Федеральная служба по техническому и экспортному контролю (ФСТЭК России) представила новые рекомендации по повышению защищенности информационной инфраструктуры. Документ посвящен безопасной конфигурации популярного программного обеспечения для организации общего доступа к файлам и принтерам в смешанных сетях - Samba. Эти указания стали результатом постоянного мониторинга и анализа киберугроз, проводимого службой в текущей оперативной обстановке. Рекомендации в первую очередь адресованы органам государственной власти и субъектам критической информационной инфраструктуры (КИИ) Российской Федерации.
Основной целью документа является минимизация рисков, связанных с эксплуатацией Samba-серверов. Эксперты ФСТЭК отмечают, что неправильная настройка этого широко распространенного ПО может стать точкой входа для злоумышленников. Следовательно, предлагаемые меры направлены на усиление защиты периметра, разграничение прав доступа и обеспечение детального аудита всех операций. Реализация этих шагов позволяет противостоять как массовым автоматизированным атакам, так и целевым действиям продвинутых угроз (APT).
Руководство включает несколько ключевых разделов. Первый охватывает базовую и расширенную настройку файлового сервера. Специалистам рекомендуется начинать с создания безопасной структуры общих каталогов с четко определенными правами. Особое внимание уделяется конфигурации файла "smb.conf". Например, важным шагом является ограничение доступа по IP-адресам с помощью директив "hosts allow" и "hosts deny". Это позволяет разрешить подключения только с доверенных подсетей, блокируя весь остальной трафик.
Далее, ФСТЭК настаивает на обязательном отключении устаревшего и небезопасного протокола SMBv1. Вместо него необходимо использовать современные версии SMB2 и SMB3. Это критически важная мера, поскольку SMBv1 содержит известные уязвимости, которые активно эксплуатируются вредоносным ПО, включая программы-вымогатели (ransomware). Дополнительно рекомендуется отключить службу NetBIOS и использовать для SMB только порт 445/tcp, что сужает потенциальную поверхность для атаки.
Отдельный большой блок рекомендаций посвящен настройке системы аудита. Администраторам предлагается детально настроить журналирование с помощью модуля "full_audit". Это позволяет записывать широкий спектр событий - как успешных, так и неудачных. В конфигурацию можно включить информацию о пользователе, его IP-адресе и выполняемом действии. Подобное логирование необходимо для расследования инцидентов и выявления подозрительной активности. Для эффективного анализа логов их рекомендуется направлять в централизованную систему управления информационной безопасностью и событиями (SIEM).
Третий раздел содержит перечень проверок для выявления недостатков конфигурации. Эти мероприятия направлены на обеспечение устойчивости и целостности службы каталогов. Сюда входит проверка обязательного использования строгой аутентификации при LDAP Bind и настройка стойких алгоритмов шифрования для Kerberos. Кроме того, ФСТЭК предписывает регулярно проверять состав привилегированной группы Domain Admins и список групповых политик Active Directory на предмет нелегитимных изменений.
Особое место занимают требования к парольной политике. Рекомендуется устанавливать минимальную длину пароля в 15 символов, требовать использование букв разных регистров и специальных символов. Пароли должны меняться каждые 90 дней, а система должна отслеживать историю, запрещая повторное использование старых паролей. Эти меры усложняют проведение атак методом подбора.
Документ также содержит объемные приложения со справочной информацией. В них приведены перечни подсистем Samba для детального логирования, уровни детализации журналов, а также типы аудируемых событий и приоритеты сообщений. Эти данные предназначены для глубокой кастомизации аудита под конкретные нужды организации и позволяют настроить сбор именно тех данных, которые важны для ее центра безопасности (SOC).
Все опубликованные рекомендации носят практический характер и сопровождаются конкретными примерами команд для терминала. Таким образом, ФСТЭК не только обозначает цели, но и дает администраторам готовые инструменты для их достижения. Выполнение этих предписаний значительно повышает общий уровень защищенности сетевой инфраструктуры. В условиях растущей цифровизации и увеличения числа угроз подобные детальные руководства становятся необходимым элементом государственной политики кибербезопасности. Полный текст рекомендаций доступен на официальном сайте ФСТЭК России в соответствующем разделе.
