a SANS Intézet partnere a Critical Security Controls projektben, amely meghatározza a hálózati biztonság legfontosabb feladatait. SANS nagyszerű tanfolyamot kínál “a kritikus biztonsági ellenőrzések végrehajtása és ellenőrzése (SEC566)” címmel, de melyik kurzust kell elvégeznie a SEC566-on való részvétel után?,
Course a SEC566 az ajánlásokat gyártósemleges módon határozza meg, de valójában a legtöbb környezet Microsoft Windows rendszert futtat, és ezeknek a Windows gépeknek a többsége az Active Directory domainekhez csatlakozik. Van egy SANS tanfolyam, amely kínál egy mély merülés a kritikus biztonsági ellenőrzések, mivel azok kifejezetten kapcsolódnak a Windows és Active Directory?
igen, a SANS (sec505 pályaszám) kritikus biztonsági vezérlőkkel ellátott Hatnapos biztonsági ablakok kifejezetten azért vannak megírva, hogy mélyreható lefedettséget biztosítsanak a Windows szervereit és klienseit érintő kritikus vezérlőkről.,
mely ellenőrzések tartoznak a SEC505 alá, és melyek nem?
Az egyes kritikus vezérlők esetében az alábbiakban ismertetjük, hogy mit tartalmaz a biztonsági ablakok (SEC505) tanfolyam, amely segít a Windows rendszerek vezérlőinek végrehajtásában, nem csak az ellenőrzésükben. Azt is kínál javaslatokat más SANS tanfolyamok bevétele után SEC566.
lehet, hogy megnyit egy másik lapot a böngészőben a kritikus vezérlők oldalra, hogy megnézze az összehasonlításhoz szükséges vezérlők összefoglalását.
vezérlés 1: a hardvereszközök készlete
a SEC505 nem terjed ki a hardverkészlet-alkalmazásokra., Az Nmap és más eszközök leltáradatainak összegyűjtésekor azonban elkerülhetetlenül felmerül a probléma, hogy hogyan lehet megszervezni, tárolni, keresni, összehasonlítani és jelentéseket készíteni az összegyűjtött adatok hegyeiről. Függetlenül attól, hogy adatbázisokat, táblázatokat, XML-t vagy csak vesszővel elválasztott szöveges fájlokat használ az adatok tárolásához, a PowerShell kiváló parancshéj és szkriptnyelv az adatok manipulálásához. Sok biztonsági feladatot nem végeznek el, mert a rendszergazdák nem rendelkeznek szkriptkészséggel, a készletfeladatok pedig tökéletes példák. Emiatt, SEC505 tartalmaz egy teljes napot PowerShell scripting.,
Control 2: Inventory of Software
SEC505 nem terjed ki a szoftver leltár alkalmazások, bár vannak harmadik féltől származó fejlesztések Csoportházirend erre a célra, PowerShell lehet lekérdezni a távoli rendszerek a WMI interfész.
fontosabb, mint a készlet, bár ez a vezérlés azt is javasolja, hogy zárja le a szoftverkonfigurációkat, az alkalmazás engedélyezését, az alkalmazás használatának naplózását, valamint a nem kívánt alkalmazás telepítésének megakadályozását., A SEC505 egy egész napot szentel a csoportházirend-sok csoportházirend technológiák csak ezek a típusú problémák, pl., AppLocker, ellenőrzési/bejelentkezés politikák, ügyvezető NTFS-engedélyek, konfigurálása szinte minden szempontból az Internet Explorer a Microsoft Office-alkalmazások, kód aláírás követelményei scripts/makrók, korlátozó MSI csomag telepítése, a parancsfájlok futtatását azonosítani a nem-standard szoftver, stb. A SEC505 kifejezetten a Java, Az Internet Explorer, a Google Chrome, az Adobe Reader és a Microsoft Office keményedési technikáit tárgyalja.,
Control 3: A számítógépes rendszerek biztonságos konfigurációit
A Windows gépeket nem kézzel keményítik, hanem az INF / XML biztonsági sablonok alkalmazásával, például a Microsoft Security Compliance Manager segítségével. Ezek a sablonok a SECEDIT csoportházirend használatával kerülnek alkalmazásra.EXE, a biztonsági konfiguráció és elemzés MMC Beépülő modul, vagy a Biztonsági konfigurációs varázsló (amelyek mindegyikére a SEC505 vonatkozik)., Azon néhány beállítás esetén, amelyeket nem lehet sablonon vagy csoportházirenden keresztül konfigurálni, valószínű, hogy egy szkriptet használnak, hogy a módosítások automatizálhatók legyenek (PowerShell ismét).
Control 4: a sebezhetőség értékelése és a kármentesítés
a SEC505 nem terjed ki a sebezhetőségi szkennerekre, amelyeket más kurzusok, például a Security Essentials (SEC401) tartalmaznak. Másrészt a sebezhetőségi kármentesítés nagyon jól szerepel a javításkezeléssel, a Csoportpolitikával, az alkalmazások megkeményedésével stb.,
Control 5: Malware Defenses
anti-malware technikák tárgyalt a hét folyamán, mint például a Felhasználói fiókok ellenőrzése, DNS víznyelők, Edzés Internet Explorer, Chrome, Java, Adobe Reader, a jump szerverek, AutoPlay/AutoRun, stb .. De összehasonlítása bizonyos AV szkennelési termékek vagy vita arról, hogy hol kell telepíteni őket, hogy nem terjed ki.
Control 6: Application-Layer Software Security
a SEC505 nem terjed ki a biztonságos kódolásra, a webes alkalmazás tesztelésére vagy az adatbázis biztonságára., A SEC505 azonban fél napot szentel a szerver keményedésének (5.nap), például az IIS webszerverek számára.
Control 7: Wireless Device Control
SEC505 végigvezeti Önt a PKI beállításának lépésein, a vezeték nélküli tanúsítványok (vagy intelligens kártyák) kinyomtatásával, a RADIUS szerverek telepítésével, a vezeték nélküli beállítások konfigurálásával a laptopokon a csoportházirenden keresztül, valamint a WPA2, AES titkosítás és PEAP hitelesítés használatának érvényesítésével a RADIUS szervereken. A Csoportházirend segítségével lezárhatja, majd elrejtheti a többi vezeték nélküli lehetőséget a nem adminisztrációs felhasználóktól, például,, megakadályozhatja őket az Ad hoc hálózatokhoz való csatlakozásban. A rogue access points, a tethering és a BYOD számítógépek problémájáról is szó van. SANS van egy nagy hetes pálya vezeték nélküli biztonság (SEC617), de ez persze nem a Windows hálózatok kifejezetten, SEC505 jelentése.
Control 8: adatmentés Képesség
SEC505 nem terjed ki, hogyan kell elvégezni a biztonsági mentést helyreállítási, kérjük, olvassa Security Essentials (SEC401) vagy lépjen kapcsolatba a backup megoldás eladó.,
Control 9: Skills Assessment and Training
a SEC505 nem terjed ki részletesen a biztonsági képzésre vagy a tudatosságvizsgálatra, kérjük, olvassa el az ember biztosítását (MAN433).
Control 10: a hálózati eszközök biztonságos konfigurációja
a SEC505 nem terjed ki a tűzfal kialakítására vagy az útválasztók és kapcsolók konfigurációjára; kérjük, inkább olvassa el a Kerületvédelmet (SEC502).
Control 11: Control of Network Ports, protocoles and Services
Group Policy and command-line administration of IPSec and the Windows Firewall is covered in SEC505 in great detailly., Az IPSec + Windows Firewall + Group Policy kombinációja nagyon pontos és rugalmas ellenőrzést biztosít arra vonatkozóan, hogy a felhasználók és a számítógépek mely portokhoz/szolgáltatásokhoz férhetnek hozzá. A sec505 negyedik napja az IPSec, A Windows tűzfal, a Microsoft RADIUS szolgáltatás 802,1 x vezeték nélküli és Ethernet kliensek hitelesítésére szolgál.
Control 12: adminisztrációs jogosultságok
az adminisztratív felhasználói fiókokra vonatkozó minden ajánlást a SEC505 (2. nap) tárgyalja vagy demonstrálja., A SEC505 PKI napja (3. nap) szintén végigvezeti a résztvevőt a Windows PKI létrehozásának folyamatán, valamint intelligens kártyák és egyéb tanúsítványok kibocsátása az adminisztratív felhasználók számára a biztonságos többtényezős hitelesítés érdekében. Az adminisztrációs hitelesítő adatok biztonságos kezelése, amely magában foglalja a szolgáltatási számlákat is, az egyik legnehezebb és legfontosabb feladat. SEC505 tölt szinte egy egész napot csak ez az egy kontroll, mert fontos, hogy a Windows különösen.,
Control 13: Boundary Defense
a SEC505 nem terjed ki tűzfalra vagy azonosítókra, kérjük, olvassa el a Kerületvédelmet mélyreható (SEC502) és a Behatolásérzékelést mélyreható (SEC503).
Control 14: Audit naplók
A Windows audit házirendje és a naplózás biztonsági sablonokon és csoportházirenden keresztül van konfigurálva, mint már említettük, mivel minden gépnek saját eseménynaplója van. A SEC505 arra is kitér, hogy miként engedélyezhető a távoli hozzáférést ellenőrző RADIUS szerverek bejelentkezése, például VPN átjárók és vezeték nélküli hozzáférési pontok esetén (a 4.napon)., Mindez adatok egységes szerkezetbe kell foglalni a központi helyen, általában a harmadik fél által ELÉRHETŐ, de amikor az emberi érintés szükséges ahhoz, hogy meghaladja a konzerv lekérdezések, riportok a ELÉRHETŐ, hogy lehet, hogy az adatok hatékony kivont analizálni? Ismét PowerShell szkriptek segítségével reguláris kifejezések, SQL lekérdezések nagyon szépen működik. Mi a helyzet a harmadik féltől származó SIEM termékek konfigurálásával? Nem tartozik a SEC505.
Control 15: Ellenőrzött Hozzáférés Alapján Kell Tudni,
Ez rendben is beszélni, hogy az elv Kell, de hol van a gumi találkozni az úton?, Hogyan valósítja meg ezt az elvet egy vállalkozás szerverein? Ez az ellenőrzés nagyrészt Windows felhasználói csoportokon, biztonsági sablonokon, csoportházirenden és dinamikus hozzáférés-ellenőrzési irányelveken keresztül valósul meg. A tesztelés a PowerShell szkriptek segítségével is automatizálható, amelyek különböző jogosultságokkal rendelkező különböző felhasználóként hitelesítik a hálózaton keresztül. Dynamic Access Control (DAC) valami új a Server 2012 kifejezetten adatvesztés megelőzésére (DLP) és érvényesítése need-to-know szabályok. Mindezeket a témákat a SEC505 tárgyalja.,
Control 16: Account Monitoring and Control
a legtöbb ajánlást ebben a kontrollban az Active Directory engedélyek, a csoportházirend-beállítások és az egyéni hirdetési lekérdezések, például a PowerShell szkriptek kombinációjával valósítanák meg. Ezeket a témákat a SEC505 tárgyalja.,
Control 17: adatvesztés Megelőzése
SEC505 kiterjed sok ajánlásait ez a vezérlő a DLP, beleértve a BitLocker egész meghajtó-titkosítás, “BitLocker To Go” az USB flash meghajtókat, a Csoport Politika irányítását USB-eszköz használat, valami új beépített Server 2012-ben, majd később az úgynevezett Dinamikus Hozzáférés-Vezérlés. A Dynamic Access Control (DAC) kifejezetten a need-to-know szabályok és a DLP érvényesítésére szolgál, és már be van építve a Server 2012-be. A rendszereken személyazonosításra alkalmas információk (PII) kereséséhez egyéni PowerShell szkript is használható., A hálózat adatszivárgásának megfigyelése viszont nem tartozik a SEC505 (próbálja meg a SEC503-at).
Control 18: Incidens
SEC505 nem terjed ki incidens tervezés, ezt a témát tárgyalt más kurzusok, pl. Hacker Technikák, Hasznosítja, illetve Incidens Kezelés (SEC504), valamint Speciális Számítógép Törvényszéki Elemzés Incidens (FOR508).
Control 19: Secure Network Engineering
tűzfal tervezés borítja egy másik tanfolyam SANS, de ez az ellenőrzés szélesebb, mint a kerület tűzfalak., Mint fentebb már említettük, Csoportházirend-vezérléssel rendelkezünk az IPSec és a Windows Tűzfal beállításai felett a támadásokra adott gyors válasz érdekében. A DNSSEC, a DNS sinkholes, a DNS secure dynamic frissítések, a NetBIOS és az LLMNR eltávolítása, valamint a DHCP naplózás könnyen engedélyezhető. A PowerShell segítségével nagy DHCP/DNS naplókból is kinyerhetők az adatok. Ezért az ellenőrzés legtöbb ajánlását a SEC505, majd néhány tartalmazza.,
Control 20: penetrációs tesztek
a SEC505 nem terjed ki a penetrációs tesztekre, amelyeket más tanfolyamokon tárgyalnak, mint például a hálózati penetrációs tesztelés és az etikus hackelés (SEC560).
ausztrál kormány négy ellenőrzés
Az ausztrál kormány megállapította, hogy a 20 kritikus ellenőrzés közül négy a leghatékonyabb a behatolások blokkolásában., Mind a négy tárgyalt bizonyított, a hossza SEC505: használjuk a csoportházirend-szolgáltatás, WSUS a szoftver kezelése, AppLocker a whitelisting, s fordítson majdnem egy egész nap, hogy az egyik legnehezebb, hogy végre ellenőrzéseket, nevezetesen, kontrolling rendszergazdai jogosultságokkal.
automatizálás: Group Policy + PowerShell
a 20 kritikus vezérlő projekt hangsúlyozza az automatizálás fontosságát. Az automatizálás és a skálázhatóság a SEC505-ben a Csoportpolitikáról és a Powershellről szóló képzéssel valósul meg., Group Policy Egy Enterprise Management System (EMS) beépített Active Directory, amely többé-kevésbé kezelni minden Windows konfigurációs beállítás és felhasználói alkalmazás, beleértve a Chrome és a Java. A PowerShell nem csak egy szkriptnyelv, hanem egy távoli menedzsment keretrendszer, amely nagyon nagy hálózatokra méretezhető, például a Microsoft saját felhőinfrastruktúrájára. A Group Policy plus PowerShell kombinációja egy erő szorzó a 20 kritikus vezérlő automatizálásához., Ha ezek elmaradnak, a SEC505 ajánlásokat is tartalmaz harmadik féltől származó termékekre, például sebezhetőségi szkennerekre, SIEM rendszerekre és USB-eszköz blokkolókra.
kérdezze meg a tanfolyam szerzőjét
Ha bármilyen kérdése van a Windows (SEC505) kurzussal kapcsolatban, a teljes tanfolyam leírása online, és bátran forduljon a kurzus szerzőjéhez is: Jason Fossen (jason-at – sans.org).