SANS Institute on kumppani Critical Security Controls-hankkeessa, määritellä tärkeimpiä tehtäviä verkon turvallisuus. SANS tarjoaa suuri-kurssi otsikolla ”toteuttamisen ja Tilintarkastuksen Kriittiset turvatarkastukset (SEC566)”, mutta joka tietysti olisi yksi ottaa käytyään SEC566?,
Kurssin SEC566 määrittelee suosituksia myyjä-neutraali tapa, mutta itse asiassa useimmat ympäristöt ajaa Microsoft Windows ja useimmat näistä Windows-koneilla ovat liittyneet Active Directory verkkotunnuksia. Onko SANS-kurssi, joka tarjoaa syvän sukelluksen kriittisiin Turvaohjaimiin, koska ne liittyvät erityisesti Windowsiin ja Active Directoryyn?
Kyllä, kuuden päivän Turvaaminen Windows-Kriittisen Turvallisuuden Valvonta kurssin SANS (kurssin numero SEC505) on nimenomaan kirjoitettu tarjota syvällistä kattaa vain ne Kriittiset Valvontaa, joka vaikuttaa Windows-palvelimet ja-työasemat.,
mitkä tarkastukset kuuluvat SEC505: een ja mitkä eivät?
jokaisen Kriittisen Valvontaa, seuraavassa kuvataan, mitä on katettu Turvaaminen Windows (SEC505) kurssi jotka voivat auttaa sinua toteuttaa valvontaa Windows-järjestelmissä, ei vain tarkastuksen niitä. Se tarjoaa myös ehdotuksia muille SANS kurssit jälkeen SEC566.
saatat avata toisen välilehden selaimessasi Critical Controls-sivulle nähdäksesi yhteenvedon kontrolleista vertailua varten.
Ohjaus 1: Kartoitus Laitteita
SEC505 ei kata laitteiston kartoitus sovelluksia., Kuitenkin, kun kerääminen varaston tietoja nmap ja muut työkalut, sinun väistämättä törmänneet ongelmiin miten järjestää, tallentaa, hakea, vertailla ja luoda raportteja vuorilta kerättyjä tietoja. Olitpa käyttää tietokantoja, laskentataulukoita, XML tai vain pilkulla erotettuna tekstitiedostoja tallentaa tietoja, PowerShell on loistava komentotulkki ja skriptikieli, että tietoja manipuloimalla. Monet tietoturva tehtäviä ei suoriteta, koska ylläpitäjät ole scripting taitoja, ja varaston tehtävät ovat täydellisiä esimerkkejä. Tämän vuoksi, SEC505 sisältää koko päivän PowerShell scripting.,
Control 2: Kartoitus Ohjelmisto
SEC505 ei kata ohjelmiston inventaario sovelluksia, vaikka on olemassa kolmannen osapuolen lisälaitteita varten Group Policy tätä tarkoitusta varten, ja PowerShell voi kysellä kauko-järjestelmien kautta WMI interface.
tärkeämpää kuin vain varaston, vaikka tämä ohjaus myös neuvoo lukitus alas ohjelmistojen kokoonpanoissa, käyttäen sovellus whitelisting, logging-sovelluksen käyttö, ja estää ei-toivotut sovellus asennus., Vuonna SEC505 koko päivä on omistettu Group Policy ja on monia Group Policy technologies vain tällaisia ongelmia, esim., AppLocker, tarkastus – /hakkuut politiikkaa, toimitusjohtaja NTFS-käyttöoikeuksien määrittäminen lähes kaikilla osa Internet Explorer ja Microsoft Office sovellukset, koodi allekirjoituksen vaatimukset scripts/makrot, rajoittaa MSI-paketin asennus, käynnissä skriptejä tunnistaa ei-standardi ohjelmisto, jne. SEC505 käsittelee erityisesti Javan, Internet Explorerin, Google Chromen, Adobe Readerin ja Microsoft Officen kovettumistekniikoita.,
Ohjaus 3: Turvallista Kokoonpanoja tietojärjestelmien
Windows koneet eivät ole kovettama käsi, mutta soveltamalla INF/XML-security malleja, kuten ne, jotka Microsoft Security Compliance Manager. Näitä malleja käytetään ryhmäkäytännön, SECEDIT.EXE, SUOJAUSKOKOONPANO ja-analyysi MMC-laajennus tai ohjattu Suojauskokoonpano (jotka kaikki kuuluvat SEC505: een)., Muutamia asetuksia, joita ei voi määrittää mallin tai Group Policy, on todennäköistä, että käsikirjoitus olisi käytettävä niin, että muutokset voisivat olla automaattisia (PowerShell uudelleen).
Control 4: Haavoittuvuuden Arviointi ja Korjaaminen
SEC505 ei kata haavoittuvuus skannerit, jotka kuuluvat muita kursseja, kuten Security Essentials (SEC401). Toisaalta haavoittuvuuden korjaaminen katetaan erittäin hyvin korjaustiedostojen hallintaa, ryhmäkäytäntöä, sovellusten kovettumista jne.koskevissa osioissa.,
Ohjaus 5: Malware Puolustuksemme
Anti-malware tekniikoita käsitellään koko viikon, kuten käyttäjätilien Valvonta -, DNS-sinkholes, karkaisu Internet Explorer ja Chrome, Java, Adobe Reader, käyttämällä jump-palvelimet, automaattinen Käynnistys/AutoRun, jne. Mutta vertailu tiettyjen AV skannaus tuotteita tai keskustelua siitä, missä asentaa ne, että ei kuulu.
Control 6: sovelluskerroksen Ohjelmisto Turvallisuus
SEC505 ei kata turvallinen koodaus, web-sovellusten testaus tai tietokannan turvallisuus., SEC505 kuitenkin omistaa puoli päivää palvelimen kovettumiseen (5.päivä), kuten IIS-verkkopalvelimiin.
Ohjaus 7: Langattoman Laitteen Ohjaus
SEC505 opastaa vaiheet perustaa PKI, työntää pois langaton todistukset (tai smart cards), asentamalla RADIUS-palvelimiin, konfigurointi langattoman verkon asetukset kannettavat tietokoneet kautta Group Policy, ja valvoa käyttöä WPA2, AES-salaus ja PEAP-todennus RADIUS-palvelimia. Ryhmäkäytännön avulla voit myös lukita ja piilottaa muut langattomat vaihtoehdot ei-hallinnollisilta käyttäjiltä, esim.,, voit estää niitä liittymästä tilapäisiin verkkoihin. Myös rogue access points -, tethering-ja BYOD-tietokoneiden ongelmasta keskustellaan. SANS on hyvä viikon mittainen seurata langattoman turvallisuuden (SEC617), mutta tämä kurssi ei ole Windows-verkkojen erityisesti, SEC505 on.
Ohjaus 8: Tietojen Hyödyntämistä Valmius
SEC505 ei kata miten suorittaa varmuuskopiointi ja palautus, katso Security Essentials (SEC401) tai ota yhteys varmuuskopio ratkaisu toimittaja.,
Control 9: Osaamisen Arviointi ja Koulutus
SEC505 ei kata turvallisuuskoulutus ja tietoisuuden testaus yksityiskohtaisesti, katso Turvaaminen Ihmisen (MAN433).
Ohjaus 10: Turvallinen Kokoonpanoissa for Network Devices
SEC505 ei kata palomuurin suunnittelun tai kokoonpanon reitittimet ja kytkimet; ota sen sijaan nähdä, Kehä Suojaa Syvällistä (SEC502).
Ohjaus 11: Valvonta-Verkon Portteja, Protokollia ja Palveluja
Group Policy ja command-line hallinnon IPSec ja Windowsin Palomuuri on katettu SEC505 yksityiskohtaisesti., Yhdistelmä IPSec + Windows Firewall + Group Policy myöntää erittäin tarkka ja joustava hallita, mitkä käyttäjät ja tietokoneet ovat sallittuja käyttää, joka portit/palvelut, joihin koneita. Päivä neljä SEC505 on omistettu IPSec, Windowsin Palomuuri, Microsoft SÄDE palvelun 802.1 x-todennuksen käyttäminen langattoman ja Ethernet-asiakkaille.
Ohjaus 12: Hallinto-Oikeuksia
Jokaisen suosituksen tätä valvontaa koskevat hallinnolliset käyttäjätilejä käsitellään tai osoitettu SEC505 (päivä 2)., PKI päivä SEC505 (päivä 3) myös kävelee osallistuja läpi prosessin perustamalla Windows PKI ja antaa älykortit ja muut todistukset hallinto-käyttäjille turvallinen multi-factor authentication. Hallinnollisten valtakirjojen Turvallinen hallinta, joka sisältää palvelutilit, on yksi vaikeimmista ja tärkeimmistä tehtävistä. SEC505 viettää lähes koko päivän vain tämän yhden control, koska sen merkitys Windows erityisesti.,
Ohjaus 13: Rajan Puolustus
SEC505 ei kata palomuurin tai TUNNUKSET suunnittelu, katso Kehä Suojaa Syvällistä (SEC502) ja Tunkeutumisen havainnointi-In-Syvyys (SEC503).
ohjaus 14: tarkastuslokit
Windowsin tarkastuskäytäntö ja kirjaaminen on määritetty suojausmallien ja ryhmäkäytännön avulla, kuten edellä mainittiin, koska jokaisella koneella on omat tapahtumalokit. SEC505 kattaa myös sen, miten etäyhteyttä sääteleviin RADIUS-palvelimiin voidaan kirjautua, kuten VPN-yhdyskäytäviin ja langattomiin yhteyspisteisiin (päivänä 4)., Kaikki nämä tiedot tulee olla konsernin keskeinen sijainti, yleensä kolmannen osapuolen SIEM, mutta kun ihmisen kosketus on tarpeen mennä pidemmälle purkitettu kyselyt ja raportit SIEM, miten tiedot onnistuneesti uutettu ja analysoitu? Jälleen PowerShell-skriptit, joissa käytetään säännöllisiä lausekkeita ja SQL-kyselyjä, toimivat hyvin. Entä kolmannen osapuolen SIEM-tuotteiden määrittäminen? Ei kuulu SEC505: een.
Ohjaus 15: kulunvalvonta Perustuu Täytyy Tietää
– Se on kaikki hyvin ja hyvä puhua periaate Täytyy Tietää, mutta missä kumi täyttää tien?, Miten tämä periaate todella toteutetaan yrityksen palvelimilla? Tämä valvonta toteutettaisiin suurelta osin Windows-käyttäjäryhmien, suojausmallien, ryhmäkäytännön ja dynaamisten Kulunvalvontakäytäntöjen kautta. Testaus voi olla myös automatisoitu kautta PowerShell-skriptejä, jotka todentaa verkon yli eri käyttäjille eri oikeudet. Dynamic Access Control (DAC) on jotain uutta Server 2012: ssa erityisesti tietojen häviämisen estämiseen (DLP) ja tarpeeseen saada tietoa koskevien sääntöjen täytäntöönpanoon. Kaikki nämä aiheet sisältyvät SEC505: een.,
Ohjaus 16: Tilin Seuranta ja Valvonta
Useimmat suositukset tämä valvonta toteutettaisiin yhdistämällä Active Directory oikeudet, Group Policy-asetuksia, ja custom AD kyselyt, kuten PowerShell-skriptejä. Ja näitä aiheita käsitellään SEC505: ssä.,
Ohjaus 17: Data Loss Prevention
SEC505 kattaa monia suosituksia tämän ohjaus DLP, mukaan lukien BitLocker koko aseman salaus, ”BitLocker To Go” varten USB-flash-asemat, Group Policy control USB-laitteen käyttöä, ja jotain uutta rakennettu Server 2012 ja myöhemmin nimeltään Dynamic Access Control. Dynamic Access Control (DAC) on erityisesti valvoa tarve-to-tietää säännöt ja DLP, ja se on jo rakennettu Server 2012. Voit etsiä henkilökohtaisesti tunnistettavia tietoja (PII) järjestelmistä, mukautettua PowerShell-komentosarjaa voidaan käyttää myös., Seuranta verkon tietojen vuoto, toisaalta, ei kuulu SEC505 (kokeile SEC503).
Ohjaus 18: Incident Response
SEC505 ei kata incident response suunnittelu, tämä aihe on keskusteltu muita kursseja, kuten Hakkerin Tekniikoita, Hyödyntää ja Tapahtuma Käsittely (SEC504) ja myös kokeneille tietokoneiden Rikosteknisen Analyysin ja Incident Response (FOR508).
Control 19: Turvallinen Verkon Suunnittelu
Palomuuri suunnittelu on katettu eri kurssin SANS, mutta tämä ohjaus on enemmän laaja kuin vain kehä palomuurit., Kuten edellä on mainittu, meillä on Ryhmäkäytäntöohjaus IPSec: n ja Windowsin palomuuriasetuksista nopeaan reagointiin hyökkäyksiin. Me kattaa myös DNSSEC DNS-sinkholes, DNS turvalliset dynaamiset päivitykset, poistaa NetBIOS-ja LLMNR, ja DHCP hakkuut on helppo ottaa käyttöön. Yksi voisi myös käyttää PowerShell poimia tietoja suurista DHCP / DNS lokit. Suurin osa valvonnan suosituksista kuuluu näin ollen SEC505: een, ja sen jälkeen joihinkin.,
Control 20: Levinneisyys Testit
SEC505 ei kata levinneisyys testaus, jossa käsitellään muita kursseja, kuten Verkko-Levinneisyys Testaus ja Eettinen Hakkerointi (SEC560).
Australian Hallitus Neljä Valvonta
Australian hallitus on päättänyt, että neljä 20 Kriittinen Valvonta on tehokkain tapa estää tunkeutumista., Kaikki neljä on keskusteltu ja osoitettu laajasti SEC505: käytämme Group Policy ja WSUS-ohjelmiston hallinta, AppLocker varten whitelisting, ja omistaa lähes koko päivä yksi vaikeimmista toteuttaa valvonta eli valvoa järjestelmänvalvojan oikeudet.
Automaatio: Group Policy + PowerShell
20 Kriittiset Valvonta-hanke korostaa automaatio. Automaatio ja skaalautuvuus ovat saavuttaneet SEC505 tarjoamalla koulutusta Group Policy ja PowerShell., Group Policy on Yrityksen hallintajärjestelmä (EMS) rakennettu Active Directory, joka voi enemmän tai vähemmän hallita kaikkia Windows-kokoonpanomääritys ja käyttäjän sovellus, kuten Chrome ja Java. PowerShell ei ole vain scripting kieli, se on remote management framework, joka skaalautuu hyvin suurten verkkojen, kuten Microsoftin oma pilvi infrastruktuuri. Yhdistelmä Group Policy plus PowerShell on force multiplier-automaatio 20 Kriittistä Valvontaa., Ja jos nämä eivät riitä, SEC505 sisältää myös suosituksia kolmannen osapuolen tuotteita, kuten haavoittuvuus skannerit, SIEM-järjestelmissä, ja USB-laitteen salpaajat.
Kysy Kurssin Kirjoittaja
Jos sinulla on kysyttävää Turvaaminen Windows (SEC505) tietysti koko kurssin kuvaus on verkossa, ja rohkeasti yhteyttä kurssin liian tekijä: Jason Fossen (jason -at – sans.org).