het SANS Institute is een partner in het Critical Security Controls-project om de belangrijkste taken voor netwerkbeveiliging te definiëren. SANS biedt een geweldige cursus getiteld “implementatie en Auditing the Critical Security Controls (SEC566)”, maar welke cursus moet men volgen na het bijwonen van SEC566?,

cursus SEC566 definieert aanbevelingen op een leverancier-neutrale manier, maar in feite draaien de meeste omgevingen Microsoft Windows en de meeste van deze Windows-machines zijn verbonden met Active Directory-domeinen. Is er een SANS cursus die een diepe duik in de kritische beveiligingscontroles biedt als ze specifiek betrekking hebben op Windows en Active Directory?

Ja, de Zesdaagse Windows beveiligen met de Critical Security Controls cursus op SANS (cursusnummer SEC505) is speciaal geschreven om een diepgaande dekking te bieden van alleen die kritische controles die Windows servers en clients beïnvloeden.,

welke controles vallen onder SEC505 en welke niet?

voor elk van de kritische besturingselementen, beschrijft het volgende wat er wordt behandeld in de Sec505-Cursus Windows beveiligen dat u kan helpen de besturingselementen op Windows-systemen te implementeren, niet alleen ze te controleren. Het biedt ook suggesties voor andere SANS cursussen na het nemen van SEC566.

u kunt een ander tabblad in uw browser openen naar de pagina kritische besturingselementen om een samenvatting van de besturingselementen te zien voor vergelijking.

controle 1: inventaris van hardwareapparaten

SEC505 heeft geen betrekking op hardwareinventarisatoepassingen., Echter, bij het verzamelen van voorraadgegevens met nmap en andere tools, je onvermijdelijk lopen tegen problemen van hoe te organiseren, op te slaan, zoeken, vergelijken en het genereren van rapporten uit de bergen van verzamelde gegevens. Of u nu databases, spreadsheets, XML of alleen komma-gescheiden tekstbestanden gebruiken om de gegevens op te slaan, PowerShell is een uitstekende command shell en scripttaal voor het manipuleren van die gegevens. Veel beveiligingstaken worden niet uitgevoerd omdat de beheerders geen scripting-vaardigheden hebben en inventarisatietaken perfecte voorbeelden zijn. Vanwege dit, SEC505 bevat een volledige dag op PowerShell scripting.,

controle 2: inventaris van Software

SEC505 heeft geen betrekking op software-inventarisatietoepassingen, hoewel er verbeteringen van derden zijn voor Groepsbeleid voor dit doel, en PowerShell kan externe systemen opvragen via de WMI-interface.

belangrijker dan alleen inventaris, echter, deze controle adviseert ook het vergrendelen van software configuraties, met behulp van toepassing whitelisting, logging toepassing gebruik, en het voorkomen van ongewenste toepassing installatie., In SEC505 is een hele dag gewijd aan Groepsbeleid en er zijn veel technologieën voor Groepsbeleid voor dit soort problemen, bijvoorbeeld AppLocker, audit/logging beleid, het beheren van NTFS-machtigingen, het configureren van bijna elk aspect van Internet Explorer en de Microsoft Office-toepassingen, code ondertekening eisen voor scripts/macro ‘ s, het beperken van MSI pakket installatie, het uitvoeren van scripts om niet-standaard software te identificeren, enz. SEC505 bespreekt specifiek verharding technieken voor Java, Internet Explorer, Google Chrome, Adobe Reader, en Microsoft Office.,

controle 3: beveiligde configuraties voor computersystemen

Windows-machines worden niet met de hand verhard, maar door de toepassing van INF/XML-beveiligingssjablonen, zoals die welke worden geleverd met de Microsoft Security Compliance Manager. Deze sjablonen worden toegepast met behulp van Groepsbeleid, SECEDIT.EXE, de MMC-module Beveiligingsconfiguratie en-analyse of de wizard Beveiligingsconfiguratie (die allemaal worden behandeld in SEC505)., Voor de weinige instellingen die niet via een sjabloon of Groepsbeleid kunnen worden geconfigureerd, is het waarschijnlijk dat een script wordt gebruikt zodat de wijzigingen kunnen worden geautomatiseerd (opnieuw PowerShell).

controle 4: kwetsbaarheidsbeoordeling en herstel

SEC505 heeft geen betrekking op kwetsbaarheidsscanners, die worden behandeld in andere cursussen, zoals Security Essentials (SEC401). Aan de andere kant, kwetsbaarheid sanering wordt zeer goed behandeld in de secties over patch management, Groepsbeleid, toepassingen verharding, enz.,

Control 5: Malwareverdedigingen

Anti-malwaretechnieken worden de hele week besproken, zoals Gebruikersaccountbeheer, DNS-sinkholes, verharding van Internet Explorer en Chrome, Java, Adobe Reader, Gebruik van jump-servers, AutoPlay / AutoRun, enz. Maar een vergelijking van bepaalde av-scanning producten of debat over waar ze te installeren, dat is niet gedekt.

controle 6: softwarebeveiliging op toepassingslaag

SEC505 heeft geen betrekking op veilige codering, testen van webapplicaties of databasebeveiliging., SEC505 besteedt echter wel een halve dag aan serverharding (dag 5), zoals voor IIS-webservers.

Control 7: draadloos Apparaatbeheer

SEC505 leidt u door de stappen van het opzetten van een PKI, het pushen van draadloze certificaten (of smartcards), het installeren van RADIUS-servers, het configureren van de draadloze instellingen op laptops via Groepsbeleid, en het afdwingen van het gebruik van WPA2, AES-encryptie en PEAP-verificatie op de RADIUS-servers. Via Groepsbeleid kunt u ook de andere draadloze opties vergrendelen en vervolgens verbergen voor niet-administratieve gebruikers, bijv.,, u kunt voorkomen dat ze verbinding maken met ad hoc netwerken. Het probleem van bedrieglijke access points, tethering en BYOD computers wordt ook besproken. SANS heeft een geweldige week lang track op draadloze beveiliging (SEC617), maar die cursus is niet voor Windows-netwerken specifiek, SEC505 is.

Control 8: Data Recovery Capability

SEC505 heeft geen betrekking op het uitvoeren van back-ups en herstel, zie Security Essentials (SEC401) of neem contact op met uw leverancier van back-upoplossingen.,

controle 9: beoordeling van vaardigheden en opleiding

SEC505 heeft geen betrekking op beveiligingstraining of bewustmakingstesten in detail, zie beveiliging van de mens (MAN433).

Control 10: beveiligde configuraties voor netwerkapparaten

SEC505 heeft geen betrekking op het ontwerp van firewall of de configuratie van routers en switches; zie in plaats daarvan perimeterbeveiliging In-Depth (SEC502).

Control 11: controle van netwerkpoorten, protocollen en Services

Groepsbeleid en commandoregelbeheer van IPSec en de Windows Firewall wordt uitgebreid behandeld in SEC505., De combinatie van IPSec + Windows Firewall + Groepsbeleid geeft zeer nauwkeurige en flexibele controle over welke gebruikers en computers toegang hebben tot welke poorten/services op welke machines. Dag vier van SEC505 is gewijd aan IPSec, Windows Firewall, Microsoft RADIUS-service voor 802.1 x-authenticatie van draadloze en Ethernet-clients.

Control 12: beheerdersrechten

elke aanbeveling in dit beheer met betrekking tot administratieve gebruikersaccounts wordt besproken of gedemonstreerd in SEC505 (dag 2)., De PKI-dag van SEC505 (dag 3) leidt de bezoeker ook door het proces van het opzetten van een Windows PKI en het uitgeven van smartcards en andere certificaten aan administratieve gebruikers voor veilige multi-factor authenticatie. Het veilig beheren van administratieve referenties, waaronder serviceaccounts, is een van de moeilijkste en belangrijkste taken. SEC505 besteedt bijna een hele dag aan slechts deze controle vanwege het belang ervan Voor Windows in het bijzonder.,

Control 13: Boundary Defense

SEC505 heeft geen betrekking op firewall-of IDS-ontwerp, zie Perimeter Protection In-Depth (SEC502) en Intrusion Detection In-depth (SEC503).

Control 14: Audit Logs

Windows audit policy en logging wordt geconfigureerd via beveiligingssjablonen en Groepsbeleid, zoals hierboven vermeld, omdat elke machine zijn eigen gebeurtenislogboeken heeft. SEC505 behandelt ook hoe u logging kunt inschakelen in de RADIUS-servers die externe toegang beheren, zoals voor VPN-gateways en draadloze toegangspunten (in dag 4)., Al deze gegevens moeten worden geconsolideerd op een centrale locatie, meestal met een derde partij SIEM, maar wanneer de menselijke aanraking nodig is om verder te gaan dan de ingeblikte query ‘ s en rapporten van uw SIEM, hoe kunnen die gegevens efficiënt worden geëxtraheerd en geanalyseerd? Nogmaals, PowerShell scripts met behulp van reguliere expressies en SQL queries werken heel mooi. Hoe zit het met het configureren van SIEM-producten van derden? Niet gedekt door SEC505.

controle 15: gecontroleerde toegang op basis van “Need to Know”

het is allemaal goed om te praten over het principe “Need To Know”, maar waar komt het rubber aan de weg?, Hoe implementeer je dit principe op servers in een onderneming? Dit beheer zou grotendeels worden afgedwongen via Windows-gebruikersgroepen, beveiligingssjablonen, Groepsbeleid en dynamisch Toegangsbeheerbeleid. Testen kan ook worden geautomatiseerd via PowerShell scripts die zich via het netwerk aanmelden als verschillende gebruikers met verschillende privileges. Dynamic Access Control (DAC) is iets nieuws met Server 2012 specifiek voor de preventie van gegevensverlies (DLP) en afdwingen need-to-know regels. Al deze onderwerpen worden behandeld in SEC505.,

Control 16: Account Monitoring en controle

De meeste aanbevelingen in dit beheer zouden worden geïmplementeerd door een combinatie van Active Directory-machtigingen, groepsbeleidsinstellingen en Aangepaste AD queries, zoals met PowerShell-scripts. En deze onderwerpen worden behandeld in SEC505.,

Control 17: preventie van gegevensverlies

SEC505 omvat veel van de aanbevelingen van dit besturingssysteem voor DLP, waaronder BitLocker whole drive encryptie, “BitLocker To Go” voor USB-flashstations, groepsbeleidsbesturing van het gebruik van USB-apparaten en iets nieuws dat is ingebouwd in Server 2012 en later Dynamic Access Control wordt genoemd. Dynamic Access Control (DAC) is specifiek voor het afdwingen van Need-to-know regels en DLP, en het is al ingebouwd in Server 2012. Om te zoeken naar persoonlijk identificeerbare informatie (PII) op systemen, een aangepaste PowerShell script kan ook worden gebruikt., Het monitoren van het netwerk op datalekken wordt daarentegen niet behandeld in SEC505 (probeer SEC503).

Control 18: Incident Response

SEC505 heeft geen betrekking op incident response planning, dit onderwerp wordt besproken in andere cursussen, zoals Hacker technieken, Exploits en Incident Handling (SEC504) en ook geavanceerde computer forensische analyse en Incident Response (FOR508).

Control 19: Secure Network Engineering

Firewall ontwerp wordt behandeld in een andere cursus bij SANS, maar deze controle is breder dan alleen perimeter firewalls., Zoals hierboven besproken, hebben we Groepsbeleid controle over IPSec en Windows Firewall-instellingen voor snelle reactie op aanvallen. We hebben ook betrekking op DNSSEC, DNS sinkholes, DNS secure dynamische updates, het elimineren van NetBIOS en LLMNR, en DHCP logging is eenvoudig in te schakelen. Men kan ook PowerShell gebruiken om gegevens uit grote DHCP/DNS-logs te extraheren. Vandaar dat de meeste aanbevelingen in deze controle worden behandeld in SEC505, en dan een aantal.,

controle 20: penetratietests

SEC505 heeft geen betrekking op penetratietests, die in andere cursussen worden besproken, zoals Netwerkpenetratietests en ethisch hacken (SEC560).

Australische regering vier controles

De Australische regering heeft vastgesteld dat vier van de 20 kritische controles het meest effectief zijn bij het blokkeren van intrusies., Alle vier worden uitvoerig besproken en gedemonstreerd in SEC505: we gebruiken Groepsbeleid en WSUS voor softwarebeheer, AppLocker voor whitelisting, en besteden bijna een hele dag aan een van de moeilijkst te implementeren controles, namelijk het controleren van beheerdersrechten.

automatisering: Groepsbeleid + PowerShell

het 20 Critical Controls project benadrukt het belang van automatisering. Automatisering en schaalbaarheid worden bereikt in SEC505 door het verstrekken van training over Groepsbeleid en PowerShell., Groepsbeleid is een Enterprise Management System (EMS) ingebouwd in Active Directory dat min of meer kan beheren elke Windows-configuratie-instelling en gebruikerstoepassing, met inbegrip van Chrome en Java. PowerShell is niet alleen een scripttaal, het is een remote management framework dat kan schalen naar zeer grote netwerken, zoals Microsoft ‘ s eigen cloud-infrastructuur. De combinatie van Groepsbeleid plus PowerShell is een krachtvermenigvuldiger voor de automatisering van de 20 kritische besturingselementen., En waar deze tekort schieten, bevat SEC505 ook aanbevelingen voor producten van derden, zoals kwetsbaarheidsscanners, Siem-systemen en USB-apparaatblokkers.

Stel de Cursusauteur

Als u vragen heeft over de Cursus Windows beveiligen (SEC505), is de volledige cursusbeschrijving online en neem dan gerust contact op met de cursusauteur: Jason Fossen (jason-at – sans.org).

Articles

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *