружения подозрительной активности, связанной с учётными данными. Данная мера может быть реализована следующими способами: Ограничение доступа к хранилищу учётных данных: - Сценарий применения: запрещайте злоумышленникам доступ к базе данных SAM (Security Account Manager) в системах Windows. - Реализация: применяйте принцип наименьших привилегий и ограничивайте административный доступ к хранилищам учётных данных, например `C:\Windows\System32\config\SAM`. Использование Credential Guard: - Сценарий применения: изолируйте память LSASS (Local Security Authority Subsystem Service) для предотвращения извлечения учётных данных. - Реализация: включайте Windows Defender Credential Guard на корпоративных конечных точках для изоляции секретов и их защиты от несанкционированного доступа. Мониторинг инструментов извлечения учётных данных: - Сценарий применения: обнаруживайте и блокируйте известные инструменты, такие как Mimikatz или Windows Credential Editor. - Реализация: помечайте подозрительное поведение процессов, связанное с извлечением учётных данных. Отключение кэшированных учётных данных: - Сценарий применения: предотвращайте эксплуатацию злоумышленниками кэшированных учётных данных на конечных точках. - Реализация: настраивайте групповую политику для сокращения или исключения использования кэшированных учётных данных (например, задайте значение 0 для параметра «Интерактивный вход в систему: количество предыдущих входов в кэш»). Включение Secure Boot и защиты памяти: - Сценарий применения: предотвращайте атаки на память, применяемые для извлечения учётных данных. - Реализация: настраивайте Secure Boot и применяйте аппаратные функции безопасности, такие как DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization).