SANS Institute är en partner i projektet kritiska säkerhetskontroller för att definiera de viktigaste uppgifterna för nätverkssäkerhet. SANS erbjuder en bra kurs med titeln ” implementering och revision av de kritiska säkerhetskontrollerna (SEC566)”, men vilken kurs ska man ta efter att ha deltagit i SEC566?,
kursen SEC566 definierar rekommendationer på ett leverantörsneutralt sätt, men i själva verket kör de flesta miljöer Microsoft Windows och de flesta av dessa Windows-maskiner är kopplade till Active Directory-domäner. Finns det en SANS-kurs som erbjuder ett djupt dyk i de kritiska säkerhetskontrollerna eftersom de specifikt relaterar till Windows och Active Directory?
Ja, Den sex dagar långa säkra Windows med kursen kritiska säkerhetskontroller på SANS (kursnummer SEC505) är speciellt skriven för att ge djupgående täckning av bara de kritiska kontroller som påverkar Windows-servrar och-klienter.,
vilka kontroller omfattas av SEC505 och vilka är inte?
för var och en av de kritiska kontrollerna beskriver följande vad som omfattas av kursen säkra Windows (SEC505) som kan hjälpa dig att implementera kontrollerna på Windows-system, inte bara granska dem. Det erbjuder också förslag till andra SANS kurser efter att ha tagit SEC566.
Du kan öppna en annan flik i webbläsaren till sidan kritiska kontroller för att se en sammanfattning av kontrollerna för jämförelse.
kontroll 1: inventering av maskinvaruenheter
SEC505 täcker inte maskinvaruinventeringsprogram., Men när du samlar inventeringsdata med Nmap och andra verktyg, du oundvikligen stöter på problem med hur man organiserar, lagra, söka, jämföra och generera rapporter från bergen av data som samlats in. Oavsett om du använder databaser, kalkylblad, XML eller bara kommaavgränsade textfiler för att lagra data, är PowerShell ett utmärkt kommandoskal och skriptspråk för att manipulera dessa data. Många säkerhetsuppgifter utförs inte eftersom administratörerna saknar skriptuppgifter, och inventeringsuppgifter är perfekta exempel. På grund av detta inkluderar SEC505 en hel dag på PowerShell scripting.,
Control 2: Inventory of Software
SEC505 täcker inte programvarulapplikationer, även om det finns förbättringar från tredje part för grupppolicy för detta ändamål, och PowerShell kan fråga fjärrsystem via WMI-gränssnittet.
viktigare än bara lager, men den här kontrollen rekommenderar också att du låser ner programkonfigurationer, använder applikationsvitelistning, loggning av applikationsanvändning och förhindrar oönskade applikationsinstallationer., I SEC505 en hel dag ägnas åt grupprincip och det finns många grupprincip teknik för just dessa typer av problem, till exempel, AppLocker, revision/logga politik, hantera NTFS-behörigheter, konfigurera nästan varje aspekt av Internet Explorer och Microsoft Office-program, kodsignering krav för skript/makron, som begränsar MSI-paket för installation, kör skript för att identifiera icke-standardiserade programvaror, etc. SEC505 specifikt diskuterar härdning tekniker för Java, Internet Explorer, Google Chrome, Adobe Reader och Microsoft Office.,
kontroll 3: säkra konfigurationer för datorsystem
Windows-maskiner härdas inte för hand, utan genom tillämpning av INF / XML-säkerhetsmallar, till exempel de som tillhandahålls med Microsoft Security Compliance Manager. Dessa mallar tillämpas med Grupprincip, SECEDIT.Exe, Säkerhetskonfigurationen och analysen MMC snap-in, eller Säkerhetskonfigurationsguiden (som alla omfattas av SEC505)., För de få inställningar som inte kan konfigureras via en mall eller grupppolicy är det troligt att ett skript skulle användas så att ändringarna kan automatiseras (PowerShell igen).
kontroll 4: sårbarhetsbedömning och sanering
SEC505 täcker inte sårbarhetsskannrar, som omfattas av andra kurser, till exempel Security Essentials (SEC401). Å andra sidan, sårbarhet sanering omfattas mycket bra i avsnitten om patch management, Grupprincip, applikationer härdning, etc.,
Kontroll 5: Skadlig kod Försvar
Anti-malware tekniker diskuteras under veckan, såsom Kontroll av användarkonto, DNS gropar, härdning Internet Explorer och Chrome, Java, Adobe Reader, som använder hoppa servrar, AutoPlay/AutoRun, etc. Men en jämförelse av vissa av scanning produkter eller debatt om var att installera dem, som inte omfattas.
Control 6: Application-Layer Software Security
SEC505 täcker inte säker kodning, webbapplikationstestning eller databassäkerhet., SEC505 ägnar dock en halvdag till serverhärdning (dag 5), till exempel för IIS-webbservrar.
Kontroll 7: Trådlös Enhet Kontroll
SEC505 leder dig igenom stegen för att ställa upp en PKI, trycka ut trådlöst certifikat (eller smart kort), installera RADIUS-servrar, konfigurera de trådlösa inställningarna för bärbara datorer genom grupprincip, och att upprätthålla använda WPA2 AES-kryptering och PEAP-autentisering på RADIUS-servrar. Genom Grupprincip kan du också låsa och sedan dölja de andra trådlösa alternativen från icke-administrativa användare, t. ex.,, du kan hindra dem från att ansluta till Ad hoc-nätverk. Problemet med oseriösa åtkomstpunkter, tethering och BYOD-datorer diskuteras också. SANS har ett bra veckolångt spår på trådlös säkerhet (SEC617), men den kursen är inte för Windows-nätverk specifikt, SEC505 är.
Control 8: Data Recovery Capability
SEC505 täcker inte hur du utför säkerhetskopior och återställning, se Security Essentials (SEC401) eller kontakta din leverantör av säkerhetskopieringslösningar.,
kontroll 9: kompetensbedömning och utbildning
SEC505 omfattar inte säkerhetsutbildning eller medvetenhetstestning i detalj, se säkra människan (MAN433).
kontroll 10: säkra konfigurationer för nätverksenheter
SEC505 täcker inte brandväggsdesign eller konfiguration av routrar och switchar; se istället Perimeterskydd på djupet (SEC502).
kontroll 11: Kontroll av nätverksportar, protokoll och tjänster
grupppolicy och kommandoradsadministration av IPSec och Windows-brandväggen omfattas i SEC505 i detalj., Kombinationen av IPsec + Windows Firewall + Group Policy ger mycket exakt och flexibel kontroll över vilka användare och datorer som får tillgång till vilka portar/tjänster på vilka maskiner. Dag fyra av SEC505 ägnas åt IPSec, Windows Firewall, Microsoft RADIUS service för 802.1 x autentisering av trådlösa och Ethernet-klienter.
kontroll 12: administrativa privilegier
varje rekommendation i denna kontroll om administrativa användarkonton diskuteras eller visas i SEC505 (dag 2)., PKI-dagen för SEC505 (dag 3) går också deltagarna genom processen att skapa en Windows PKI och utfärda smarta kort och andra certifikat till administrativa användare för säker multifaktorsautentisering. Säkert hantera administrativa referenser, som inkluderar tjänstekonton, är en av de svåraste och viktigaste uppgifterna. SEC505 spenderar nästan en hel dag på just den här kontrollen på grund av dess betydelse för Windows i synnerhet.,
Control 13: Boundary Defense
SEC505 täcker inte brandvägg eller ID-design, se Perimeterskydd på djupet (SEC502) och intrångsdetektering på djupet (SEC503).
kontroll 14: revisionsloggar
Windows revisionspolicy och loggning konfigureras via säkerhetsmallar och grupppolicy, som nämnts ovan, eftersom varje maskin har sina egna händelseloggar. SEC505 också igenom hur du aktiverar loggning i RADIUS-servrar som kontrollerar fjärråtkomst, till exempel för VPN-gateways och trådlösa åtkomstpunkter (i Dag 4)., Alla dessa data måste konsolideras på en central plats, vanligtvis med en tredje part SIEM, men när den mänskliga kontakten behövs för att gå utöver de konserverade frågorna och rapporterna från din SIEM, hur kan dessa data extraheras och analyseras effektivt? Återigen fungerar PowerShell-skript med reguljära uttryck och SQL-frågor väldigt snyggt. Vad sägs om att konfigurera tredjepartsprodukter SIEM? Omfattas inte av SEC505.
kontroll 15: kontrollerad åtkomst baserad på behov av att veta
det är bra och bra att prata om principen om behovet av att veta,men var möter gummit vägen?, Hur implementerar du faktiskt denna princip över servrar i ett företag? Denna kontroll skulle till stor del verkställas genom Windows användargrupper, säkerhetsmallar, Grupprincip och dynamiska Åtkomstkontrollpolicyer. Testning kan också automatiseras genom PowerShell-skript som autentiserar över nätverket som olika användare med olika privilegier. Dynamic Access Control (DAC) är något nytt med Server 2012 specifikt för Data Loss Prevention (DLP) och genomdriva behöver-veta-regler. Alla dessa ämnen behandlas i SEC505.,
kontroll 16: Kontoövervakning och kontroll
de flesta rekommendationer i denna kontroll skulle genomföras genom en kombination av Active Directory-behörigheter, grupprincipinställningar och anpassade annonsfrågor, till exempel med PowerShell-skript. Och dessa ämnen behandlas i SEC505.,
Kontrollera 17: Data Loss Prevention
SEC505 omfattar många av de rekommendationer av denna kontroll för DLP, bland annat BitLocker hela diskkryptering ”BitLocker To Go” för USB-flash-enheter, Group Policy för kontroll av USB-enhet för användning, och något nytt byggs in i Server 2012 och som senare kom att kallas Dynamic Access Control. Dynamic Access Control (DAC) är speciellt för att upprätthålla need-to-know regler och DLP, och det är redan inbyggt i Server 2012. För att söka efter personligt identifierbar Information (PII) på system kan ett anpassat PowerShell-skript också användas., Övervakning av nätverket för dataläckage å andra sidan omfattas inte av SEC505 (prova SEC503).
kontroll 18: Incidentsvar
SEC505 täcker inte incidentsvarsplanering, detta ämne diskuteras i andra kurser, såsom hackertekniker, Exploits och Incident Handling (SEC504) och även avancerad dator kriminalteknisk analys och Incidentsvar (FOR508).
kontroll 19: Secure Network Engineering
Brandväggsdesign omfattas av en annan kurs på SANS, men denna kontroll är mer bred än bara perimeterbrandväggar., Som diskuterats ovan har vi Grupprincip kontroll över IPSec och Windows-brandväggsinställningar för snabb respons på attacker. Vi täcker också DNSSEC, DNS sinkholes, DNS säkra dynamiska uppdateringar, eliminera NetBIOS och LLMNR, och DHCP loggning är lätt att aktivera. Man kan också använda PowerShell för att extrahera data från stora DHCP/DNS-loggar. Därför omfattas de flesta rekommendationerna i denna kontroll i SEC505, och sedan några.,
kontroll 20: penetrationstest
SEC505 täcker inte penetrationstest, vilket diskuteras i andra kurser, såsom Nätverkspenetrationstest och etisk Hacking (SEC560).
Australiens regering fyra kontroller
den australiensiska regeringen har fastställt att fyra av de 20 kritiska kontrollerna är mest effektiva för att blockera intrång., Alla fyra diskuteras och demonstreras länge i SEC505: vi använder grupppolicy och WSUS för programvaruhantering, AppLocker för vitlistning och ägnar nästan en hel dag till en av de svåraste att genomföra kontrollerna, nämligen att kontrollera administrativa privilegier.
Automation: Group Policy + PowerShell
20 Critical Controls-projektet betonar vikten av automatisering. Automatisering och skalbarhet uppnås i SEC505 genom att tillhandahålla utbildning om grupppolicy och PowerShell., Grupprincip är ett Enterprise Management System (EMS) inbyggt i Active Directory som mer eller mindre kan hantera alla Windows-konfigurationsinställningar och användarprogram, inklusive Chrome och Java. PowerShell är inte bara ett skriptspråk, det är en fjärrhanteringsram som kan skala till mycket stora nätverk, till exempel Microsofts egen molninfrastruktur. Kombinationen av Group Policy plus PowerShell är en kraftmultiplikator för automatisering av de 20 kritiska kontrollerna., Och där dessa faller kort, innehåller SEC505 även rekommendationer för tredjepartsprodukter, såsom sårbarhetsskannrar, SIEM-system och USB-enhetsblockerare.
fråga Kursförfattaren
om du har några frågor om säkra Windows (SEC505) kursen är hela kursbeskrivningen online och kontakta gärna kursförfattaren också: Jason Fossen (jason-at – sans.org).