Configurações de segurança da Microsoft Security Compliance Manager: simplificadas

A próxima versão do Gerenciador de conformidade de segurança é mais acessível, flexível e capaz.

Paul Schnackenburg

O Gerenciador de conformidade de segurança (SCM) original reuniu as práticas recomendadas da Microsoft em torno de configurações de segurança. Ele fornecido explicações detalhadas sobre cada configuração recomendada e lhe permite exportar as linhas de base personalizadas como objetos de diretiva de grupo (GPOs) para distribuição muito difundida. Ele ajudou a aplicar as configurações de segurança certa sem ter que vasculhar grande quantidade de documentação.

No entanto, não havia como comparar as configurações atuais com a recomendação de linhas de base, além de procurar manualmente por meio das configurações da Microsoft. A nova versão do SCM fecha essa lacuna. Os aperfeiçoamentos nessa nova versão são baseados nos comentários do cliente do mundo real, tornando SCM muito mais acessíveis para a média IT professional. Ele também acrescenta vários recursos novos.

"Tudo o que fizemos no SCM versão 2 foi em resposta ao feedback direto dos clientes," afirma Jeff Sigman, engenheiro de design de software sênior na Microsoft. Que levaram as três principais áreas de foco. "Os clientes é necessário importar seus conhecimentos de configuração existentes para o SCM para maximizar o valor da ferramenta". Essa necessidade resultou na nova funcionalidade de importação de GPO. Eles precisavam SCM para ser mais fácil de usar, o que levar para os novos aprimoramentos da experiência do usuário. Eles também precisavam de SCM seja mais flexível em relação ao banco de dados subjacente SQL.

Configurando o SCM permanece simples. Enquanto a versão 1 necessária sua instância própria do Express de SQL Server para a instalação, a versão dois permite que você aponte para um local de SQL Server ou de SQL Server Express. A versão beta também inclui 10 linhas de base pré-configurada. Quando você instala a versão beta neste momento, a instalação será automaticamente atualizada, preservando todos os dados anteriores (consulte a Figura 1).

Figura 1 ao executar o beta versão 2 do SCM, ele atualiza quaisquer instalações anteriores.

Console abrangente

A tela de boas-vindas inclui seis áreas informativas, você pode expandir ainda mais links (consulte a Figura 2).

Figura 2 as guias e informações adicionais fornecidas ajudarão você a começar na ordem de curto.

A biblioteca de linha de base é no lado esquerdo do console principal. Lista todas as linhas de base disponíveis em uma hierarquia de árvore, agrupado por produto. Quaisquer linhas de base que você baixar são assinadas e você não pode alterá-los. Você deve criar uma cópia para modificar suas próprias linhas de base personalizadas. Quando você seleciona uma linha de base, o painel do meio exibe informações sobre a sua seleção e o painel de ações à direita contém opções sensíveis ao contexto para o objeto selecionado.

A versão beta atual contém novas linhas de base como parte do pacote. Se você precisar fazer o download de outras pessoas, vá para ferramentas | Verifique se as linhas de base e selecione aqueles que deseja e clique em Download. Há também uma opção para criar cópias de cada linha de base que você está importando para que você possa começar a modificá-los imediatamente.

A principal diferença usando a versão SCM 2 comparado ao seu antecessor é a novo "grade configurações." Cada seção é agrupada por uma barra horizontal que você pode expandir ou recolher. Isso torna muito mais fácil trabalhar com listas longas de configurações. Sigman ressalta que o layout de grade de configurações foi inspirado pela aparência do Windows Intune e foi projetado para minimizar a quantidade de cliques necessários para modificar as configurações.

Outro novo recurso que facilitará o mundo confuso de configurações de segurança navegar é a "barra de navegação de trilha". Isso funciona semelhante ao Windows Explorer. Você pode navegar para cima e para baixo na hierarquia do GPO, bem como filtrar informações desnecessárias. Para habilitar isso, basta clicar em modo de exibição Avançado. Use os botões pequenos para navegar até o nível certo; Clique no x vermelho para voltar para o topo da hierarquia (consulte a Figura 3).

Figura 3 Navegando em sua maneira por meio de uma variedade de configurações é muito mais fácil com a barra de navegação de trilha.

SCM também é uma ferramenta educacional brilhante. Cada configuração de práticas recomendada inclui uma descrição abrangente que não apenas descreve de que a configuração faz, mas também por isso que você deve usá-lo, detalhes sobre a ameaça e como essa configuração atenua o risco.

Importar os GPOs

Você pode importar as configurações atuais de seus GPOs e compare esses Microsoft as práticas recomendada. Comece com um backup de GPO que você normalmente criaria em Group Policy Management Console (GPMC). Anote a pasta à qual o backup será salvo. No SCM, selecione o GPO de Backup, navegue para a pasta GPO identificador global exclusivo (GUID) e selecione um nome para o GPO quando ele é importado.

SCM irá preservar quaisquer arquivos ADM e os arquivos de preferência de GP (aquelas com as configurações não são de segurança que não analisa o SCM) você está armazenando com os backups do GPO. Ele salva-los em uma subpasta da pasta pública do usuário. Quando você exporta a linha de base como um GPO novamente, ela também restaura todos os arquivos associados.

Nascimento de uma linha de base

Sigman descreve as várias etapas envolvidas no desenvolvimento de uma linha de base. Tudo começa com um grupo de especialistas no assunto, criando a orientação de rascunho. O grupo de produtos da Microsoft, em seguida, analisa neste documento. Em seguida, ele libera um beta para a comunidade.

No caso do SCM, a comunidade inclui agências dentro dos EUA Departamento de defesa, serviços de consultoria Microsoft, NATO e governos em todo o mundo. Após o teste ainda mais, o Microsoft cria a linha de base. Em seguida, essa linha de base é mantida e atualizada com cada novo service pack, bem como as alterações no panorama de ameaças.

Adicionar configurações

Um problema comum na primeira versão do SCM foi estendendo uma linha de base com suas próprias configurações. Havia "Pacotes de configuração" que tinha todas as configurações para um produto, em vez daqueles para os quais a Microsoft tem as práticas recomendadas. Em seguida, você precisava mesclá-los em uma linha de base e remova quaisquer configurações supérfluas.

Versão 2 do SCM facilita esse cenário muito. Há um novas configurações de adicionar no painel de ações do lado direito. Isso abre uma caixa de diálogo que permite selecionar o produto, indique o grupo ao qual a nova configuração deve ser adicionado e escolha uma lista de configurações disponíveis, você pode filtrar com os mesmos botões de navegação de trilha (consulte a Figura 4).

Figura 4 é fácil adicionar configurações para uma linha de base na versão 2 do SCM.

Essas configurações são exibidas na nova biblioteca de configuração que contém todas as configurações de que SCM conhece e todos os produtos que ele compreende (incluindo o Windows XP SP3 para Windows 7; Windows Server 2003 SP2 para Windows Server 2008 R2; Office 2007 e Office 2010; e o Internet Explorer 7 para o Internet Explorer 9). Esta biblioteca é mantida da mesma maneira que as linhas de base. Existem novas configurações adicionadas com cada versão da controladora de armazenamento — você pode verificar sua versão de biblioteca na caixa de diálogo sobre.

LocalGPO

Há uma ferramenta de linha de comando chamada LocalGPO que permite importar e exportar GPOs diretamente a partir de uma configuração de computador. O instalador está incluído no SCM, mas ele é instalado separadamente. Ele é executado no Windows XP e posterior.

SCM não é dependente de GPO Local e o GPO Local não é dependente de SCM. Onde LocalGPO brilha é para os sistemas associados fora do domínio e em conjunto com o Microsoft Deployment Toolkit (MDT).

Você precisa executar a linha de comando LocalGPO como um administrador. Para exportar as configurações locais de um computador de referência simplesmente digite:

LocalGPO.wsf /Path:c:\GPOBackup /Export

E para aplicar configurações, digite (O GUID em texto vermelho é a identificação do GPO que deseja aplicar.):

LocalGPO.wsf /Path:c:\GPOBackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}

Este processo torna relativamente fácil para impor a diretiva da empresa em computadores separados ou grupo de trabalho onde você não pode depender centralizada de políticas de grupo.

Há uma nova opção de GPOPack na LocalGPO que compacta tudo o que você precisa aplicar uma linha de base de segurança em um único arquivo de extração automática. É possível aplicar isso sem instalar primeiro o LocalGPO. A vantagem do que é que se você estiver usando o MDT para configurar as máquinas clientes, você pode simplesmente adicionar uma linha para um script de instalação para aplicar um backup de GPO diretamente após a instalação de um sistema operacional.

Nomear uma GPOPack é opcional. Ele para que você seja capaz de importar o GPO no GPMC, mas ele torna muito mais fácil digitar em scripts, porque você não precisa digitar o GUID extenso. Para usar GPOPack, simplesmente aponte seu script no arquivo GPOPack.wsf gerado pela opção GPOPack da seguinte forma:

C:\GPObackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}\GPOPack.wsf /path:C:\GPOBackups\{12345678-9ABC-DEFG-1234-56789ABCDEFG} /silent

Você também pode usar LocalGPO para auditar as mudanças de configuração nos computadores fora do seu domínio, exporte suas configurações atuais, importar aqueles em SCM e compará-los contra a linha de base.

EC e limitada?

As linhas de base com o SCM primeiro vem dois tipos: EC para cliente empresarial e limitada para a funcionalidade de segurança especializados, limitada. As novas linhas de base para SCM versão 2 adotarem um sistema de quatro níveis de gravidade. Cada item é classificada em que você possa filtrar uma linha de base para selecionar as configurações que você precisa:

• Crítica as configurações têm um grande impacto na segurança do sistema. Você deve aplicar essas configurações para praticamente qualquer sistema. A maioria das configurações nas linhas de base do EC antigas será incluída aqui.
• Importante as configurações têm impacto significativo sobre os sistemas e dados. A maioria das configurações com esta classificação coincide com as linhas de base mais antigas do limitada.
• Opcional as configurações têm pouco ou nenhum impacto de segurança. Você pode ignorar essas ao definir as linhas de base de segurança.
• Nenhum é o nível de segurança padrão para itens que ainda não foram incluídos nas linhas de base anteriores. Você pode ignorar estes também.

Sigman aponta que a alteração nas linhas de base é uma progressão natural. Empresas têm se tornam cada vez mais concentradas na governança de TI, risco e conformidade (GRC) iniciativas. Isso levou também à reorganização das configurações de linha de base em agrupamentos GRC para emissão de relatórios aprimorada.

Comparar e mesclar

Você pode usar o recurso Comparar para ver a diferença entre duas linhas de base. A guia Resumo exibirá as configurações de quantos diferem entre linhas de base, e se houver quaisquer configurações exclusivas de cada linha de base. Na guia valores informa exatamente quais configurações são diferentes e como eles estiver definidos em cada linha de base.

Você pode usar o recurso de mesclagem para combinar linhas de base também. Inicie com a linha de base de código-fonte e selecione mesclagem no painel de ações. Em seguida, selecione a linha de base de destino. Ele mostra quais itens serão alterados. Você pode desmarcar as configurações que você não deseja alterar. Ele também mostra itens presentes apenas na origem, somente apresentam itens de destino e itens em ambas as linhas de base com configurações idênticas. Você pode excluir várias configurações de uma linha de base em uma única operação, o que é um aprimoramento definitivo da primeira versão do SCM.

SCM também pode criar linhas de base no protocolo de automação conteúdo segurança (SCAP) baseado em XML formato, gerenciado pelo Instituto Nacional de padrões e tecnologia (NIST). Para aqueles que trabalham nos EUA organizações governamentais, esta é uma versão muito mais robusta das linhas de base de configuração do Estados Unidos governamentais.

Você não pode negar a abrangência da orientação de segurança da Microsoft. Ele nunca foi tão fácil comparar as configurações atuais com as recomendações de novas e criar novos GPOs para bloquear seus sistemas. A nova funcionalidade do GPO de importação, aprimoramentos de GPO Local e mais fácil de usar interface devem mover essa ferramenta de disfarce relativa..

**Paul Schnackenburg**tem trabalhado IT desde os dias de 286 computadores. Ele divide seu tempo trabalhando como professor de TI e administrando sua própria empresa, a Expert IT Solutions, na Austrália. Ele possui as certificações MCSE, MCT, MCTS e MCITP e é especialista em Windows Server, Hyper-V e soluções Exchange para empresas. Contatá-lo em paul@expertitsolutions.com.au e execute seu blog em TellITasITis.com.au.

Conteúdo relacionado

• Protocolo de automação de conteúdo de segurança (SCAP)
• Linha de base do configuração de governo dos Estados Unidos (USGCB)
• Microsoft Solution Accelerators Segurança & Blog de conformidade