SANS Institute jest partnerem projektu Critical Security Controls, którego celem jest zdefiniowanie najważniejszych zadań związanych z bezpieczeństwem sieci. SANS oferuje świetny kurs zatytułowany ” Implementing and Auditing the Critical Security Controls (SEC566)”, ale który kurs należy wziąć po ukończeniu SEC566?,
kurs SEC566 definiuje rekomendacje w sposób neutralny dla dostawcy, ale w rzeczywistości większość środowisk działa z systemem Microsoft Windows i większość tych maszyn z systemem Windows jest przyłączona do domen Active Directory. Czy istnieje kurs SANS, który oferuje głębokie zanurzenie się w krytycznych kontrolach bezpieczeństwa, ponieważ odnoszą się one konkretnie do Windows i Active Directory?
tak, sześciodniowy kurs zabezpieczający Windows za pomocą Critical Security Controls w SANS (numer kursu SEC505) został napisany specjalnie, aby zapewnić dogłębne omówienie tylko tych krytycznych kontroli, które wpływają na serwery i klientów Windows.,
które kontrolki są objęte SEK505, a które nie?
dla każdej z kluczowych kontrolek poniżej opisano, co obejmuje kurs Securing Windows (SEC505), który może pomóc w implementacji kontrolek w systemach Windows, a nie tylko w ich audytowaniu. Oferuje również propozycje innych kursów SANS po wzięciu SEC566.
możesz otworzyć inną kartę w przeglądarce na stronie kontroli krytycznych, aby zobaczyć podsumowanie kontroli do porównania.
Kontrola 1: Inwentaryzacja Urządzeń Sprzętowych
SEC505 nie obejmuje aplikacji do inwentaryzacji sprzętu., Jednak podczas gromadzenia danych inwentaryzacyjnych za pomocą nmap i innych narzędzi nieuchronnie napotykasz problemy związane z organizowaniem, przechowywaniem, wyszukiwaniem, porównywaniem i generowaniem raportów z gór zebranych danych. Niezależnie od tego, czy używasz baz danych, arkuszy kalkulacyjnych, XML czy tylko rozdzielanych przecinkami plików tekstowych do przechowywania danych, PowerShell jest doskonałą powłoką poleceń i językiem skryptowym do manipulowania tymi danymi. Wiele zadań związanych z bezpieczeństwem nie jest wykonywanych, ponieważ administratorzy nie mają umiejętności skryptowania, a zadania inwentaryzacyjne są doskonałymi przykładami. Z tego powodu SEC505 obejmuje cały dzień na skryptach PowerShell.,
Kontrola 2: Inwentaryzacja oprogramowania
SEC505 nie obejmuje aplikacji do inwentaryzacji oprogramowania, chociaż istnieją ulepszenia innych firm dla zasad grupy w tym celu, a PowerShell może odpytywać zdalne systemy za pośrednictwem interfejsu WMI.
ważniejsza niż tylko inwentaryzacja, ta kontrola radzi również blokowanie konfiguracji oprogramowania, używanie białej listy aplikacji, rejestrowanie użycia aplikacji i zapobieganie niepożądanej instalacji aplikacji., W SEC505 cały dzień poświęcony jest zasadom grupowym i istnieje wiele technologii zasad grupowych dla tego rodzaju problemów, np. AppLocker, Zasady audytu/logowania, zarządzanie uprawnieniami NTFS, konfigurowanie prawie każdego aspektu programu Internet Explorer i aplikacji Microsoft Office, wymagania podpisywania kodu dla skryptów/makr, ograniczanie instalacji pakietu MSI, uruchamianie skryptów w celu identyfikacji niestandardowego oprogramowania itp. SEC505 w szczególności omawia techniki hartowania dla Java, Internet Explorer, Google Chrome, Adobe Reader i Microsoft Office.,
Kontrola 3: Bezpieczne konfiguracje dla Systemów Komputerowych
maszyny z systemem Windows nie są utwardzane ręcznie, ale przez zastosowanie szablonów zabezpieczeń INF / XML, takich jak te dostarczane z Microsoft Security Compliance Manager. Szablony te są stosowane przy użyciu zasad grupy, SECEDIT.EXE, Konfiguracja i analiza zabezpieczeń MMC snap-in lub Kreator konfiguracji zabezpieczeń (wszystkie z nich są objęte SEK505)., W przypadku kilku ustawień, których nie można skonfigurować za pomocą szablonu lub zasad grupy, prawdopodobnie zostanie użyty skrypt, aby zmiany mogły zostać zautomatyzowane(ponownie PowerShell).
Kontrola 4: Ocena i usuwanie luk w zabezpieczeniach
SEC505 nie obejmuje skanerów luk w zabezpieczeniach, które są objęte innymi kursami, takimi jak Security Essentials (SEC401). Z drugiej strony, usuwanie luk w zabezpieczeniach jest bardzo dobrze omówione w sekcjach dotyczących zarządzania poprawkami, zasad grupy, utwardzania aplikacji itp.,
Kontrola 5: ochrona przed złośliwym oprogramowaniem
techniki anty-malware są omawiane przez cały tydzień, takie jak kontrola konta użytkownika, zapadki DNS, hartowanie Internet Explorer i Chrome, Java, Adobe Reader, korzystanie z serwerów jump, AutoPlay / AutoRun, itp. Ale porównanie poszczególnych produktów skanujących AV lub debata o tym, gdzie je zainstalować,to nie jest objęte.
Kontrola 6: Bezpieczeństwo oprogramowania warstwy aplikacji
SEC505 nie obejmuje bezpiecznego kodowania, testowania aplikacji internetowych ani bezpieczeństwa bazy danych., Jednak SEC505 poświęca pół dnia na hartowanie serwera (dzień 5), na przykład w przypadku serwerów internetowych IIS.
sterowanie 7: sterowanie urządzeniami bezprzewodowymi
SEC505 przeprowadzi Cię przez etapy konfigurowania PKI, wypychania certyfikatów bezprzewodowych (lub kart inteligentnych), instalowania serwerów RADIUS, konfigurowania ustawień bezprzewodowych na laptopach za pomocą zasad grupy oraz wymuszania użycia WPA2, szyfrowania AES i uwierzytelniania PEAP na serwerach RADIUS. Za pomocą zasad grupy można również zablokować, a następnie ukryć inne opcje sieci bezprzewodowej przed użytkownikami nieadministracyjnymi, np.,, można uniemożliwić im łączenie się z sieciami ad hoc. Omówiono również problem nieuczciwych punktów dostępowych, tetheringu i komputerów BYOD. SANS ma świetny tygodniowy tor na temat bezpieczeństwa bezprzewodowego (SEC617), ale ten kurs nie jest specjalnie dla sieci Windows, SEC505 jest.
Kontrola 8: możliwość odzyskiwania danych
program SEC505 nie obejmuje sposobu wykonywania kopii zapasowych i odzyskiwania, zapoznaj się z sekcją Security Essentials (SEC401) lub skontaktuj się z dostawcą rozwiązania do tworzenia kopii zapasowych.,
Kontrola 9: ocena umiejętności i szkolenie
SEC505 nie obejmuje szczegółowo szkolenia w zakresie bezpieczeństwa lub testów świadomości, patrz zabezpieczenie człowieka (MAN433).
Kontrola 10: bezpieczne konfiguracje dla urządzeń sieciowych
SEC505 nie obejmuje konstrukcji zapory sieciowej ani konfiguracji routerów i przełączników; zamiast tego patrz szczegółowy opis ochrony obwodowej (SEC502).
Kontrola 11: Kontrola portów sieciowych, protokołów i usług
zasady grupy i administracja wierszem poleceń IPSec i Zapory systemu Windows jest szczegółowo omówiona w SEC505., Połączenie IPSec + Windows Firewall + Group Policy zapewnia bardzo precyzyjną i elastyczną kontrolę nad tym, którzy użytkownicy i komputery mają dostęp do których portów/usług na których komputerach. Czwarty dzień SEC505 poświęcony jest IPSec, Zaporze systemu Windows, usłudze Microsoft RADIUS do uwierzytelniania 802.1 x klientów bezprzewodowych i Ethernet.
Kontrola 12: Uprawnienia administracyjne
każde zalecenie w tej kontroli dotyczące kont użytkowników administracyjnych jest omawiane lub demonstrowane w SEC505 (dzień 2)., Dzień PKI SEC505 (dzień 3) prowadzi również uczestnika przez proces konfigurowania PKI systemu Windows i wydawania kart inteligentnych i innych certyfikatów użytkownikom administracyjnym w celu bezpiecznego uwierzytelniania wieloskładnikowego. Bezpieczne zarządzanie poświadczeniami administracyjnymi, w tym kontami usług, jest jednym z najtrudniejszych i najważniejszych zadań. SEC505 spędza prawie cały dzień na tylko tej jednej kontroli ze względu na jej znaczenie w szczególności dla systemu Windows.,
Kontrola 13: Boundary Defense
SEC505 nie obejmuje zapory sieciowej ani projektu IDS, Zobacz szczegółowe zabezpieczenia obwodowe (SEC502) i szczegółowe wykrywanie włamań (SEC503).
Kontrola 14: dzienniki audytu
Zasady audytu i rejestrowania systemu Windows są skonfigurowane za pomocą szablonów zabezpieczeń i zasad grupy, jak wspomniano powyżej, ponieważ każda maszyna ma własne dzienniki zdarzeń. SEC505 obejmuje również sposób włączania logowania do serwerów RADIUS sterujących zdalnym dostępem, takich jak bramki VPN i bezprzewodowe punkty dostępowe (w dniu 4)., Wszystkie te dane będą musiały zostać skonsolidowane w centralnej lokalizacji, zwykle za pomocą SIEM innej firmy, ale kiedy potrzebny jest ludzki dotyk, aby wyjść poza puszkowane zapytania i raporty Siem, w jaki sposób te dane mogą być skutecznie wyodrębniane i analizowane? Ponownie skrypty PowerShell wykorzystujące wyrażenia regularne i zapytania SQL działają bardzo ładnie. Co z konfiguracją produktów SIEM innych firm? Nie objęte SEK505.
Kontrola 15: kontrolowany dostęp oparty na Need to Know
dobrze i dobrze jest mówić o zasadzie Need to Know, ale gdzie styka się guma z drogą?, Jak właściwie wdrożyć tę zasadę na różnych serwerach w przedsiębiorstwie? Ta kontrola będzie w dużej mierze egzekwowana za pomocą grup użytkowników systemu Windows, szablonów zabezpieczeń, zasad grup i zasad dynamicznej kontroli dostępu. Testowanie może być również zautomatyzowane za pomocą skryptów PowerShell, które uwierzytelniają się w sieci jako różni użytkownicy z różnymi uprawnieniami. Dynamiczna kontrola dostępu (DAC) to coś nowego W Server 2012 specjalnie do zapobiegania utracie danych (DLP) i egzekwowania reguł wymagających znajomości. Wszystkie te tematy zostały omówione w SEK505.,
Kontrola 16: monitorowanie I Kontrola konta
większość zaleceń w tej kontroli będzie implementowana poprzez kombinację uprawnień Active Directory, ustawień zasad grupy i niestandardowych zapytań reklamowych, takich jak skrypty PowerShell. Tematy te zostały omówione w SEK505.,
Kontrola 17: Zapobieganie utracie danych
SEC505 obejmuje wiele zaleceń tej kontroli dla DLP, w tym szyfrowanie całego dysku BitLocker, „BitLocker To Go” dla dysków flash USB, kontrolę zasad grupy użycia urządzeń USB i coś nowego wbudowanego w Server 2012 i później o nazwie Dynamic Access Control. Dynamiczna kontrola dostępu (DAC) jest specjalnie przeznaczona do egzekwowania reguł wymagających znajomości i DLP i jest już wbudowana w Server 2012. Aby wyszukiwać dane osobowe (PII) w systemach, można również użyć niestandardowego skryptu PowerShell., Z drugiej strony Monitorowanie sieci pod kątem wycieku danych nie jest objęte SEK505 (try SEC503).
Kontrola 18: reagowanie na incydenty
SEC505 nie obejmuje planowania reagowania na incydenty, ten temat jest omawiany w innych kursach, takich jak techniki hakerskie, exploity i obsługa incydentów (SEC504), a także zaawansowana komputerowa analiza kryminalistyczna i reagowanie na incydenty (FOR508).
Kontrola 19: Inżynieria bezpiecznej sieci
projektowanie zapór sieciowych jest objęte innym kursem w SANS, ale ta kontrola jest szersza niż tylko zapory obwodowe., Jak wspomniano powyżej, mamy kontrolę zasad grupy nad ustawieniami IPSec i Zapory systemu Windows w celu szybkiej reakcji na ataki. Zajmujemy się również DNSSEC, DNS sinkholes, DNS secure dynamic updates, eliminując NetBIOS i LLMNR, a logowanie DHCP jest łatwe do włączenia. Można również użyć PowerShell do wyodrębniania danych z dużych dzienników DHCP / DNS. Dlatego większość zaleceń w tej kontroli jest objęta SEK505, a następnie niektóre.,
Kontrola 20: testy penetracyjne
SEC505 nie obejmuje testów penetracyjnych, które zostały omówione w innych kursach, takich jak testy penetracyjne sieci i etyczne hakowanie (SEC560).
Rząd Australii cztery kontrole
Rząd Australii ustalił, że cztery z 20 krytycznych kontroli są najbardziej skuteczne w blokowaniu włamań., Wszystkie cztery są szczegółowo omówione i zademonstrowane w SEC505: używamy zasad grupy i WSUS do zarządzania oprogramowaniem, AppLocker do białej listy i poświęcamy prawie cały dzień na jedną z najtrudniejszych do wdrożenia kontroli, a mianowicie kontrolę uprawnień administracyjnych.
Automation: Group Policy + PowerShell
Projekt 20 Critical Controls podkreśla znaczenie automatyzacji. Automatyzacja i skalowalność są realizowane w SEC505 poprzez zapewnienie szkoleń na temat zasad grupowych i PowerShell., Zasady grupy to Wbudowany W Active Directory System Zarządzania Przedsiębiorstwem (EMS), który może w mniejszym lub większym stopniu zarządzać wszystkimi ustawieniami konfiguracji systemu Windows i aplikacjami użytkownika, w tym Chrome i Java. PowerShell to nie tylko język skryptowy, to zdalny framework do zarządzania, który może skalować się do bardzo dużych sieci, takich jak własna Infrastruktura chmurowa firmy Microsoft. Połączenie Group Policy plus PowerShell to mnożnik siły do automatyzacji 20 krytycznych elementów sterujących., Tam, gdzie są one niewystarczające, SEC505 zawiera również zalecenia dotyczące produktów innych firm, takich jak skanery luk w zabezpieczeniach, systemy SIEM i blokery urządzeń USB.
zapytaj autora kursu
Jeśli masz jakiekolwiek pytania dotyczące kursu Secing Windows (SEC505), pełny opis kursu jest dostępny online, a także skontaktuj się z autorem kursu: Jason Fossen (jason-at – sans.org).