Le SANS Institute est partenaire du projet Critical Security Controls pour définir les tâches les plus importantes pour la sécurité du réseau. SANS offre un excellent cours intitulé » Mise en œuvre et Audit des contrôles de sécurité critiques (SEC566) », mais quel cours faut-il suivre après avoir assisté à SEC566?,
Le cours SEC566 définit les recommandations de manière indépendante du fournisseur, mais en fait, la plupart des environnements exécutent Microsoft Windows et la plupart de ces machines Windows sont jointes à des domaines Active Directory. Existe-t-il un cours SANS qui offre une plongée en profondeur dans les contrôles de sécurité critiques, car ils se rapportent spécifiquement à Windows et Active Directory?
Oui, le cours de six jours sécurisation de Windows avec les contrôles de sécurité critiques chez SANS (numéro de cours SEC505) est spécifiquement écrit pour fournir une couverture approfondie des contrôles critiques qui affectent les serveurs et les clients Windows.,
quels contrôles sont couverts par SEC505 et lesquels ne le sont pas?
Pour chacun des contrôles critiques, ce qui suit décrit ce qui est couvert dans le cours sécuriser Windows (SEC505) qui peut vous aider à implémenter les contrôles sur les systèmes Windows, pas seulement à les auditer. Il propose également des suggestions pour d’autres cours SANS Après avoir pris SEC566.
Vous pouvez ouvrir un autre onglet dans votre navigateur à la page des contrôles Critiques pour voir un résumé des contrôles à des fins de comparaison.
contrôle 1: inventaire des périphériques matériels
SEC505 ne couvre pas les applications d’inventaire matériel., Cependant, lorsque vous collectez des données d’inventaire avec nmap et d’autres outils, vous rencontrez inévitablement des problèmes d’organisation, de stockage, de recherche, de comparaison et de génération de rapports à partir des montagnes de données collectées. Que vous utilisiez des bases de données, des feuilles de calcul, XML ou simplement des fichiers texte délimités par des virgules pour stocker les données, PowerShell est un superbe shell de commande et un langage de script pour manipuler ces données. De nombreuses tâches de sécurité ne sont pas effectuées parce que les administrateurs manquent de compétences en script, et les tâches d’inventaire sont des exemples parfaits. Pour cette raison, SEC505 inclut une journée complète sur les scripts PowerShell.,
contrôle 2: inventaire de logiciels
SEC505 ne couvre pas les applications d’inventaire de logiciels, bien qu’il existe des améliorations tierces pour la stratégie de groupe à cet effet, et PowerShell peut interroger les systèmes distants via L’interface WMI.
plus important que le simple inventaire, cependant, ce contrôle conseille également de verrouiller les configurations logicielles, d’utiliser la liste blanche des applications, de consigner l’utilisation des applications et d’empêcher l’installation indésirable des applications., Dans SEC505, une journée entière est consacrée à la stratégie de groupe et il existe de nombreuses technologies de stratégie de groupe pour ce genre de problèmes, par exemple, AppLocker, politiques d’audit/journalisation, gestion des autorisations NTFS, configuration de presque tous les aspects D’Internet Explorer et des applications Microsoft Office, exigences de signature de code pour les scripts/macros, SEC505 traite spécifiquement des techniques de durcissement pour Java, Internet Explorer, Google Chrome, Adobe Reader et Microsoft Office.,
contrôle 3: configurations sécurisées pour les systèmes informatiques
Les machines Windows ne sont pas durcies à la main, mais par l’application de modèles de sécurité INF / XML, tels que ceux fournis avec Microsoft Security Compliance Manager. Ces modèles sont appliqués à l’aide de la stratégie de groupe SECEDIT.EXE, le composant logiciel enfichable MMC de configuration et D’analyse de sécurité ou L’Assistant de Configuration de sécurité (qui sont tous couverts par SEC505)., Pour les quelques paramètres qui ne peuvent pas être configurés via un modèle ou une stratégie de groupe, il est probable qu’un script soit utilisé afin que les modifications puissent être automatisées (PowerShell à nouveau).
contrôle 4: évaluation et correction des vulnérabilités
SEC505 ne couvre pas les scanners de vulnérabilité, qui sont couverts dans d’autres cours, tels que Security Essentials (SEC401). D’autre part, la correction des vulnérabilités est très bien couverte dans les sections sur la gestion des correctifs, la stratégie de groupe, le durcissement des applications, etc.,
Control 5: Malware Defenses
Les techniques Anti-malware sont discutées tout au long de la semaine, telles que le contrôle de compte utilisateur, les gouffres DNS, le durcissement D’Internet Explorer et de Chrome, Java, Adobe Reader, l’utilisation de serveurs jump, La Lecture automatique / AutoRun, etc. Mais une comparaison de produits de numérisation AV particulier ou un débat sur l’endroit où les installer, qui ne sont pas couverts.
contrôle 6: sécurité logicielle de la couche Application
SEC505 ne couvre pas le codage sécurisé, les tests d’applications web ou la sécurité des bases de données., Cependant, SEC505 consacre une demi-journée au renforcement des serveurs (jour 5), comme pour les serveurs Web IIS.
Control 7: Wireless Device Control
SEC505 vous guide à travers les étapes de la mise en place d’une ICP, poussant les certificats sans fil (ou cartes à puce), l’installation des serveurs RADIUS, la configuration des paramètres sans fil sur les ordinateurs portables via la stratégie de groupe, et l’application de l’utilisation de WPA2, Grâce à la stratégie de groupe, vous pouvez également verrouiller, puis masquer les autres options sans fil des utilisateurs non administratifs, par exemple, vous pouvez les empêcher de se connecter à des réseaux ad hoc. Le problème des points d’accès non autorisés, des ordinateurs tethering et BYOD est également discuté. SANS a une excellente piste d’une semaine sur la sécurité sans fil (SEC617), mais ce cours n’est pas spécifiquement pour les réseaux Windows, SEC505 l’est.
contrôle 8: Capacité de récupération de données
SEC505 ne couvre pas la façon d’effectuer des sauvegardes et des restaurations, veuillez consulter Security Essentials (SEC401) ou contacter votre fournisseur de solutions de sauvegarde.,
contrôle 9: évaluation des compétences et Formation
SEC505 ne couvre pas en détail la formation à la sécurité ou les tests de sensibilisation, voir sécurisation de l’humain (MAN433).
Control 10: configurations sécurisées pour les périphériques réseau
SEC505 ne couvre pas la conception du pare-feu ni la configuration des routeurs et des commutateurs; veuillez plutôt consulter la section protection périmétrique en profondeur (SEC502).
Control 11: le contrôle des Ports réseau, des protocoles et des Services
La stratégie de groupe et l’administration en ligne de commande D’IPSec et du pare-feu Windows sont traitées en détail dans SEC505., La combinaison D’IPSec + pare-feu Windows + stratégie de groupe permet un contrôle très précis et flexible sur quels utilisateurs et ordinateurs sont autorisés à accéder à quels ports/services sur quelles machines. Le quatrième jour de SEC505 est consacré à IPSec, au pare-feu Windows, au service Microsoft RADIUS pour l’authentification 802.1 x des clients sans fil et Ethernet.
contrôle 12: privilèges administratifs
chaque recommandation de ce contrôle concernant les comptes utilisateurs administratifs est discutée ou démontrée dans SEC505 (jour 2)., La journée PKI de SEC505 (jour 3) Guide également le participant à travers le processus de configuration D’une PKI Windows et d’émission de cartes à puce et d’autres certificats aux utilisateurs administratifs pour une authentification multifacteur sécurisée. La gestion sécurisée des informations d’identification administratives, y compris les comptes de service, est l’une des tâches les plus difficiles et les plus importantes. SEC505 passe presque une journée entière sur ce seul contrôle en raison de son importance pour Windows en particulier.,
Control 13: Boundary Defense
SEC505 ne couvre pas le pare-feu ou la conception IDS, veuillez consulter Protection périmétrique en profondeur (SEC502) et Détection D’Intrusion en profondeur (SEC503).
contrôle 14: journaux D’Audit
La stratégie et la journalisation D’audit Windows sont configurées via des modèles de sécurité et une stratégie de groupe, comme mentionné ci-dessus, car chaque machine possède ses propres journaux d’événements. SEC505 couvre également comment activer se connecter aux serveurs RADIUS contrôlant l’accès à distance, comme pour les passerelles VPN et les points d’accès sans fil (au Jour 4)., Toutes ces données devront être consolidées à un emplacement central, généralement avec un SIEM tiers, mais lorsque le contact humain est nécessaire pour aller au-delà des requêtes et des rapports prédéfinis de votre SIEM, comment ces données peuvent-elles être efficacement extraites et analysées? Encore une fois, les scripts PowerShell utilisant des expressions régulières et des requêtes SQL fonctionnent très bien. Qu’en est-il de la configuration de produits Siem tiers? Non couvert par SEC505.
contrôle 15: accès contrôlé basé sur le besoin de savoir
c’est bien de parler du principe du besoin de savoir, mais où le caoutchouc rencontre-t-il la route?, Comment implémentez-vous réellement ce principe sur les serveurs d’une entreprise? Ce contrôle serait largement appliqué via les groupes D’utilisateurs Windows, les modèles de sécurité, la stratégie de groupe et les stratégies de contrôle D’accès dynamique. Les tests peuvent également être automatisés via des scripts PowerShell qui s’authentifient sur le réseau en tant qu’utilisateurs différents avec des privilèges différents. Le contrôle d’accès dynamique (DAC) est quelque chose de nouveau avec Server 2012 spécifiquement pour la prévention de la perte de données (DLP) et l’application de règles de besoin de savoir. Tous ces sujets sont abordés dans SEC505.,
contrôle 16: surveillance et contrôle des comptes
La plupart des recommandations de ce contrôle seraient implémentées via une combinaison D’autorisations Active Directory, de paramètres de stratégie de groupe et de requêtes publicitaires personnalisées, comme avec les scripts PowerShell. Et ces sujets sont couverts dans SEC505.,
Control 17: Data Loss Prevention
SEC505 couvre de nombreuses recommandations de ce contrôle pour DLP, y compris BitLocker whole drive encryption, « BitLocker To Go » pour les lecteurs flash USB, Group Policy control of USB device utilisation, et quelque chose de nouveau Intégré Dans Server 2012 et plus tard appelé Dynamic Access Control. Le contrôle d’accès dynamique (DAC) est spécifiquement destiné à l’application de règles et de DLP, et il est déjà intégré à Server 2012. Pour rechercher des informations personnellement identifiables (PII) sur les systèmes, un script PowerShell personnalisé peut également être utilisé., La surveillance du réseau pour les fuites de données, en revanche, n’est pas couverte par SEC505 (essayez SEC503).
Control 18: Incident Response
SEC505 ne couvre pas la planification de la réponse aux incidents, ce sujet est discuté dans d’autres cours, tels que les Techniques de piratage informatique, les Exploits et la gestion des incidents (SEC504) et également L’analyse médico-légale Informatique Avancée et la réponse aux incidents (FOR508).
Control 19: Secure Network Engineering
La conception du pare-feu est couverte dans un cours différent chez SANS, mais ce contrôle est plus large que les pare-feu de périmètre., Comme indiqué ci-dessus, nous avons un contrôle de stratégie de groupe sur les paramètres du pare-feu IPSec et Windows pour une réponse rapide aux attaques. Nous couvrons également DNSSEC, sinkholes DNS, DNS secure dynamic updates, éliminant NetBIOS et LLMNR, et la journalisation DHCP est facile à activer. On peut également utiliser PowerShell pour extraire des données de grands journaux DHCP/DNS. Par conséquent, la plupart des recommandations de ce contrôle sont couvertes dans SEC505, puis certaines.,
contrôle 20: tests de pénétration
SEC505 ne couvre pas les tests de pénétration, qui sont discutés dans d’autres cours, tels que les tests de pénétration de réseau et le piratage éthique (SEC560).
quatre contrôles du gouvernement australien
le gouvernement australien a déterminé que quatre des 20 contrôles critiques sont les plus efficaces pour bloquer les intrusions., Tous les quatre sont discutés et démontrés en détail dans SEC505: nous utilisons la stratégie de groupe et WSUS pour la gestion des logiciels, AppLocker pour la liste blanche, et consacrons presque une journée entière à l’un des contrôles les plus difficiles à implémenter, à savoir le contrôle des privilèges administratifs.
l’Automatisation: la Stratégie de Groupe + PowerShell
Le 20 Contrôles Critiques projet met l’accent sur l’importance de l’automatisation. L’automatisation et l’évolutivité sont accomplies dans SEC505 en fournissant une formation sur la stratégie de groupe et PowerShell., La stratégie de groupe est un système de gestion D’entreprise (EMS) intégré à Active Directory qui peut gérer plus ou moins tous les paramètres de configuration Windows et toutes les applications utilisateur, y compris Chrome et Java. PowerShell n’est pas seulement un langage de script, c’est un framework de gestion à distance qui peut évoluer vers de très grands réseaux, tels que la propre infrastructure cloud de Microsoft. La combinaison de la stratégie de groupe et de PowerShell est un multiplicateur de force pour l’automatisation des 20 contrôles critiques., Et là où ceux-ci sont insuffisants, SEC505 inclut également des recommandations pour les produits tiers, tels que les scanners de vulnérabilité, les systèmes SIEM et les bloqueurs de périphériques USB.
demandez à l’auteur du cours
Si vous avez des questions sur le cours sécuriser Windows (SEC505), la description complète du cours est en ligne, et n’hésitez pas à contacter L’auteur du cours: Jason Fossen (jason-at – sans.org).