SANS Institute este partener în proiectul Critical Security Controls pentru a defini cele mai importante sarcini pentru securitatea rețelei. SANS oferă un curs extraordinar intitulat „Implementarea și Auditarea de Securitate Critice de Control (SEC566)”, dar care, desigur, ar trebui să o ia după participarea la SEC566?,curs SEC566 definește recomandările într-un mod neutru furnizor, dar, de fapt, cele mai multe medii rula Microsoft Windows și cele mai multe dintre aceste mașini Windows sunt unite la domenii Active Directory. Există un curs SANS care oferă o scufundare profundă în controalele critice de securitate, deoarece acestea se referă în mod specific la Windows și Active Directory?
da, securizarea Windows de șase zile cu cursul Critical Security Controls la SANS (numărul cursului SEC505) este scrisă special pentru a oferi o acoperire aprofundată a acelor controale critice care afectează serverele și clienții Windows.,
ce controale sunt acoperite în SEC505 și care nu sunt?
pentru fiecare dintre controalele critice, următoarele descrie ceea ce este acoperit în securizarea Windows (SEC505) curs care vă poate ajuta să pună în aplicare controalele pe sistemele Windows, nu doar de audit le. De asemenea, oferă sugestii pentru alte cursuri SANS după ce a luat SEC566.
s-ar putea deschide o altă filă în browser-ul dvs. la pagina controale critice pentru a vedea un rezumat al controalelor pentru comparație.
Control 1: inventarul dispozitivelor Hardware
SEC505 nu acoperă aplicațiile de inventar hardware., Cu toate acestea, atunci când colectați date de inventar cu nmap și alte instrumente, inevitabil vă confruntați cu probleme legate de organizarea, stocarea, căutarea, compararea și generarea rapoartelor din Munții de date colectate. Indiferent dacă utilizați baze de date, foi de calcul, XML sau doar fișiere text delimitate prin virgulă pentru a stoca datele, PowerShell este o coajă de comandă superbă și un limbaj de scripting pentru manipularea acestor date. Multe sarcini de securitate nu sunt efectuate deoarece administratorii nu au abilități de scripting, iar sarcinile de inventar sunt exemple perfecte. Din acest motiv, SEC505 include o zi întreagă pe PowerShell scripting.,
Control 2: Inventarul Software-ului
SEC505 nu acoperă aplicațiile de inventar software, deși există îmbunătățiri ale terților pentru politica de grup în acest scop, iar PowerShell poate interoga sistemele la distanță prin interfața WMI.mai important decât inventarul, totuși, acest control recomandă, de asemenea, blocarea configurațiilor software, utilizarea listei albe a aplicației, Înregistrarea utilizării aplicației și prevenirea instalării nedorite a aplicației., În SEC505 o zi întreagă este dedicată Politicii de Grup și sunt multe de Politică de Grup tehnologii pentru aceste tipuri de probleme, de exemplu, AppLocker, audit/logare politici, gestionarea permisiunile NTFS, configurarea aproape fiecare aspect al Internet Explorer și aplicațiile Microsoft Office, cod semnarea cerințele pentru script-uri/macro, restricționarea MSI pachet de instalare, care rulează script-uri pentru a identifica software non-standard, etc. SEC505 discută în mod specific tehnici de întărire pentru Java, Internet Explorer, Google Chrome, Adobe Reader, și Microsoft Office.,
Control 3: configurațiile sigure pentru sistemele informatice
mașinile Windows nu sunt întărite manual, ci prin aplicarea șabloanelor de securitate INF/XML, cum ar fi cele furnizate cu Microsoft Security Compliance Manager. Aceste șabloane sunt aplicate folosind Politica de grup, SECEDIT.EXE, configurația de securitate și analiza MMC snap-in, sau Expertul de configurare de securitate (toate acestea sunt acoperite în SEC505)., Pentru puținele setări care nu pot fi configurate printr-un șablon sau o politică de grup, este probabil ca un script să fie utilizat astfel încât modificările să poată fi automatizate (PowerShell din nou).
Control 4: evaluarea și remedierea vulnerabilității
SEC505 nu acoperă scanerele de vulnerabilitate, care sunt acoperite în alte cursuri, cum ar fi Security Essentials (SEC401). Pe de altă parte, remedierea vulnerabilității este acoperită foarte bine în secțiunile privind gestionarea patch-urilor, Politica de grup, întărirea aplicațiilor etc.,tehnicile anti-malware sunt discutate pe tot parcursul săptămânii, cum ar fi controlul contului de utilizator, dolinele DNS, întărirea Internet Explorer și Chrome, Java, Adobe Reader, utilizarea serverelor jump, AutoPlay/AutoRun etc. Dar o comparație a anumitor produse de scanare AV sau dezbatere cu privire la cazul în care pentru a le instala, care nu este acoperită.
Control 6: Securitatea Software-ului stratului de aplicație
SEC505 nu acoperă codarea sigură, testarea aplicațiilor web sau securitatea bazelor de date., Cu toate acestea, SEC505 dedică o jumătate de zi întăririi serverului (ZIUA 5), cum ar fi pentru serverele web IIS.sec505 vă ghidează prin pașii de configurare a unui PKI, împingând certificatele wireless (sau cardurile inteligente), instalarea serverelor RADIUS, configurarea setărilor wireless pe laptopuri prin politica de grup și aplicarea utilizării criptării WPA2, AES și autentificarea PEAP la serverele RADIUS. Prin politica de grup, puteți, de asemenea, să blocați și apoi să ascundeți celelalte opțiuni wireless de utilizatorii care nu sunt administrativi, de ex.,, le puteți împiedica să se conecteze la rețele ad-hoc. Problema punctelor de acces necinstite, a tethering-ului și a computerelor BYOD este, de asemenea, discutată. SANS are o pistă excelentă de o săptămână pe securitatea wireless (SEC617), dar acest curs nu este specific pentru rețelele Windows, SEC505 este.
Control 8: Date Capacitate de Recuperare,
SEC505 nu acoperă cum să efectuați copii de rezervă și recuperare, vă rugăm să consultați Security Essentials (SEC401) sau adresați-vă o soluție de backup furnizor.,
Control 9: evaluarea și instruirea abilităților
SEC505 nu acoperă în detaliu instruirea în domeniul securității sau testarea conștientizării, vă rugăm să consultați securizarea omului (MAN433).
Control 10: Configurații Securizate pentru Dispozitivele de Rețea,
SEC505 nu acoperă firewall design sau de configurare de routere și switch-uri; vă rog, în loc să vedem Perimetru de Protecție În Profunzime (SEC502).
Control 11: controlul porturilor de rețea, protocoalelor și serviciilor
Politica de grup și administrarea liniei de comandă a IPSec și a Firewall-ului Windows sunt acoperite în SEC505 în detaliu., Combinația dintre Politica IPSec + Windows Firewall + Group acordă un control foarte precis și flexibil asupra utilizatorilor și computerelor cărora li se permite să acceseze porturile/serviciile pe care mașinile. Ziua a patra a SEC505 este dedicată IPSec, Windows Firewall, Microsoft RADIUS service pentru autentificarea 802.1 x a clienților wireless și Ethernet.
Control 12: privilegii Administrative
fiecare recomandare din acest control cu privire la conturile de utilizator administrative este discutată sau demonstrată în SEC505 (ZIUA 2)., Ziua PKI din SEC505 (ZIUA 3) parcurge, de asemenea, participantul prin procesul de configurare a unui PKI Windows și emiterea de carduri inteligente și alte certificate utilizatorilor administrativi pentru autentificarea sigură cu mai mulți factori. Gestionarea sigură a acreditărilor administrative, care include conturile de servicii, este una dintre cele mai dificile și importante sarcini. SEC505 petrece aproape o zi întreagă doar pe acest control, datorită importanței sale în special pentru Windows.,
Control 13: Limita de Apărare
SEC505 nu acoperă firewall-ul sau ID-uri de design, vă rugăm să consultați Perimetru de Protecție În Profunzime (SEC502) și de Detectare a Intruziunilor În Profunzime (SEC503).
Control 14: jurnalele de Audit
Politica de audit și înregistrarea Windows este configurată prin șabloane de securitate și Politica de grup, așa cum am menționat mai sus, deoarece fiecare mașină are propriile jurnale de evenimente. SEC505 acoperă, de asemenea, modul de activare a conectării la serverele RADIUS care controlează accesul la distanță, cum ar fi gateway-urile VPN și punctele de acces wireless (în ziua 4)., Toate aceste date vor trebui consolidate într-o locație centrală, de obicei cu un Siem terț, dar atunci când este necesară atingerea umană pentru a depăși interogările și rapoartele conservate ale Siem, cum pot fi extrase și analizate eficient aceste date? Din nou, scripturile PowerShell folosind expresii regulate și interogări SQL funcționează foarte bine. Cum rămâne cu configurarea produselor Siem de la terți? Nu sunt acoperite de SEC505.
Control 15: acces controlat bazat pe nevoia de a ști
este bine și bine să vorbim despre principiul nevoii de a ști, dar unde cauciucul se întâlnește cu drumul?, Cum implementați de fapt acest principiu pe servere într-o întreprindere? Acest control ar fi aplicat în mare măsură prin grupuri de utilizatori Windows, șabloane de securitate, Politici de grup și politici dinamice de Control al accesului. Testarea ar putea fi, de asemenea, automatizată prin scripturi PowerShell care se autentifică în rețea ca utilizatori diferiți cu privilegii diferite. Controlul dinamic al accesului (DAC) este ceva nou cu Server 2012 special pentru prevenirea pierderilor de date (DLP) și aplicarea regulilor de necesitate. Toate aceste subiecte sunt acoperite în SEC505.,
Control 16: monitorizarea și controlul contului
majoritatea recomandărilor din acest control ar fi implementate printr-o combinație de permisiuni Active Directory, setări de Politici de grup și interogări de anunțuri personalizate, cum ar fi cu scripturile PowerShell. Și aceste subiecte sunt acoperite în SEC505.,
Control 17: prevenirea pierderilor de date
SEC505 acoperă multe dintre recomandările acestui control pentru DLP, inclusiv criptarea unității BitLocker, „BitLocker To Go” pentru unitățile flash USB, controlul politicii de grup al utilizării dispozitivului USB și ceva nou încorporat în Server 2012 și mai târziu numit control dinamic al accesului. Dynamic Access Control (DAC) este special pentru aplicarea regulilor de necesitate și DLP și este deja încorporat în Server 2012. Pentru a căuta informații de identificare personală (PII) pe sisteme, ar putea fi folosit și un script PowerShell personalizat., Monitorizarea rețelei pentru scurgeri de date, pe de altă parte, nu este acoperită în SEC505 (încercați SEC503).
Control 18: Răspuns la Incidente
SEC505 nu acoperă răspuns la incidente de planificare, acest subiect este discutat în alte cursuri, cum ar fi Hacker Tehnici, Exploateaza si tratarea Incidentelor (SEC504) și, de asemenea, Avansate de Calculator Analiza medico-Legală și de Răspuns la Incident (FOR508).
Control 19: Inginerie de rețea sigură
designul Firewall – ului este acoperit într-un curs diferit la SANS, dar acest control este mai larg decât firewall-urile perimetrale., După cum sa discutat mai sus, avem controlul politicii de grup asupra setărilor IPSec și Windows Firewall pentru răspunsul rapid la atacuri. De asemenea, acoperim DNSSEC, doline DNS, actualizări dinamice securizate DNS, eliminând NetBIOS și LLMNR, iar logarea DHCP este ușor de activat. S-ar putea utiliza, de asemenea, PowerShell pentru a extrage date din jurnalele DHCP/DNS mari. Prin urmare, majoritatea recomandărilor din acest control sunt acoperite în SEC505, iar apoi unele.,
Control 20: Teste de Penetrare
SEC505 nu include teste de penetrare, care este discutat în alte cursuri, cum ar fi de Rețea de Testare de Penetrare și Hacking Etic (SEC560).guvernul Australian a stabilit că patru dintre cele 20 de controale critice sunt cele mai eficiente în blocarea intruziunilor., Toate cele patru sunt discutate și demonstrate pe larg în SEC505: folosim Politica de grup și WSUS pentru gestionarea software-ului, AppLocker pentru lista albă și dedicăm aproape o zi întreagă uneia dintre cele mai dificil de implementat controale, și anume controlul privilegiilor administrative.
automatizare: Politica de grup + PowerShell
proiectul 20 Critical Controls subliniază importanța automatizării. Automatizarea și scalabilitatea sunt realizate în SEC505 prin furnizarea de instruire privind politica de grup și PowerShell., Politica de grup este un sistem de management al întreprinderii (EMS) încorporat în Active Directory care poate gestiona mai mult sau mai puțin fiecare setare de configurare Windows și aplicație de utilizator, inclusiv Chrome și Java. PowerShell nu este doar un limbaj de scripting, ci este un cadru de gestionare la distanță care se poate scala la rețele foarte mari, cum ar fi infrastructura cloud proprie a Microsoft. Combinația dintre Politica de grup Plus PowerShell este un multiplicator de forță pentru automatizarea celor 20 de controale critice., Și acolo unde acestea nu sunt suficiente, SEC505 include, de asemenea, recomandări pentru produse terțe, cum ar fi scanere de vulnerabilitate, sisteme Siem și blocante de dispozitive USB.dacă aveți întrebări despre securizarea cursului Windows (SEC505), descrierea completă a cursului este online și nu ezitați să contactați și autorul cursului: Jason Fossen (jason-at – sans.org).