SANS Institute je partnerem v Kritické Bezpečnostní Kontroly projektu, definovat nejdůležitější úkoly pro zabezpečení sítě. SANS nabízí skvělý kurz s názvem „Provádění a kontroly Kritických Bezpečnostních Kontrol (SEC566)“, ale které samozřejmě měl brát po absolvování SEC566?,
Samozřejmě SEC566 definuje doporučení v neutrální, ale ve skutečnosti většina prostředích se systémem Microsoft Windows a většina z těchto počítačích se systémem Windows, jsou připojeny do domény služby Active Directory. Existuje kurz SANS, který nabízí hluboký ponor do kritických bezpečnostních kontrol, protože se konkrétně týkají Windows a Active Directory?
Ano, šest-denní Zabezpečení systému Windows s Kritickou Bezpečnostní Kontroly kurz na SANS (kurz číslo SEC505) je výslovně napsáno, aby poskytovat in-hloubka pokrytí jen ty Kritické Ovládací prvky, které mají vliv na Windows servery a klienty.,
které ovládací prvky jsou zahrnuty v SEC505 a které nejsou?
Pro každý z Kritických Kontrol, následující popisuje, co je pokryta v Zabezpečení Windows (SEC505) samozřejmě, že může pomoci vám realizovat ovládací prvky v systému Windows systémů, ne jen jejich audit. Nabízí také návrhy na další kurzy SANS po absolvování SEC566.
můžete otevřít další kartu v prohlížeči na stránce kritických ovládacích prvků a zobrazit souhrn ovládacích prvků pro srovnání.
Control 1: inventář hardwarových zařízení
SEC505 se nevztahuje na aplikace inventáře hardwaru., Nicméně, při shromažďování dat zásob s nmap a další nástroje, budete nevyhnutelně narazit na problémy, jak organizovat, ukládat, vyhledávat, porovnávat a vytvářet zprávy z hor shromážděných údajů. Ať už používáte databáze, tabulky, XML, nebo jen čárka-oddělený textových souborů pro ukládání dat, PowerShell je vynikající příkaz shell a skriptovací jazyk pro manipulaci s data. Mnoho bezpečnostních úkolů se neprovádí, protože administrátorům chybí skriptovací dovednosti a úkoly inventáře jsou dokonalými příklady. Z tohoto důvodu SEC505 zahrnuje celý den skriptování PowerShell.,
Control 2: inventář softwaru
SEC505 se nevztahuje na aplikace inventáře softwaru, ačkoli pro tento účel existují vylepšení skupinových zásad třetích stran a PowerShell může dotazovat vzdálené systémy prostřednictvím rozhraní WMI.
Mnohem důležitější, než jen zásob, i když, toto řízení také radí uzamčení softwaru konfigurace pomocí aplikace whitelisting, protokolování používání aplikace, a zabránit nežádoucí aplikace, instalace., V SEC505 celý den je věnován Zásad Skupiny a existuje mnoho Zásad Skupiny technologií pro právě tyto druhy problémy, např., AppLocker, audit/přihlášení politik, správu oprávnění NTFS, konfigurace téměř každý aspekt aplikace Internet Explorer a Microsoft Office aplikací, podepisování kódu požadavky na skripty/makra, omezení instalace balíčku MSI, spouštění skriptů identifikovat non-standard software, atd. SEC505 konkrétně pojednává o technikách vytvrzování pro Java, Internet Explorer, Google Chrome, Adobe Reader a Microsoft Office.,
Ovládací 3: Secure Konfigurace pro Počítačové Systémy
Windows stroje nejsou kalené ručně, ale pomocí aplikace INF/XML šablony zabezpečení, například ty, dodávané s Microsoft Security Compliance Manager. Tyto šablony se používají pomocí zásad skupiny, SECEDIT.EXE, Konfigurace Zabezpečení a analýza MMC snap-in, nebo Průvodce konfigurací zabezpečení (všechny jsou zahrnuty v SEC505)., Pro několik nastavení, která nelze nakonfigurovat pomocí šablony nebo zásad skupiny, je pravděpodobné, že bude použit skript, aby mohly být změny automatizovány (PowerShell znovu).
Ovládací 4: Posouzení Zranitelnosti a Sanace
SEC505 nezahrnuje zranitelnost skenery, které jsou zahrnuty v jiných kurzech, jako Security Essentials (SEC401). Na druhé straně je sanace zranitelnosti velmi dobře pokryta v sekcích o správě oprav, Zásadách skupiny, kalení aplikací atd.,
Ovládací 5: Malware Obrany
Anti-malware techniky jsou diskutovány v průběhu týdne, jako je Řízení Uživatelských Účtů, DNS, závrty, kalení Internet Explorer a Chrome, Java, Adobe Reader, pomocí jump servery, AutoPlay/AutoRun, atd. Ale srovnání konkrétních av skenovacích produktů nebo diskuse o tom, kde je nainstalovat, to se nevztahuje.
Control 6: Application-Layer Software Security
SEC505 nezahrnuje bezpečné kódování, testování webových aplikací nebo zabezpečení databáze., SEC505 však věnuje půl dne vytvrzování serveru (den 5), například pro webové servery IIS.
Ovládací 7: Bezdrátové Ovládací Zařízení
SEC505 vás provede kroky nastavení PKI, tlačí ven bezdrátové osvědčení (nebo čipové karty), instalace RADIUS serverů, konfiguraci nastavení bezdrátového připojení na notebooky prostřednictvím Zásad Skupiny, a prosazování použití WPA2, AES šifrování a protokol PEAP ověřování na RADIUS servery. Prostřednictvím zásad skupiny můžete také uzamknout a poté skrýt další možnosti bezdrátového připojení před neadministrativními uživateli, např., můžete jim zabránit v připojení k sítím ad hoc. Diskutuje se také o problému nepoctivých přístupových bodů, tetheringu a počítačů BYOD. SANS má skvělou týdenní stopu v oblasti bezdrátového zabezpečení (SEC617), ale tento kurz není určen konkrétně pro sítě Windows, SEC505 je.
Control 8: schopnost obnovy dat
SEC505 se nevztahuje na to, jak provádět zálohování a obnovu, viz Security Essentials (SEC401) nebo kontaktujte dodavatele zálohovacího řešení.,
kontrola 9: hodnocení a školení dovedností
SEC505 se podrobně nevztahuje na bezpečnostní školení nebo testování povědomí, viz zabezpečení člověka (MAN433).
Ovládací 10: Secure Konfigurace pro Síťová Zařízení
SEC505 nezahrnuje firewall návrhu nebo konfiguraci směrovače a přepínače, prosím, místo toho vidět Obvodové Ochrany Do Hloubky (SEC502).
Control 11: řízení síťových portů, protokolů a služeb
Zásady skupiny a správa příkazového řádku IPSec a Brána Firewall systému Windows je podrobně pokryta SEC505., Kombinace zásad IPSec + Windows Firewall + Group poskytuje velmi přesnou a flexibilní kontrolu nad tím, kterým uživatelům a počítačům je povolen přístup k portům/službám, na kterých počítačích. Čtvrtý den SEC505 je věnován IPSec, Windows Firewall, Microsoft RADIUS service pro 802.1 x ověřování bezdrátových a ethernetových klientů.
Control 12: administrátorská oprávnění
každé doporučení v této kontrole týkající se administrativních uživatelských účtů je diskutováno nebo demonstrováno v SEC505 (den 2)., Den PKI SEC505 (den 3) také prochází účastníkem procesem nastavení Windows PKI a vydávání čipových karet a dalších certifikátů správním uživatelům pro bezpečnou vícefaktorovou autentizaci. Bezpečná správa administrativních pověření, která zahrnuje servisní účty, je jedním z nejobtížnějších a nejdůležitějších úkolů. SEC505 tráví téměř celý den právě tímto ovládáním kvůli jeho významu zejména pro Windows.,
Ovládací 13: Hranice Obrany
SEC505 nezahrnuje firewall nebo IDS design, naleznete Obvodové Ochrany Do Hloubky (SEC502) a Intrusion Detection In-Hloubka (SEC503).
Ovládací 14: Auditní Logy
Windows auditování a protokolování je nakonfigurován pomocí šablony zabezpečení a zásady Skupiny, jak je uvedeno výše, protože každý stroj má své vlastní protokoly událostí. SEC505 také zahrnuje, jak povolit přihlášení k serverům RADIUS ovládajícím vzdálený přístup, například pro brány VPN a bezdrátové přístupové body (v den 4)., Všechna tato data budou muset být konsolidována na centrálním místě, obvykle se Siem třetí strany, ale když je lidský dotek potřebný k překročení konzervovaných dotazů a zpráv vašeho SIEM, jak lze tato data efektivně extrahovat a analyzovat? Opět platí, že skripty PowerShell používající regulární výrazy a dotazy SQL fungují velmi pěkně. A co konfigurace produktů SIEM třetích stran? Není zahrnuto v SEC505.
Ovládací 15: Řízený Přístup na Základě potřeby Vědět,
je To všechno dobře a dobré mluvit o principu Potřebují Vědět, ale gumové setkat na silnici?, Jak vlastně implementujete tento princip napříč servery v podniku? Tato kontrola by byla do značné míry vynucena prostřednictvím skupin uživatelů systému Windows, šablon zabezpečení, zásad skupiny a Zásad dynamického řízení přístupu. Testování lze také automatizovat pomocí skriptů PowerShell, které se ověřují v síti jako různí uživatelé s různými oprávněními. Dynamic Access Control (DAC) je něco nového se serverem 2012 speciálně pro prevenci ztráty dat (DLP) a prosazování potřebných pravidel. Všechna tato témata jsou uvedena v SEC505.,
Control 16: monitorování a řízení účtu
většina doporučení v tomto ovládacím prvku by byla implementována kombinací oprávnění Active Directory, nastavení zásad skupiny a vlastních reklamních dotazů, například pomocí skriptů PowerShell. A tato témata jsou pokryta SEC505.,
Ovládací 17: Prevenci Ztráty Dat
SEC505 zahrnuje mnoho doporučení této ovládání pro DLP, včetně nástroje BitLocker celý disk šifrování, „BitLocker to Go“ pro USB flash disky, Group Policy ovládání zařízení USB použití, a něco nového zabudovaný do Serveru 2012 a později tzv. Dynamické Řízení Přístupu. Dynamic Access Control (DAC) je speciálně pro prosazování potřebných pravidel a DLP a je již zabudován do Serveru 2012. K vyhledávání osobních identifikovatelných informací (PII)v systémech lze použít také vlastní skript PowerShell., Na druhé straně monitorování sítě pro únik dat není zahrnuto v SEC505 (zkuste SEC503).
Ovládací 18: Incident Response
SEC505 nezahrnuje incident response plánování, toto téma je diskutováno v dalších kurzů, jako jsou Hackerské Techniky, Využívá a Incident Handling (SEC504) a také Pokročilé Počítačové Forenzní Analýzy a Reakce na incidenty (FOR508).
Control 19: Secure Network Engineering
Firewall design je pokryt jiným směrem na SANS, ale toto ovládání je širší než jen obvodové firewally., Jak bylo uvedeno výše, máme kontrolu zásad skupiny nad nastavením IPSec a Windows Firewall pro rychlou reakci na útoky. Zabýváme se také DNSSEC, DNS závrtky, DNS bezpečné dynamické aktualizace, odstranění NetBIOS a LLMNR, a protokolování DHCP je snadné povolit. Dalo by se také použít PowerShell extrahovat data z velkých protokolů DHCP/DNS. Proto je většina doporučení v této kontrole pokryta SEC505 a pak některé.,
Ovládací 20: Penetrační Testy
SEC505 nevztahuje na penetrační testování, které je popsáno v další kurzy, jako jsou Sítě, Penetrační Testování a Etický Hacking (SEC560).
australská vláda čtyři kontroly
australská vláda zjistila, že čtyři z 20 kritických kontrol jsou nejúčinnější při blokování vniknutí., Všechny čtyři jsou popsány a demonstrovány na délku v SEC505: používáme zásady Skupiny a službu WSUS pro správu softwaru, AppLocker pro whitelisting, a věnovat téměř celý den na jeden z nejvíce obtížné provádět kontroly, a sice, řízení oprávnění správce.
automatizace: Zásady skupiny + PowerShell
Projekt 20 kritických kontrol zdůrazňuje význam automatizace. Automatizace a škálovatelnost jsou prováděny v SEC505 poskytováním školení o skupinové politice a PowerShell., Group Policy je systém Enterprise Management System (EMS) zabudovaný do Active Directory, který může více či méně spravovat každé nastavení konfigurace systému Windows a uživatelské aplikace, včetně Chrome a Java. PowerShell není jen skriptovací jazyk, je to rámec pro vzdálenou správu, který může škálovat na velmi velké sítě, jako je vlastní cloudová infrastruktura společnosti Microsoft. Kombinace Zásady skupiny Plus PowerShell je multiplikátor síly pro automatizaci 20 kritických ovládacích prvků., A tam, kde jsou nedostatečné, obsahuje SEC505 také doporučení pro produkty třetích stran, jako jsou skenery zranitelnosti, systémy SIEM a blokátory zařízení USB.
Zeptejte se Autora Kurzu
máte-Li jakékoli dotazy ohledně Zabezpečení systému Windows (SEC505) samozřejmě, celý průběh popis je on-line, a neváhejte kontaktovat autor samozřejmě taky: Jason paní fossen (jason-na – sans.org).