Microsoft Security Compliance Manager: Sicherheitseinstellungen vereinfacht
Die bevorstehende Version von Security-Compliance-Manager ist zugänglich, flexibler und leistungsfähiger.
Paul Schnackenburg
Die ursprüngliche Security Compliance Manager (SCM) zusammengefasst best Practices rund um die Sicherheitseinstellungen von Microsoft. Es ausführliche Erläuterungen für jede empfohlene Einstellung bereitgestellt und können Sie angepasste Basispläne als Group Policy Objects (GPOs) für die Verbreitung zu exportieren. Es Half Sie die richtigen Sicherheitseinstellungen anwenden, ohne Unmengen an Dokumentation durchforsten.
Allerdings gab es keine Möglichkeit, mit der von Microsoft empfohlene Baselines, neben der Suche manuell über die Einstellungen für Ihre aktuellen Einstellungen vergleichen. Die neue Version von SCM schließt diese Lücke. Die Verbesserungen in dieser neuen Version basiert auf realen Kunden-Feedback, SCM viel mehr zugänglich zu machen die durchschnittliche IT professional. Außerdem werden einige neue Features hinzugefügt.
"Alles, was wir im Dienststeuerungs-Manager Version 2 wurde als Reaktion auf Feedback der Kunden war", sagt Jeff Sigman, senior Software Design Engineer bei Microsoft. Das führte zu drei Hauptbereiche des Fokus. "Kunden benötigten importieren Sie ihre vorhandenen Kenntnisse der Konfiguration in SCM, um den Wert des Werkzeugs zu maximieren." Diese Notwendigkeit ergab die neue Funktionalität der GPO importieren. Sie brauchten SCM einfacher zu verwenden, die der neuen Verbesserungen der Benutzererfahrung führen. Sie benötigt auch SCM flexibler in Bezug auf die zugrunde liegende SQL-Datenbank sein.
Einrichten von SCM bleibt eine einfache Angelegenheit. Obwohl Version 1 eine eigene Instanz von SQL Server Express für die Installation erforderlich ist, können mit Version 2 auf einem lokalen SQL Server oder SQL Server Express zeigen. Die Beta-Version enthält auch 10 vorkonfigurierte Baselines. Wenn Sie an dieser Stelle die Beta-Version installieren, die Installation wird automatisch aktualisiert werden, während alle vorherigen Daten beibehalten werden (siehe Abbildung 1).
.jpg)
Abbildung 1 beim Ausführen der Dienststeuerungs-Manager Version 2 Beta aktualisiert alle früheren Installationen.
Umfassende Konsole
Die Willkommensseite umfasst sechs informative Bereiche können Sie für weitere Links erweitern (siehe Abbildung 2).
.jpg)
Abbildung 2 die Führungslinien und zusätzliche Informationen helfen Ihnen den Einstieg in kurzer Zeit.
Die Baseline-Bibliothek ist auf der linken Seite der Hauptkonsole. Dadurch werden alle verfügbaren Basispläne in einer Strukturhierarchie, gruppiert nach Produkt aufgelistet. Alle Baselines, die Sie herunterladen werden signiert und kann nicht geändert. Sie müssen eine Kopie ändern Ihre eigenen benutzerdefinierten Baselines erstellen. Wenn Sie eine Baseline auswählen, der mittlere Bereich zeigt Informationen über Ihre Auswahl und der Aktionsbereich auf der rechten Seite enthält kontextabhängige Optionen für das ausgewählte Objekt.
Die aktuelle Betaversion enthält neue Baselines als Teil des Pakets. Wenn Sie andere herunterladen müssen, gehen Sie zu Extras | Baselines gesucht, und wählen Sie die, die Sie möchten und klicken Sie auf Download. Es ist auch eine Option zum Erstellen von Kopien der einzelnen Baselines, die Sie importieren möchten, können Sie damit beginnen sie sofort ändern.
Der Hauptunterschied bei der Verwendung von SCM Version 2 im Vergleich zu seinem Vorgänger neue "Einstellungsraster." ist Jeder Abschnitt ist durch eine horizontale Linie gruppiert, Sie erweitern oder reduzieren können. Dies macht es viel einfacher, arbeiten mit langen Listen von Einstellungen. Sigman weist darauf hin, dass das Rasterlayout Einstellungen durch das Aussehen und Verhalten von Windows Intune inspiriert wurde und zum Minimieren der Klicks erforderlich dient, um Einstellungen zu ändern.
Ein weiteres neues Feature, das die verwirrende Welt der Sicherheitseinstellungen zu navigieren erleichtern, ist der "Breadcrumb-Leiste" Dies funktioniert ähnlich wie Windows Explorer. Sie können die Gruppenrichtlinienobjekt-Hierarchie nach oben oder unten navigieren, sowie nicht benötigte Informationen herausfiltern. Um dies zu ermöglichen, klicken Sie einfach auf Erweiterte Ansicht. Verwenden Sie die kleinen Schaltflächen auf der richtigen Ebene navigieren; Klicken Sie auf das rote X, um zurück zum Anfang der Hierarchie zu wechseln (siehe Abbildung 3).
.jpg)
Abbildung 3 Navigieren Ihren Weg durch eine Vielzahl von Einstellungen ist viel einfacher mit der Breadcrumb-bar.
SCM ist auch eine brillante pädagogisches Instrument. Jede best Practice-Einstellung enthält eine umfassende Beschreibung, die nicht nur beschreibt die Funktion die Einstellung, sondern auch warum Sie es verwenden sollten, details über die Bedrohung und wie diese Einstellung das Risiko verringert.
Importieren Sie Ihre GPOs
Sie können aktuellen Importeinstellungen aus Ihren GPOs und vergleichen Sie diese an die von Microsoft empfohlenen best Practices. Beginnen Sie mit der Sicherung eines Gruppenrichtlinienobjekts, das Sie häufig in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erstellen würden. Achten Sie auf den Ordner, in dem die Sicherung gespeichert wird. In SCM Sicherung des Gruppenrichtlinienobjekts, Durchsuchen Sie, um den Gruppenrichtlinienobjekt-Ordner GUID Globally Unique Identifier () und wählen Sie einen Namen für das Gruppenrichtlinienobjekt beim Importieren.
SCM beibehalten wird, alle ADM-Dateien und GP-Einstellungsdateien (die mit nicht-Sicherheitseinstellungen, die SCM analysieren nicht) Sie sind mit den GPO-Sicherungen speichern. Es speichert sie in einen Unterordner im öffentlichen Ordner des Benutzers. Wenn Sie die Baseline als Gruppenrichtlinienobjekt erneut exportieren, werden alle zugehörigen Dateien außerdem wiederhergestellt.
Geburt einer Baseline
Sigman beschreibt die mehrere Schritte beim Entwickeln einer Baseline. Es beginnt alles mit einer Gruppe von Fachexperten Entwurf Anleitung erstellen. Die Produktgruppe innerhalb von Microsoft studiert dann dieses Dokument. Dann gibt es eine Beta in die Gemeinschaft frei.
Bei der SCM beinhaltet die Gemeinschaft Agenturen innerhalb der USA Department of Defense, Microsoft Consulting Services, NATO und Regierungen auf der ganzen Welt. Nach weiteren Tests, erstellt Microsoft die Baseline. Dann ist dieser Baseline verwaltet und mit jeder neuen Servicepack sowie Änderungen bei Bedrohungen aktualisiert.
Hinzufügen von Einstellungen
Ein häufiges Problem in der ersten Version von SCM wurde eine Baseline mit Ihren eigenen Einstellungen erweitern. Es gab "Einstellung Packs" alle Einstellungen für ein Produkt wurde anstelle der für die Microsoft best Practices. Dann mussten Sie diese in einer Baseline zusammenführen und entfernen Sie alle überflüssigen Einstellungen.
SCM-Version 2 erleichtert dieses Szenario. Es gibt eine neue Einstellungen hinzufügen im Bereich Aktion rechts. Dadurch wird ein Dialogfeld, mit dem Sie das Produkt auswählen die Gruppe, die neue Einstellung hinzugefügt werden soll, und wählen Sie aus einer Liste der verfügbaren Einstellungen mit den gleichen Breadcrumb-Schaltflächen können Sie filtern, anzuzeigen (siehe Abbildung 4).
.jpg)
Abbildung 4 Es ist einfach, Einstellungen hinzufügen, um eine Baseline im Dienststeuerungs-Manager Version 2.
Diese Einstellungen werden in der neuen Einstellung Bibliothek angezeigt, die enthält jede Einstellung, die SCM kennt und jedes Produkt, das ihn versteht (einschließlich Windows XP SP3 auf Windows 7; WindowsServer 2003 SP2 auf WindowsServer 2008 R2; Microsoft Office 2007 auf Office 2010; und InternetExplorer 7 Internet Explorer 9). Diese Bibliothek wird auf die gleiche Weise wie Baselines verwaltet. Es gibt neue Einstellungen hinzugefügt, die mit jedem Release SP – können Sie Ihre Bibliotheksversion im Dialogfeld "Info".
LocalGPO
Es ist ein Befehlszeilenprogramm namens LocalGPO, mit dem Sie importieren und Exportieren von GPOs direkt von der Konfiguration des Computers. Das Installationsprogramm im SCM enthalten ist, aber separat installiert ist. Es läuft unter Windows XP und höher.
SCM nicht lokales Gruppenrichtlinienobjekt abhängig ist und lokale Gruppenrichtlinienobjekt nicht SCM abhängig. Wo LocalGPO scheint ist für nicht-Domänen verknüpften Systemen und in Verbindung mit Microsoft Deployment Toolkit (MDT).
Sie müssen als Administrator der LocalGPO-Befehlszeile ausführen. Geben Sie einfach die lokale Einstellungen von einem Referenzcomputer exportieren:
LocalGPO.wsf /Path:c:\GPOBackup /Export
Und um die Einstellungen zu übernehmen, geben Sie (die GUID in roter Schrift ist die Identifizierung des Gruppenrichtlinienobjekts, die Sie anwenden möchten.):
LocalGPO.wsf /Path:c:\GPOBackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}
Dieser Prozess macht es relativ leicht zu Unternehmensrichtlinien auf separaten oder Arbeitsgruppe Computern erzwingen, wo Sie zu zentralen Gruppenrichtlinien können nicht ausgehen.
Es ist eine neue Option GPOPack in LocalGPO, die alles packs Sie eine Baseline Security in einer selbstextrahierenden Datei anwenden müssen. Dies kann ohne Installation von LocalGPO zuerst angewendet werden. Die Schönheit, ist, wenn Sie das MDT zum Einrichten von Clientcomputern verwenden, Sie einfach eine Zeile ein Setup-Skript zu Sicherung ein Gruppenrichtlinienobjekts gelten direkt nach der Installation eines Betriebssystems hinzufügen können.
Benennung einer GPOPack ist optional. Es verhindert, dass Sie können das Gruppenrichtlinienobjekt in der Gruppenrichtlinien-Verwaltungskonsole importieren, aber es macht es viel einfacher, die in Skripts eingeben, da Sie nicht lange GUID eingeben müssen. Um GPOPack zu verwenden, zeigen Sie einfach Ihr Skript in die Datei GPOPack.wsf mithilfe der GPOPack-Option erzeugt wie folgt:
C:\GPObackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}\GPOPack.wsf /path:C:\GPOBackups\{12345678-9ABC-DEFG-1234-56789ABCDEFG} /silent
Sie können auch LocalGPO Konfigurationsabweichungen auf Computern außerhalb der Domäne überwachen, ihre aktuellen Einstellungen exportieren, importieren diese in SCM und ihnen mit Ihrem Basisplan vergleichen.
Und Hochsicherheitsbaseline?
Die Baselines mit der ersten SCM kam in zwei Ausführungen: EG Unternehmensclient- und Hochsicherheitsumgebungen für spezielle Sicherheitsstufe, eingeschränkter Funktionalität. Die neue Baselines für SCM Version 2 erlassen ein vier-Stufen-Schweregrad-System. Jedes Element wird eingestuft, so dass Sie filtern können, welche Einstellungen auszuwählen, Sie müssen, eine Baseline:
- Kritische Einstellungen haben große Auswirkungen auf die Systemsicherheit. Sie sollten diese Einstellungen auf nahezu jedem System anwenden. Die meisten Einstellungen in der ehemaligen EG Baselines werden hier angegeben werden.
- Wichtige Einstellungen haben erhebliche Auswirkungen auf die Systeme und Daten. Die meisten Einstellungen mit dieser Bewertung entsprechen die älteren Hochsicherheitsbaseline Basislinien.
- Optionale Einstellungen haben wenig oder gar keine Auswirkungen auf die Sicherheit. Sie können diese beim Definieren von Sicherheitsbaselines ignorieren.
- Keine ist die Standardsicherheitsebene für Elemente, die nicht in früheren Baselines enthalten gewesen. Sie können diese auch ignorieren.
Sigman weist darauf hin, dass die Änderung in Baselines eine natürliche Entwicklung. Unternehmen werden zunehmend konzentrierten sich auf IT-Governance, Risk und Compliance (GRC) Initiativen. Dies hat auch zu reorganisieren Basiseinstellungen in GRC-Gruppierungen für bessere Berichterstattung.
Vergleichen und Zusammenführen
Die Compare-Funktion können Sie den Unterschied zwischen beiden Baselines anzeigen. Zeigt die Registerkarte Zusammenfassung, Baselines, wie viele Einstellungen unterscheiden und es gibt eindeutigen Einstellungen in einer Baseline. Die Registerkarte Werte erfahren Sie genau, unterschiedliche Einstellungen und wie sie in den einzelnen Baselines festgelegt sind.
Das Verschmelzungs-KE können Sie um Baselines sowie zu kombinieren. Beginnen Sie mit der Ursprungs-Baseline und wählen Sie im Aktionsbereich zusammenführen. Wählen Sie die Ziel-Baseline. Es zeigt Ihnen, welche Elemente geändert werden. Sie können Einstellungen deaktivieren, die Sie ändern möchten. Es zeigt Ihnen auch Elemente, die nur in der Quelle vorhanden Elemente nur in das Ziel und die Elemente in beiden Baselines mit identischen Einstellungen vorhanden. Sie können mehrere Einstellungen aus einer Baseline in einem Vorgang löschen die eine definitive Verbesserung gegenüber der ersten Version von SCM ist.
SCM können auch Baselines im Security Content Automation Protocol (SCAP) XML-basierten Format, durch das National Institute of Standards and Technology (NIST) verwaltet. Für die Arbeit in USA Regierungsbehörden, dies ist eine viel stabilere Version der Vereinigten Staaten Regierung Konfigurationsbasislinien.
Die Gründlichkeit der Microsoft Sicherheitsleitfaden kann nicht verweigert werden. Es war noch nie so einfach, vergleichen Sie die aktuelle Einstellungen mit den neuen Empfehlungen und Erstellen neuer Gruppenrichtlinienobjekte für Ihre Systeme sperren. Die neue GPO Importfunktionalität, Verbesserungen des lokalen Gruppenrichtlinienobjekts und einfacher zu bedienende Schnittstelle sollte dieses Tool von relativer Dunkelheit Hinausfliegen...
.jpg)
**Paul Schnackenburg**arbeitet in IT seit den Tagen des 286 Computern. Er arbeitet als IT-Trainer und hat außerdem noch sein eigenes Unternehmen Expert IT Solutions an der Sonnenküste Australiens. Er verfügt über MCSE-, MCT-, MCTS- und MCITP-Zertifizierungen und hat sich auf Windows Server-, Hyper-V- und Exchange-Lösungen für Unternehmen spezialisiert. Sie erreichen ihn unter paul@expertitsolutions.com.au , und folgen Sie seinen Blog unter TellITasITis.com.au.