Microsoft Security Compliance Manager: Упрощенные параметры настройки безопасности

Грядущая версия Security Compliance Manager является более доступной, гибкой и обладает большими возможностями.

Пол Шнакенбург

В исходной версии диспетчера Security Compliance Manager (SCM) были собраны вместе все рекомендации Microsoft в области безопасности. Он предоставлял подробные объяснения каждому рекомендованному параметру и позволял экспортировать пользовательские параметры как объекты групповой политики (GPO) для повсеместного распространения. Он помогал применять нужные параметры безопасности без необходимости перекапывать тонны документации.

Однако в нем не было возможности сравнить текущие параметры с рекомендованными компанией Microsoft, не сравнивая каждый параметр вручную. Новая версия SCM закрыла этот пробел. Улучшения в этой новой версии основаны на пожеланиях клиентов, что делает SCM доступнее для специалистов в области ИТ. Кроме того добавлены несколько новых возможностей.

«Все, что мы сделали во второй версии SCM, было нашим ответом на запросы клиентов», — говорит Джефф Сигман, старший инженер по разработке ПО в Microsoft. Это позволило сконцентрировать усилия на трех областях. «Клиенты хотели импортировать свои конфигурации в SCM, что бы повысило полезность инструмента. Это вылилось в новую функциональность по импорту объектов GPO. Они хотели, чтобы SCM был проще в использовании, и вы поработали над повышением удобства работы. Они также хотели увеличения гибкости SCM в отношении баз данных SQL».

Установка SCM осталась такой же простой и легкой. Первая версия требовала собственный экземпляр SQL Server Express, а во второй версии можно использовать локальный сервер SQL Server или SQL Server Express. Бета-версия также включает десять предустановленных базовых уровней. При установке текущей бета-версии имеющийся экземпляр будет автоматически обновлен с сохранением всех данных (рис. 1).

Рис. 1. При запуске SCM версии 2 (бета) будет обновлена имеющаяся версия

Многофункциональная консоль

Начальная страница содержит шесть информационных областей, которые можно раскрыть, чтобы увидеть дополнительные ссылки (рис. 2).

Рис. 2. Руководства пользователя и дополнительная информация помогут быстро начать работу

Библиотека Baseline Library находится слева от главной консоли и отображает все доступные базовые параметры в виде древовидной иерархии, группированной по продуктам. Все загружаемые базовые параметры подписаны, и их изменять нельзя. Чтобы адаптировать  их в соответствии с собственными нуждами, следует создать копию и использовать именно ее. При выборе базовых параметров панель в середине содержит информацию о них. Панель Actions справа содержит соответствующие выбранному объекту параметры.

Текущая бета-версия включает новые базовые параметры. Если нужно загрузить другие параметры, выберите в меню Tools/Check for Baselines, затем выберите нужные и щелкните Download. Также есть возможность создания копий базовых параметры, так что вы сможете изменить в соответствии со своими потребностями.

Основным отличием SCM версии 2 от предшественника является новая «сетка параметров». Каждый раздел отделяется горизонтальным разделителем, который позволяет сворачивать или раскрывать группу. Это упрощает работу с большими списками параметров. Сигман говорит, что сетка параметров была создана по образу и подобию Windows Intune и призвана минимизировать количество щелчков мыши, необходимое для изменения параметров.

Другая возможность, упрощающая мир параметров безопасности, — панель со строкой навигации. Это похоже на Проводник Windows. Вы можете двигаться вверх и вниз по иерархии GPO и применять фильтры, отбирая только нужную информацию. Для этого просто щелкните Advanced View. Используйте маленькие кнопки для навигации; нажмите красный крест для возврата наверх (рис. 3).

Рис. 3. Навигация по множеству параметров гораздо легче при наличии строки навигации

CM еще и отличный инструмент для обучения. Каждый параметр настройки содержит полное описание не только того, что он делает, но и того, почему его следует использовать, подробности возможных опасностей и того, как этот параметр позволяет снизить риски.

Импорт имеющихся объектов GPO

Вы можете импортировать текущие параметры из своего объекта GPO и сравнить их с рекомендованными компанией Microsoft. Начните с резервного копирования объектов GPO, которые вы обычно создаете в консоли управления групповыми политиками (Group Policy Management Console, GPMC). Заметьте папку, в которую сохраняете резервную копию. В SCM выберите GPO Backup, найдите идентификатор (GUID) папки с GPO и выберите имя для GPO после импорта.

SCM сохраняет все файлы ADM и предпочтений групповых политик (это параметры, не относящиеся к безопасности, которые SCM не анализирует), которые вы храните вместе с вашими резервными копиями GPO. Он помещает их в подпапку общей папки пользователя. При экспорте базовых параметров в качестве объекта GPO, в нем сохраняются все связанные файлы.

Рождение базовых параметров

Сигман называет множество шагов в разработке базовых параметров. Все начинается с создания черновика указаний группой специалистов предметной области. Затем группа продукта внутри Microsoft работает над этим документом. После этого бета-версия становится доступной сообществу.

В случае SCM сообщество включает агентства внутри министерства обороны США, отдел Microsoft Consulting Services, НАТО и правительства других стран. После дальнейшего тестирования Microsoft создает базовые параметры. Затем эти параметры поддерживаются и обновляются в каждом новом пакете обновлений.

Добавление параметров

Основной проблемой первой версии SCM было отсутствие возможности расширять базовые параметры вашими собственными. Существовали «пакеты параметров», содержавшие все параметры для продукта вместо тех, что рекомендованы Microsoft. При этом приходилось объединять их с базовыми параметрами и удалять все лишние параметры.

В SCM версии 2 этот процесс упрощен. Теперь справа есть новая панель Add Settings. После нажатия появится диалоговое окно, которое позволяет вам выбирать продукт, определять группу для добавления новых параметров и выбрать доступные параметры из списка, который можно фильтровать теми же кнопками в панели навигации (рис. 4).

Рис. 4. В SCM версии 2 добавление новых параметров значительно упрощено

Эти параметры отображаются в новой библиотеке параметров, содержащей все известные параметры SCM и все поддерживаемые им продукты (включая все версии от Windows XP SP3 до Windows 7, от Windows Server 2003 SP2 до Windows Server 2008 R2, от Office 2007 до Office 2010 и от Internet Explorer 7 до Internet Explorer 9). Эта библиотека поддерживается так же, как и базовые параметры. Новые параметры добавляются с каждым релизом пакета обновлений — проверить свою версию библиотеки можно в диалоговом окне About.

LocalGPO

Существует инструмент для командной строки, LocalGPO, который позволяет импортировать и экспортировать GPO прямо из параметров компьютера. Установщик входит в состав SCM, но устанавливается отдельно. Он поддерживает работу в среде Windows XP и выше.

SCM не зависит от локальных объектов GPO и эти объекты не зависят от SCM. LocalGPO хорош в системах без доменов и в связке с Microsoft Deployment Toolkit (MDT).

Выполнять команды LocalGPO нужно от имени администратора. Для экспорта локальных параметров с компьютера просто выполните команду:

LocalGPO.wsf /Path:c:\GPOBackup /Export

Чтобы принять параметры, выполите команду (идентификатор GUID это идентификатор объекта GPO, который надо применить):

LocalGPO.wsf /Path:c:\GPOBackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}

Это процесс упрощает применение политик на одном компьютере или группе компьютеров в том случае, если централизованной групповой политики недостаточно.

В LocalGPO есть новый параметр GPOPack, которая объединяет в один саморазжимающийся файл все, что нужно для применения базовых параметров безопасности. Вы можете делать это без предварительной установки LocalGPO. Вся прелесть в том, что, используя MDT для настройки клиентских машин, вы можете просто добавить одну строку в установочный сценарий для применения резервной копии GPO сразу после установки операционной системы.

Именование GPOPack не обязательно. Если его не использовать, не удастся импортировать GPO в GPMC, но при этом упрощается ввод сценариев, так как вам не нужно вводить длинный идентификатор GUID. Для использования GPOPack просто поместите свой сценарий в файл GPOPack.wsf, созданный с использованием параметра GPOPack, например, так:

C:\GPObackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}\GPOPack.wsf /path:C:\GPOBackups\{12345678-9ABC-DEFG-1234-56789ABCDEFG} /silent

Вы также можете использовать LocalGPO для проверки конфигураций компьютеров, находящихся вне вашего домена, экспорта текущих параметров, их импорта в SCM и сравнения с базовыми параметрами.

EC и SSLF?

Базовые параметры в первой версии SCM существовали в двух вариантах: EC (Enterprise Client) и SSLF (Specialized Security, Limited Functionality). В новых базовых параметрах в SCM версии 2 применена четырехуровневая система. Все элементы упорядочены по ранжиру, так что можно фильтровать базовые параметры для выбора нужных:

• Critical — параметры, имеющие самое большое влияние на систему. Их следует применять почти во всех системах. Сюда включено большинство параметров из бывших базовых в EC.
• Important — параметры, имеющие значительное влияние на системы и данные. Большинство параметров этого ранга совпадают с бывшими базовыми в SSLF.
• Optional — параметры, имеющие слабое или нулевое влияние на безопасность. Вы можете игнорировать их при определении базовых параметров безопасности.
• None — ранг безопасности по умолчанию для всех элементов, не включенных в предыдущие ранги. Их вы тоже можете игнорировать.

Сигман указывает, что изменение в базовых параметрах вполне естественно. Организации все больше ориентируются на ИТ-управление, риски и выполнение регулятивных документов (GRC). Это требует реорганизации базовых параметров в группы GRC, чтобы максимально эффективно получать отчеты.

Сравнение и слияние

Возможность сравнения (Compare) служит для просмотра различий в двух базовых параметрах. На вкладке Summary показано, сколько параметров отличаются и есть ли уникальные параметры в каждом наборе базовых. На вкладке Values показано, какие конкретно параметры имеют различия и как они установлены в каждом наборе базовых параметров.

Вы можете использовать возможность Merge для объединения базовых параметров. Выберите исходный набор базовых параметров и щелкните Merge на панели действий. Затем выберите целевой набор базовых параметров. Будет показано, какие элементы должны быть изменены. Вы можете убрать параметры, которые не хотите изменять. Также будут показаны элементы, присутствующие только в источнике, только в целевом наборе и те, которые присутствуют в обоих наборах с одинаковыми параметрами. Вы можете удалить несколько параметров из базового набора всего одной операцией, что значительно удобнее, чем в первой версии SCM.

SCM может также создавать базовые наборы параметров в формате SCAP (Security Content Automation Protocol), основанном на XML. Формат определяет институт NIST (National Institute of Standards and Technology). Для сотрудников правительственных организаций США это гораздо более надежная версия предписанных правительством США рекомендаций по настройке безопасности (USGCB).

Глупо отрицать основательность рекомендаций Microsoft по безопасности. Никогда еще не было так просто сравнивать текущие параметры с новыми рекомендациями для создания новых объектов GPO для защиты ваших систем. Новая функциональность импорта GPO, улучшения в локальных GPO и упрощенный интерфейс должны повысить популярность этого сравнительно малоизвестного инструмента.

Пол Шнакенбург (Paul Schnackenburg) работает в ИТ со времен 286-х компьютеров. По совместительству он является преподавателем информационных технологий, а также ведет собственный бизнес в компании Expert IT Solutions, расположенной в районе Саншайн-Кост в Австралии. Пол обладает званиями MCSE, MCT, MCTS и MCITP и специализируется на решениях для бизнеса на основе Windows Server Hyper-V и Exchange. С ним можно связаться по почте paul@expertitsolutions.com.au Блог Пола доступен по адресу TellITasITis.com.au.