Das SANS Institute ist Partner im Projekt Critical Security Controls, um die wichtigsten Aufgaben für die Netzwerksicherheit zu definieren. SANS bietet einen großartigen Kurs mit dem Titel “ Implementing and Auditing the Critical Security Controls (SEC566)“ an, aber welchen Kurs sollte man nach dem Besuch von SEC566 belegen?,
Der Kurs SEC566 definiert Empfehlungen auf herstellerneutrale Weise, aber in den meisten Umgebungen wird Microsoft Windows ausgeführt, und die meisten dieser Windows-Computer sind mit Active Directory-Domänen verknüpft. Gibt es einen SANS-Kurs, der einen tiefen Einblick in die kritischen Sicherheitskontrollen bietet, da sie sich speziell auf Windows und Active Directory beziehen?
Ja, die sechstägige Sicherung von Windows mit dem Kurs Kritische Sicherheitskontrollen bei SANS (Kursnummer SEC505) wurde speziell entwickelt, um nur die kritischen Kontrollen, die Windows-Server und-Clients betreffen, eingehend zu behandeln.,
Welche Steuerelemente Werden In SEC505 Behandelt und welche Nicht?
Im Folgenden wird für jedes der kritischen Steuerelemente beschrieben, was im Kurs Secure Windows (SEC505) behandelt wird, mit dem Sie die Steuerelemente auf Windows-Systemen implementieren und nicht nur überwachen können. Es bietet auch Vorschläge für andere SANS-Kurse nach der Einnahme von SEC566.
Sie können eine andere Registerkarte in Ihrem Browser öffnen, um eine Zusammenfassung der Steuerelemente zum Vergleich anzuzeigen.
Steuerung 1: Inventarisierung von Hardware-Geräten
SEC505 deckt keine hardware-Inventar-Anwendungen., Wenn Sie jedoch Bestandsdaten mit nmap und anderen Tools sammeln, stoßen Sie unweigerlich auf Probleme beim Organisieren, Speichern, Suchen, Vergleichen und Generieren von Berichten aus den Datenbergen. Egal, ob Sie Datenbanken, Tabellenkalkulationen, XML oder nur durch Kommas getrennte Textdateien zum Speichern der Daten verwenden, PowerShell ist eine hervorragende Befehlsshell-und Skriptsprache zum Bearbeiten dieser Daten. Viele Sicherheitsaufgaben werden nicht ausgeführt, da die Administratoren keine Skriptfähigkeiten haben und Inventaraufgaben perfekte Beispiele sind. Aus diesem Grund enthält SEC505 einen ganzen Tag auf PowerShell Scripting.,
Control 2: Inventory of Software
SEC505 deckt keine Software-Inventarisierungsanwendungen ab, obwohl es zu diesem Zweck Erweiterungen von Drittanbietern für Gruppenrichtlinien gibt und PowerShell Remote-Systeme über die WMI-Schnittstelle abfragen kann.
Dieses Steuerelement ist jedoch wichtiger als nur das Inventar und empfiehlt auch das Sperren von Softwarekonfigurationen, die Verwendung von Anwendungs-Whitelisting, das Protokollieren der Anwendungsnutzung und das Verhindern unerwünschter Anwendungsinstallationen., In SEC ist ein ganzer Tag der Gruppenrichtlinie gewidmet und es gibt viele Gruppenrichtlinientechnologien für genau diese Art von Problemen, z. B. AppLocker, Überwachungs- / Protokollierungsrichtlinien, Verwalten von NTFS-Berechtigungen, Konfigurieren fast aller Aspekte von Internet Explorer und Microsoft Office-Anwendungen, Code-Signaturanforderungen für Skripte / Makros, Einschränken der MSI-Paketinstallation, Ausführen von Skripten zur Identifizierung nicht standardisierter Software usw. SEC505 insbesondere werden Härteverfahren für Java, Internet Explorer, Google Chrome, Adobe Reader und Microsoft Office.,
Control 3: Sichere Konfigurationen für Computersysteme
Windows-Maschinen werden nicht von Hand gehärtet, sondern durch die Anwendung von INF / XML-Sicherheitsvorlagen, wie sie mit dem Microsoft Security Compliance Manager bereitgestellt werden. Diese Vorlagen werden mithilfe der Gruppenrichtlinie SECEDIT angewendet.EXE, die Sicherheitskonfiguration und Analyse MMC-Snap-in oder der Security Configuration Wizard (die alle in SEC505 abgedeckt sind)., Bei den wenigen Einstellungen, die nicht über eine Vorlage oder Gruppenrichtlinie konfiguriert werden können, wird wahrscheinlich ein Skript verwendet, damit die Änderungen automatisiert werden können (erneut PowerShell).
Control 4: Vulnerability Assessment and Remediation
SEC505 deckt keine Schwachstellenscanner ab, die in anderen Kursen wie Security Essentials (SEC401) behandelt werden. Andererseits wird die Behebung von Schwachstellen in den Abschnitten Patch-Management, Gruppenrichtlinie, Anwendungshärtung usw. sehr gut abgedeckt.,
Kontrolle 5: Malware-Abwehr
Anti-Malware-Techniken werden im Laufe der Woche diskutiert, z. B. Benutzerkontensteuerung, DNS-Dolinen, Verhärtung von Internet Explorer und Chrome, Java, Adobe Reader, Verwendung von Jump-Servern, AutoPlay/AutoRun usw. Aber ein Vergleich von bestimmten AV-Scan-Produkte oder Debatte darüber, wo sie zu installieren, das ist nicht abgedeckt.
Control 6: Application-Layer Software Security
SEC505 deckt keine sichere Codierung, Webanwendungstests oder Datenbanksicherheit ab., SEC505 widmet jedoch einen halben Tag der Serverhärtung (Tag 5), z. B. für IIS-Webserver.
Steuerung 7: Drahtlose Gerätesteuerung
SEC505 führt Sie durch die Schritte zum Einrichten eines PKI, zum Ausschieben von drahtlosen Zertifikaten (oder Smartcards), zum Installieren von RADIUS-Servern, zum Konfigurieren der drahtlosen Einstellungen auf Laptops über Gruppenrichtlinien und zum Erzwingen der Verwendung von WPA2 -, AES-Verschlüsselung und PEAP-Authentifizierung auf den RADIUS-Servern. Über die Gruppenrichtlinie können Sie auch die anderen drahtlosen Optionen sperren und dann vor nicht administrativen Benutzern verbergen, z.,, sie können verhindern, dass sie eine Verbindung zu Ad-hoc-Netzwerken herstellen. Das problem von rogue access points, tethering und BYOD-Computer wird ebenfalls diskutiert. SANS hat einen großartigen einwöchigen Track zur drahtlosen Sicherheit (SEC617), aber dieser Kurs ist nicht speziell für Windows-Netzwerke gedacht, SEC505 ist.
Kontrolle 8: Datenwiederherstellungsfunktion
SEC505 behandelt nicht die Durchführung von Backups und Recovery, siehe Security Essentials (SEC401) oder wenden Sie sich an Ihren Anbieter der Sicherungslösung.,
Control 9: Skills Assessment and Training
SEC505 behandelt weder Sicherheitstraining noch Bewusstseinstests im Detail, siehe Sicherung des Menschen (MAN433).
Control 10: Sichere Konfigurationen für Netzwerkgeräte
SEC505 deckt weder das Firewall-Design noch die Konfiguration von Routern und Switches ab; siehe stattdessen Perimeter Protection In-Depth (SEC502).
Steuerung 11: Steuerung von Netzwerkports, Protokollen und Diensten
Die Gruppenrichtlinie und Befehlszeilenverwaltung von IPSec und der Windows-Firewall wird in SEC505 ausführlich behandelt., Die Kombination aus IPSec + Windows Firewall + Gruppenrichtlinie ermöglicht eine sehr präzise und flexible Kontrolle darüber, welche Benutzer und Computer auf welchen Rechnern auf welche Ports/Dienste zugreifen dürfen. Tag vier von SEC505 widmet sich IPSec, Windows Firewall, Microsoft RADIUS Service für 802.1 x Authentifizierung von Wireless-und Ethernet-Clients.
Steuerelement 12: Administratorrechte
Jede Empfehlung in diesem Steuerelement in Bezug auf administrative Benutzerkonten wird in SEC505 (Tag 2) besprochen oder demonstriert., Der PKI-Tag von SEC505 (Tag 3) führt den Teilnehmer auch durch den Prozess der Einrichtung eines Windows-PKI und der Ausstellung von Smartcards und anderen Zertifikaten für administrative Benutzer zur sicheren Multi-Faktor-Authentifizierung. Die sichere Verwaltung administrativer Anmeldeinformationen, einschließlich Dienstkonten, ist eine der schwierigsten und wichtigsten Aufgaben. SEC505 verbringt fast einen ganzen Tag nur mit diesem einen Steuerelement, da es insbesondere für Windows wichtig ist.,
Control 13: Grenze Verteidigung
SEC505 nicht abdeckung firewall oder IDS design, bitte sehen Perimeter Schutz In-Tiefe (SEC502) und Intrusion Detection In-Tiefe (SEC503).
Control 14: Audit Logs
Die Windows Audit Policy und Protokollierung wird wie oben erwähnt über Sicherheitsvorlagen und Gruppenrichtlinien konfiguriert, da jeder Computer über eigene Ereignisprotokolle verfügt. SEC505 behandelt auch, wie Sie die Anmeldung auf den RADIUS-Servern aktivieren, die den Remotezugriff steuern, z. B. für VPN-Gateways und drahtlose Zugriffspunkte (in Tag 4)., Alle diese Daten müssen an einem zentralen Ort konsolidiert werden, normalerweise mit einem SIEM eines Drittanbieters, aber wenn die menschliche Berührung erforderlich ist, um über die üblichen Abfragen und Berichte Ihres SIEM hinauszugehen, wie können diese Daten effizient extrahiert und analysiert werden? Auch hier funktionieren PowerShell-Skripte mit regulären Ausdrücken und SQL-Abfragen sehr gut. Was ist mit der Konfiguration von SIEM-Produkten von Drittanbietern? Nicht in SEC505 abgedeckt.
Control 15: Kontrollierte Zugang Basierend auf Notwendigkeit Zu Wissen
Es ist alles gut und gut zu sprechen über das prinzip der Notwendigkeit Zu Wissen, aber wo ist die gummi erfüllen die straße?, Wie implementieren Sie dieses Prinzip tatsächlich serverübergreifend in einem Unternehmen? Diese Kontrolle würde weitgehend durch Windows-Benutzergruppen, Sicherheitsvorlagen, Gruppenrichtlinien und Richtlinien für die dynamische Zugriffskontrolle erzwungen. Das Testen kann auch über PowerShell-Skripte automatisiert werden, die sich über das Netzwerk als verschiedene Benutzer mit unterschiedlichen Berechtigungen authentifizieren. Dynamic Access Control (DAC) ist etwas Neues mit Server 2012 speziell für Data Loss Prevention (DLP) und Durchsetzung von Need-to-Know-Regeln. Alle diese Themen werden in SEC505 behandelt.,
Steuerelement 16: Kontoüberwachung und-steuerung
Die meisten Empfehlungen in diesem Steuerelement würden durch eine Kombination von Active Directory-Berechtigungen, Gruppenrichtlinieneinstellungen und benutzerdefinierten Anzeigenabfragen, z. B. mit PowerShell-Skripten, implementiert. Und diese Themen werden in SEC505 behandelt.,
Control 17: Data Loss Prevention
SEC505 deckt viele der Empfehlungen dieses Steuerelements für DLP ab, einschließlich BitLocker Whole Drive Encryption, „BitLocker To Go“für USB-Flash-Laufwerke, Gruppenrichtlinienkontrolle der USB-Gerätenutzung und etwas Neues, das in Server 2012 und später als Dynamic Access Control. Dynamic Access Control (DAC) ist speziell für die Durchsetzung von Need-to-Know-Regeln und DLP, und es ist bereits in Server 2012 gebaut. Um nach PII (Personal Identifiable Information) auf Systemen zu suchen, kann auch ein benutzerdefiniertes PowerShell-Skript verwendet werden., Die Überwachung des Netzwerks auf Datenverlust ist dagegen in SEC505 nicht abgedeckt (versuchen Sie SEC503).
Control 18: Incident Response
SEC505 behandelt nicht die Planung von Incident Response, dieses Thema wird in anderen Kursen wie Hacker-Techniken, Exploits und Incident Handling (SEC504) sowie Advanced Computer Forensic Analysis und Incident Response (FOR508) diskutiert.
Control 19: Secure Network Engineering
Das Firewall-Design wird bei SANS in einem anderen Kurs behandelt, aber diese Steuerung ist breiter als nur Perimeter-Firewalls., Wie oben diskutiert, haben wir Gruppenrichtlinien Kontrolle über IPSec und Windows-Firewall-Einstellungen für eine schnelle Reaktion auf Angriffe. Wir decken auch DNSSEC, DNS-Dolinen, DNS Secure Dynamic Updates, Beseitigung NetBIOS und LLMNR, und DHCP-Protokollierung ist einfach zu aktivieren. Man könnte auch PowerShell verwenden, um Daten aus großen DHCP/DNS-Protokollen zu extrahieren. Daher werden die meisten Empfehlungen in dieser Kontrolle in SEC505 behandelt, und dann einige.,
Kontrolle 20: Penetrationstests
SEC505 deckt keine Penetrationstests ab, die in anderen Kursen wie Network Penetration Testing und Ethical Hacking (SEC560) diskutiert werden.
Australische Regierung Vier Kontrollen
Die australische Regierung hat festgestellt, dass vier der 20 kritischen Kontrollen am effektivsten sind, um Eindringlinge zu blockieren., Alle vier werden ausführlich in SEC505 diskutiert und demonstriert: Wir verwenden Gruppenrichtlinien und WSUS für das Software-Management, AppLocker für das Whitelisting und widmen fast einen ganzen Tag einer der am schwierigsten zu implementierenden Kontrollen, nämlich der Kontrolle von Administratorrechten.
Automatisierung: Gruppenrichtlinie + PowerShell
Das Projekt 20 Critical Controls betont die Bedeutung der Automatisierung. Automatisierung und Skalierbarkeit werden in SEC505 durch Schulungen zu Gruppenrichtlinien und PowerShell erreicht., Gruppenrichtlinie ist ein in Active Directory integriertes Enterprise Management System (EMS), mit dem jede Windows-Konfigurationseinstellung und Benutzeranwendung, einschließlich Chrome und Java, mehr oder weniger verwaltet werden kann. PowerShell ist nicht nur eine Skriptsprache, es ist ein Remote-Management-Framework, das auf sehr große Netzwerke wie Microsofts eigene Cloud-Infrastruktur skaliert werden kann. Die Kombination aus Group Policy plus PowerShell ist ein Kraftmultiplikator für die Automatisierung der 20 kritischen Steuerungen., Und wenn diese zu kurz kommen, enthält SEC505 auch Empfehlungen für Produkte von Drittanbietern wie Schwachstellenscanner, SIEM-Systeme und USB-Geräteblocker.
Fragen Sie den Kursautor
Wenn Sie Fragen zum Kurs Securing Windows (SEC505) haben, ist die vollständige Kursbeschreibung online und Sie können sich auch an den Kursautor wenden: Jason Fossen (jason-at – sans.org).