The SANS Institute er en partner i viktige Sikkerhets-Kontrollene prosjekt for å definere de viktigste oppgavene for network security. SANS tilbyr et flott kurs med tittelen «Implementering og Revisjon viktige Sikkerhets-Kontroller (SEC566)», men som selvsagt bør man ta etter å ha deltatt på SEC566?,
Selvfølgelig SEC566 definerer anbefalinger i et leverandør-nøytral måte, men faktum er at de fleste miljøer som kjører Microsoft Windows og de fleste av disse Windows-maskiner er koblet til Active Directory-domener. Er det en SANS kurs som gir et dypdykk inn i den viktige Sikkerhets-Kontrollene som de spesifikt er relatert til Windows og Active Directory?
Ja, seks-dagers å Sikre Windows med viktige Sikkerhets-Kontrollene kurs på SANS (kurs antall SEC505) er spesielt skrevet for å gi dyptgående dekning av bare de Kritiske Kontroller som påvirker Windows-servere og klienter.,
hvilke Kontroller Som Er Dekket I SEC505 og Hvilke Er Ikke?
For hver av de Kritiske Kontroller følgende beskriver hva som er dekket i å Sikre Windows (SEC505) kurs som kan hjelpe deg med å gjennomføre kontroller på Windows-systemer, ikke bare granske dem. Den har også forslag til andre SANS kurs etter å ha tatt SEC566.
Du kan åpne en ny fane i nettleseren din for å Kritisk Kontroller siden for å se et sammendrag av kontrollene for sammenligning.
Kontroll 1: Beholdning av Maskinvare Enheter
SEC505 dekker ikke maskinvare inventar programmer., Imidlertid, når gathering inventory data med nmap og andre verktøy du uunngåelig kjøre opp mot problemer på hvordan du kan organisere, lagre, søke, sammenligne og generere rapporter fra fjell av data som samles inn. Om du bruker databaser, regneark, XML eller bare komma-separert tekst-filer til å lagre data, PowerShell er et ypperlig command shell og skriptspråk for manipulering av data. Mange security oppgaver ikke blir utført fordi administratorer mangel skript, og lager oppgaver er perfekte eksempler. På grunn av dette, SEC505 inkluderer en full dag på PowerShell-skript.,
Kontroll 2: Beholdning av Programvare
SEC505 dekker ikke programvare inventar programmer, selv om det er tredjeparts utvidelser for gruppepolicy for dette formålet, og PowerShell kan spørre eksterne systemer via WMI-grensesnitt.
Mer viktig enn bare inventar, selv om denne kontrollen råder også låse ned programvare konfigurasjoner, kan du ved hjelp av programmet whitelisting, logging programmene, og hindrer uønsket program installasjon., I SEC505 en hel dag viet til Group Policy, og det er mange Group Policy teknologier for bare disse slags problemer, f.eks., AppLocker, revisjon/logging politikk, administrerende NTFS-tillatelser, konfigurere nesten alle aspekter av Internet Explorer, og Microsoft Office-programmer, etiske krav til signering for skript/makroer, begrense MSI-pakke installasjon, kjøre skript for å identifisere ikke-standard programvare, etc. SEC505 spesifikt omhandler herding teknikker for Java, Internet Explorer, Google Chrome, Adobe Reader og Microsoft Office.,
Control 3: Sikre Konfigurasjoner for datasystemer
Windows-maskiner er ikke herdet for hånd, men ved anvendelse av INF/XML sikkerhet maler, slik som de som følger med Microsoft Security Compliance. Disse malene er anvendt ved hjelp av gruppepolicy, SECEDIT.EXE, Sikkerhet Konfigurasjon og Analyse MMC-snapin-modulen, eller Veiviseren for sikkerhetskonfigurasjon (alle som er dekket i SEC505)., For noen innstillinger som ikke kan konfigureres via en mal eller gruppepolicy, er det sannsynlig at et skript ville bli brukt, slik at endringene kan være automatisert (PowerShell igjen).
Kontroll 4: sårbarhetsanalyser og Utbedring
SEC505 ikke dekke sårbarhet skannere, som er dekket i andre fag, for eksempel Security Essentials (SEC401). På den annen side, sårbarhet utbedring er dekket svært godt i seksjoner på patch management, Group Policy, programmer herding, etc.,
Kontroll 5: Malware Forsvar
Anti-malware teknikker er diskutert gjennom hele uken, for eksempel User Account Control, DNS synkehull, herding Internet Explorer og Chrome, Java, Adobe Reader, kan du bruke hopp servere, AutoPlay/AutoRun, etc. Men en sammenligning av bestemt AV skanning produkter eller debatt om hvor du vil installere dem, som ikke er dekket.
Kontroll 6: Program-Lag Programvare Sikkerhet
SEC505 dekker ikke sikker koding, web-programmet for testing eller database sikkerhet., Imidlertid, SEC505 ikke bruke en halv dag til server herding (dag 5), slik som for IIS web-servere.
Kontroll 7: Trådløse Enheten Kontroll
SEC505 leder deg gjennom trinnene for å sette opp en PKI, og presser ut trådløse sertifikater (eller smart-kort), installerer RADIUS-servere, konfigurere de trådløse innstillingene på bærbare datamaskiner via Group Policy, og håndheve bruk av WPA2-AES-kryptering og PEAP-godkjenning på RADIUS-servere. Gjennom gruppepolicy du kan også låse ned og deretter skjule andre trådløse alternativer fra ikke-administrative brukere, f.eks., du kan hindre dem fra å koble til ad hoc-nettverk. Problemet med rogue-tilgangspunkter, tilknytning og BYOD datamaskiner er også diskutert. SANS har en flott uke-lange spor på trådløs sikkerhet (SEC617), men som selvsagt ikke er til Windows-nettverk spesielt, SEC505 er.
Control 8: Data Utvinning Evne
SEC505 dekker ikke slik utfører du sikkerhetskopiering og gjenoppretting, kan du se Security Essentials (SEC401) eller kontakt din backup-løsning leverandør.,
Control 9: Ferdigheter i Vurdering og Trening
SEC505 ikke dekker sikkerhet trening eller bevissthet testing i detaljer, vennligst se å Sikre Menneske (MAN433).
Control 10: Sikre Konfigurasjonene for nettverksenhetene
SEC505 ikke dekke brannmur design eller konfigurasjon av rutere og svitsjer, kan du i stedet se Perimeter Protection In-Dybde (SEC502).
Control 11: Kontroll av nettverksporter, Protokoller og Tjenester
Gruppe for Personvern og kommandolinje for administrasjon av IPSec-og Windows-Brannmuren er dekket i SEC505 i stor detalj., Kombinasjonen av IPSec + Windows-Brannmur + Group Policy gir svært presis og fleksibel kontroll over hvilke brukere og-datamaskiner som har adgang til hvilke porter/tjenester som maskiner. Dag fire av SEC505 er viet til IPSec, Windows-Brannmur, Microsoft RADIUS service for 802.1 x-godkjenning av trådløse og Ethernet-klienter.
– Kontroll 12: Administrative Privilegier
Hver anbefaling i denne kontrollen vedrørende administrative brukerkontoer er diskutert eller vist i SEC505 (dag 2)., PKI dag av SEC505 (dag 3) også turer deltakeren gjennom prosessen med å sette opp en Windows PKI og utstede smartkort og andre sertifikater til administrative brukere for sikker multi-faktor autentisering. En sikker måte å håndtere administrative rettigheter, som inkluderer service-kontoer, er en av de mest vanskelige og viktige oppgaver. SEC505 tilbringer nesten en hel dag på bare denne ene kontroll på grunn av dens betydning for Windows spesielt.,
Control 13: Grensen Forsvaret
SEC505 ikke dekke brannmur eller ID-kort design, vennligst se Perimeter Protection In-Dybde (SEC502) og Intrusion Detection In-Dybde (SEC503).
Control 14: kontrolloggene
Windows audit policy og logging er konfigurert gjennom security maler og Group Policy, som nevnt ovenfor, siden hver maskin har sin egen hendelseslogger. SEC505 dekker også hvordan du aktiverer logging i RADIUS-servere kontrollerende for ekstern tilgang, som for VPN-gatewayer og trådløs tilgang poeng (i Dag 4)., Alle disse dataene må være konsolidert på et sentralt sted, vanligvis med en tredje-part SIEM, men når human touch er nødvendig å gå utover hermetisk spørringer og rapporter av SIEM, slik at data kan være effektivt tatt ut og analysert? Igjen, PowerShell-skript ved hjelp av regulære uttrykk og SQL-spørringer fungerer veldig pent. Hva om konfigurering av tredjeparts SIEM produkter? Ikke dekket i SEC505.
Control 15: Kontrollert Tilgang Basert på Behovet for Å Vite
Det er vel og bra å snakke om prinsippet Trenger Å Vite, men hvor kommer gummi møte veien?, Hvordan får du egentlig gjennomføre dette prinsippet på tvers av servere i en virksomhet? Denne kontrollen vil i stor grad bli håndhevet gjennom Windows-bruker-grupper, sikkerhet maler, Group Policy og Dynamisk Access Control politikk. Testing kan også være automatisert gjennom PowerShell-skript som godkjenner over nettverket som ulike brukere med ulike rettigheter. Dynamisk Access Control (DAC) er noe nytt med Server-2012 som er spesielt for Data Loss Prevention (DLP) og håndheve behov for å kjenne reglene. Alle disse temaene er dekket i SEC505.,
Control 16: Konto Overvåking og Kontroll
de Fleste av anbefalingene i denne kontrollen ville bli implementert gjennom en kombinasjon av Active Directory-tillatelser, Group Policy-innstillinger, og tilpasset ANNONSE spørsmål, for eksempel med PowerShell-skript. Og disse temaene er dekket i SEC505.,
Control 17: Tap av Data Forebygging
SEC505 dekker mange av anbefalingene fra denne kontrollen for DLP, inkludert BitLocker hele stasjonskryptering, «BitLocker to Go» for USB-flash-stasjoner, Group Policy kontroll av USB-enheten bruk, og noe nytt er bygget inn i Server 2012 og senere kalt Dynamisk tilgangskontroll. Dynamisk Access Control (DAC) er spesielt utviklet for å håndheve behov for å kjenne til reglene og DLP, og det er allerede bygget inn i Server-2012. For å søke etter Personlig Identifiserbar Informasjon (PII), om systemene, tilpasset PowerShell-skript kan like godt brukes., Overvåking av nettverk for data lekkasje, på den annen side, er ikke dekket i SEC505 (prøv SEC503).
Control 18: Incident Response
SEC505 dekker ikke incident response planlegging, dette emnet er omtalt i andre fag, for eksempel Hacker Techniques, Exploits og Incident Håndtering (SEC504) og også Avansert Datamaskin Rettsmedisinske Analyser og Incident Response (FOR508).
Control 19: Secure Network Engineering
Brannmur design er dekket i en annen kurs på SANS, men denne kontrollen er mer fleksibelt enn bare omkretsen brannmurer., Som diskutert ovenfor, har vi Group Policy kontroll over IPSec og innstillinger for Windows-Brannmur for rask respons til angrepene. Vi dekker også DNSSEC, DNS synkehull, DNS sikre dynamiske oppdateringer, eliminere NetBIOS og LLMNR-og DHCP-logging er enkelt å legge. Man kan også bruke PowerShell for å trekke ut data fra store DHCP/DNS-logger. Derfor, de fleste av anbefalingene i denne kontrollen er dekket i SEC505, og deretter noen.,
Control 20: Penetrasjon Tester
SEC505 dekker ikke penetration testing, som er diskutert i andre fag, for eksempel Network Penetration Testing og Etisk Hacking (SEC560).
Australske Regjeringen Fire Kontroller
Den Australske regjeringen har bestemt at fire av de 20 Kritisk Kontroller som er mest effektiv i å blokkere inntrengere., Alle fire er omtalt og vist i lengde i SEC505: vi bruker gruppepolicy og WSUS for administrasjon av programvare, AppLocker for whitelisting, og bruke nesten en hel dag til en av de mest vanskelige å gjennomføre kontroll, nemlig å kontrollere administrative privilegier.
Automatisering: gruppepolicy + PowerShell
20 Kritisk Styrer prosjektet understreker betydningen av automatisering. Automatisering og skalerbarhet er oppnådd i SEC505 ved å gi trening i Gruppe for Personvern og PowerShell., Gruppepolicy er en Enterprise Management System (EMS) som er innebygd i Active Directory som kan mer-eller-mindre administrere ethvert Windows-konfigurasjon innstilling og bruker programmet, inkludert Chrome og Java. PowerShell er ikke bare et skriptspråk, det er en remote management framework som kan skalere til svært store nettverk, slik som Microsoft ‘ s egen cloud infrastruktur. Kombinasjonen av gruppepolicy pluss PowerShell er en styrkemultiplikator for automatisering av 20 Kritisk Kontroller., Og hvor disse kommer til kort, SEC505 inneholder også anbefalinger for tredjeparts produkter, for eksempel sårbarhet skannere, SIEM systemer, og USB-enhet blockers.
Spør Kurset Forfatter
Hvis du har spørsmål om Sikring av Windows (SEC505) kurs, full kursbeskrivelse er online, og føler seg fri til å kontakt kurset forfatteren også: Jason Fossen (jason -på – sans.org).