Den SANS Institute er en partner i den Kritiske sikkerhedskontrol projekt definer de vigtigste opgaver for net-og informationssikkerhed. SANS tilbyder et fantastisk kursus med titlen” implementering og revision af de kritiske sikkerhedskontroller (SEC566)”, men hvilket kursus skal man tage efter at have deltaget i SEC566?,kursus SEC566 definerer anbefalinger på en leverandørneutral måde, men faktisk kører de fleste miljøer Microsoft andindo .s, og de fleste af disse machinesindo .s-maskiner er forbundet med Active Directory-domæner. Er der en SANS kursus, som tilbyder en dyb dykke ned i de kritiske sikkerhedskontroller, som de specifikt vedrører Windowsindo ?S og Active Directory?
Ja, den seks-dages Sikring af Vinduer med den Kritiske sikkerhedskontrol kursus i SANS (kursusnummer SEC505) er specielt skrevet for at give dybdegående dækning på netop de Kritiske Kontrol, der påvirker Windows-servere og-klienter.,
hvilke kontroller er dækket i SEC505, og hvilke er ikke?
for hver af de kritiske kontroller beskriver følgende, hvad der er dækket af Securing courseindo .s (SEC505) kursus, der kan hjælpe dig med at implementere kontrollerne på .indo .s-systemer, ikke bare revidere dem. Det giver også forslag til andre SANS kurser efter at have taget SEC566.
Du kan åbne en anden fane i din bro .ser til kritiske kontroller side for at se en oversigt over kontrollerne til sammenligning.
Kontrol 1: opgørelse af Hard .areenheder
SEC505 dækker ikke Hard .are inventory applications., Men når du indsamler lagerdata med nmap og andre værktøjer, løber du uundgåeligt op mod problemer med, hvordan du organiserer, gemmer, søger, sammenligner og genererer rapporter fra bjergene af indsamlede data. Uanset om du bruger databaser, regneark, textml eller bare kommaseparerede tekstfiler til at gemme dataene, er Po .ershell et fremragende kommandoskal og scriptsprog til at manipulere disse data. Mange sikkerhedsopgaver udføres ikke, fordi administratorerne mangler scripting færdigheder, og lageropgaver er perfekte eksempler. På grund af dette inkluderer SEC505 en hel dag på Po .ershell-scripting.,
Kontrol 2: Opgørelse af Software
SEC505 dækker ikke software inventory-programmer, men der er tredjepart forbedringer for gruppepolitik til dette formål, og PowerShell kan søge eksterne systemer via WMI-interface.
vigtigere end bare opgørelse, men denne kontrol rådgiver også låsning af Soft .arekonfigurationer ved hjælp af applikationshvidliste, logging af applikationsanvendelse og forebyggelse af uønsket applikationsinstallation., I SEC505 en hel dag er afsat til gruppepolitik, og der er mange Group Policy teknologier til netop den slags problemer, for eksempel AppLocker, revision/logging politikker, administration af NTFS-tilladelser, konfigurere næsten alle aspekter af Internet Explorer og Microsoft Office-programmer, code signing krav til scripts/makroer, der begrænser MSI-pakke installation, der kører scripts til at identificere ikke-standard-software, etc. SEC505 specifikt diskuterer hærdning teknikker til Java, Internet Explorer, Google Chrome, Adobe Reader, Microsoft Office.,
Kontrol 3: Sikre Konfigurationer for Edb-Systemer
Windows-maskiner er ikke hærdet ved hånden, men ved anvendelse af INF/XML-skabeloner, såsom dem, der leveres med Microsoft Security Compliance Manager. Disse skabeloner anvendes ved hjælp af Group Policy, SECEDIT.E .e, sikkerhedskonfiguration og analyse MMC snap-in eller guiden sikkerhedskonfiguration (som alle er dækket af SEC505)., For de få indstillinger, der ikke kan konfigureres via en skabelon eller gruppepolitik, er det sandsynligt, at et script vil blive brugt, så ændringerne kan automatiseres (Po .ershell igen).
kontrol 4: sårbarhedsvurdering og afhjælpning
SEC505 dækker ikke sårbarhedsscannere, som er dækket af andre kurser, såsom Security Essentials (SEC401). På den anden side dækkes sårbarhedsoprydning meget godt i afsnittene om patchhåndtering, Gruppepolitik, applikationshærdning osv.,
Kontrol-5: Malware Forsvar
Anti-malware teknikker diskuteres i hele den uge, som User Account Control, DNS jordfaldshuller, hærdning Internet Explorer og Chrome, Java, Adobe Reader, ved hjælp af hoppe-servere, AutoPlay/AutoRun, osv. Men en sammenligning af bestemte AV scanning produkter eller debat om, hvor at installere dem, der ikke er dækket.
kontrol 6: Soft .aresikkerhed i applikationslag
SEC505 dækker ikke Sikker kodning, test af applicationebapplikationer eller databasesikkerhed., SEC505 bruger dog en halv dag til serverhærdning (dag 5), som for IIS-webebservere.
Kontrol-7: Trådløse Enhed, Kontrol
SEC505 fører dig gennem trinnene til opsætning af en PKI, skubber trådløse certifikater (eller smart cards), installation af RADIUS servere, konfiguration af de trådløse indstillinger på din bærbare computer ved hjælp af gruppepolitik, og håndhævelse af brugen af WPA2-AES-kryptering og PEAP-godkendelse på den RADIUS servere. Gennem gruppepolitik kan du også låse ned og derefter skjule de andre trådløse indstillinger for ikke-administrative brugere, f. eks.,, kan du forhindre dem i at oprette forbindelse til ad hoc-netværk. Problemet med rogue adgangspunkter, tethering og BYOD computere diskuteres også. SANS har et godt ugelangt spor på trådløs sikkerhed( SEC617), men det er selvfølgelig ikke specifikt til SECINDO .s-netværk, SEC505 er.
kontrol 8: Data Recovery Capability
SEC505 dækker ikke, hvordan du udfører sikkerhedskopier og gendannelse, se venligst Security Essentials (SEC401) eller kontakt din leverandør af sikkerhedskopieringsløsninger.,
kontrol 9: vurdering og træning af færdigheder
SEC505 dækker ikke sikkerhedstræning eller opmærksomhedstest i detaljer, se sikring af mennesket (Man433).
kontrol 10: sikre konfigurationer til netværksenheder
SEC505 dækker ikke fire .alldesign eller konfigurationen af routere og S .itche; se i stedet Perimeterbeskyttelse i dybden (SEC502).
11 Kontrol: Kontrol af Net-Porte, Protokoller og Tjenester
Gruppen-Politik og kommando-linje administration af IPSec og Windows Firewall er dækket i SEC505 i stor detalje., Kombinationen af IPSec + Windows Firewall + Group Policy tilskud, meget præcis og fleksibel kontrol over, hvilke brugere og computere, der har adgang til hvilke porte/tjenesteydelser, som maskiner. Dag fire af SEC505 er afsat til IPSec, Windows Firewall, Microsoft RADIUS service til 802.1 x-godkendelse af trådløse og Ethernet-kunder.
kontrol 12: administratorrettigheder
hver anbefaling i denne kontrol vedrørende administrative brugerkonti diskuteres eller demonstreres i SEC505 (dag 2)., PKI dag af SEC505 (dag 3) går også deltageren gennem processen med at oprette en Windows PKI og udstedelse af smart cards og andre certifikater til administrative brugere for at sikre multi-faktor-autentificering. Sikker håndtering af administrative legitimationsoplysninger, der inkluderer servicekonti, er en af de vanskeligste og vigtige opgaver. SEC505 bruger næsten en hel dag på netop denne ene kontrol på grund af dens betydning for Windowsindo .s i særdeleshed.,
Kontrol-13: Boundary Defense
SEC505 dækker ikke firewall eller IDS design, se venligst Perimeter Protection In-Depth (SEC502) og Intrusion Detection In-Dybde (SEC503).
kontrol 14: Audit Logs
Windowsindo .s revisionspolitik og logning er konfigureret gennem sikkerhedsskabeloner og Gruppepolitik, som nævnt ovenfor, da hver maskine har sine egne hændelseslogfiler. SEC505 dækker også, hvordan du aktiverer logning på RADIUS-serverne, der styrer fjernadgang, f.eks. VPN-Gate .ays og trådløse adgangspunkter (i dag 4)., Alle disse data skal konsolideres på et centralt sted, normalt med en tredjeparts SIEM, men når den menneskelige berøring er nødvendig for at gå ud over de dåse forespørgsler og rapporter fra din SIEM, hvordan kan disse data effektivt udvindes og analyseres? Igen fungerer Po .ershell-scripts ved hjælp af regulære udtryk og S .l-forespørgsler meget pænt. Hvad med at konfigurere tredjeparts Siem-produkter? Ikke omfattet af SEC505.
kontrol 15: kontrolleret adgang baseret på behov for at vide
det er alt sammen godt og godt at tale om princippet om behov for at vide, men hvor møder gummiet vejen?, Hvordan implementerer du faktisk dette princip på tværs af servere i en virksomhed? Denne kontrol håndhæves i vid udstrækning via userindo .s-brugergrupper, sikkerhedsskabeloner, Gruppepolitik og politikker for dynamisk adgangskontrol. Test kunne også automatiseres Via Po .ershell-scripts, der godkender over netværket som forskellige brugere med forskellige privilegier. Dynamic Access Control (DAC) er noget nyt med Server 2012 specielt til forebyggelse af datatab (DLP) og håndhævelse af need-to-kno.regler. Alle disse emner er dækket i SEC505.,
Kontrol-16: Konto Overvågning og Kontrol
de Fleste anbefalinger i denne kontrol vil ske ved en kombination af Active Directory-tilladelser, Group Policy indstillinger og brugerdefinerede forespørgsler, som med PowerShell-scripts. Og disse emner er dækket i SEC505.,
Kontrol-17: Data Loss Prevention
SEC505 dækker mange af anbefalingerne i denne kontrol til DLP, herunder BitLocker hele drevet kryptering, “BitLocker to Go” for USB-flash-drev, Group Policy kontrol af USB-enheden i brug, og som noget nyt indbygget i Server 2012 og senere kaldet Dynamic Access Control. Dynamic Access Control (DAC) er specielt til håndhævelse need-to-kno.regler og DLP, og det er allerede indbygget i Server 2012. For at søge efter personligt identificerbare oplysninger (PII) på systemer, en brugerdefineret Po .ershell script kunne bruges så godt., Overvågning af netværket for datalækage er på den anden side ikke dækket af SEC505 (prøv SEC503).
Kontrol-18: Incident Response
SEC505 dækker ikke incident response planlægning, dette emne er diskuteret i andre fag, såsom Hacker Teknikker, Bedrifter og Hændelser Håndtering (SEC504) og også Avancerede Computer Forensic Analyse og Incident Response (FOR508).
Kontrol-19: Secure Network Engineering
Firewall design er dækket i et andet kursus på SANS, men denne kontrol er mere bredt end bare omkredsen af firewalls., Som diskuteret ovenfor, vi har Group Policy kontrol over IPSec og Fireindo .s fire .all-indstillinger for hurtig reaktion på angreb. Vi dækker også DNSSEC, DNS synkehuller, DNS sikker dynamiske opdateringer, fjerne NetBIOS og LLMNR, og DHCP logning er let at aktivere. Man kan også bruge Po .ershell til at udtrække data fra store DHCP/DNS-logfiler. Derfor er de fleste af anbefalingerne i denne kontrol dækket i SEC505, og derefter nogle.,
kontrol 20: penetrationstest
SEC505 dækker ikke penetrationstest, som diskuteres i andre kurser, såsom Netværkspenetrationstest og Etisk Hacking (SEC560).
australske regering fire kontroller
den australske regering har fastslået, at fire af de 20 kritiske kontroller er de mest effektive til at blokere indtrængen., Alle fire er diskuteret og demonstreret på længde i SEC505: vi kan bruge gruppepolitik og WSUS for software management, AppLocker for whitelisting, og bruge næsten en hel dag til et af de mest vanskelige at gennemføre kontrol, nemlig styring af administrative privilegier.
automatisering: Group Policy + Po .ershell
20 Critical Controls-projektet understreger vigtigheden af automatisering. Automatisering og skalerbarhed opnås i SEC505 ved at give træning på Gruppepolitik og Po .ershell., Group Policy er et Enterprise Management System (EMS) indbygget i Active Directory, der kan mere eller mindre styre hver configurationindo .s-konfigurationsindstilling og brugerapplikation, herunder Chrome og Java. Po .ershell er ikke kun et scriptsprog, det er en fjernstyringsramme, der kan skaleres til meget store netværk, såsom Microsofts egen skyinfrastruktur. Kombinationen af Group Policy plus Po .ershell er en kraftmultiplikator til automatisering af de 20 kritiske kontroller., Og hvor disse kommer til kort, SEC505 indeholder også anbefalinger til tredjepartsprodukter, såsom sårbarhed scannere, SIEM-systemer, og USB-enhed blokkere.
Spørg Naturligvis Forfatter
Hvis du har nogen spørgsmål om Sikring af Vinduer (SEC505) naturligvis den fulde kursusbeskrivelse er online, og du er velkommen til at kontakte naturligvis forfatter også: Jason Fossen (jason -ved – sans.org).