Configuración de seguridad de administrador de cumplimiento de normas de seguridad de Microsoft: simplificado

La próxima versión del Administrador de cumplimiento de normas de seguridad es más accesible, flexible y capaz.

Paul Schnackenburg

El Administrador de cumplimiento de normas de seguridad (SCM) original reunió a las mejores prácticas de Microsoft en la configuración de seguridad. Proporciona explicaciones detalladas para cada configuración recomendada y permiten exportar las líneas de base personalizadas como objetos de directiva de grupo (GPO) para su distribución generalizada. Ayudó a aplicar la configuración de seguridad adecuado sin tener que apartar a través de pilas de documentación.

Sin embargo, no había ninguna forma de comparar la configuración actual con Microsoft recomendada las líneas de base, además de buscar manualmente a través de la configuración. La nueva versión de SCM cierra esta brecha. Las mejoras en esta nueva versión se basan en los comentarios de clientes reales, lo que SCM acceso mucho más a la media de TI profesional. También agrega varias características nuevas.

"Todo lo que hicimos en SCM versión 2 fue en respuesta a los comentarios del cliente," dice Jeff Sigman, ingeniero de diseño senior de software de Microsoft. Que llevó a las tres áreas principales de enfoque. "Clientes necesarios para importar sus conocimientos de configuración existente en SCM para maximizar el valor de la herramienta". Esta necesidad resultó en la nueva funcionalidad de importación de GPO. Necesitaban SCM para ser más fácil de usar, que conducen a las nuevas mejoras de experiencia del usuario. También debían SCM sea más flexible en cuanto a la base de datos SQL.

Configuración de SCM, sigue siendo muy sencillo. Mientras que requiere la versión 1 de su propia instancia de SQL Server Express para la instalación, versión dos le permite indicar un local de SQL Server o SQL Server Express. La versión beta también incluye 10 líneas de base preconfigurados. Al instalar la versión beta en este momento, la instalación se actualizarán automáticamente, conservando los datos anteriores (consulte figura 1).

Figura 1 al ejecutar la versión beta 2 de la versión SCM, actualiza las instalaciones anteriores.

Consola integral

La pantalla de bienvenida incluye seis áreas informativas se puede expandir para seguir vínculos (consulte figura 2).

Figura 2 las guías y la información adicional proporcionada podrá empezar a trabajar en poco tiempo.

La biblioteca de línea de base es el lado izquierdo de la consola principal. Enumera todas las instantáneas disponibles en una jerarquía de árbol, agrupados por producto. Ninguna línea de base que descarga está firmado y no pueden alterarlas. Tendrá que crear una copia para modificar sus propias líneas de base personalizadas. Cuando se selecciona una línea de base, el panel central muestra información acerca de la selección y el panel de acciones de la derecha contiene opciones contextuales para el objeto seleccionado.

La actual versión beta contiene nuevas instantáneas como parte del paquete. Si necesita descargar otros, vaya a herramientas | Compruebe las líneas de base, a continuación, seleccione las que desea y haga clic en descargar. También es una opción para crear copias de cada línea de base que está importando para que pueda empezar a modificar ellos inmediatamente.

La principal diferencia en el uso de la versión SCM 2 en comparación con su predecesor es el nuevo "cuadrícula de configuración." Cada sección se agrupa por una barra horizontal que se puede expandir o contraer. Esto hace mucho más fácil trabajar con largas listas de configuración. Sigman señala que el diseño de cuadrícula de configuración se inspiró en el aspecto de Windows Intune y está diseñado para minimizar la cantidad de clics necesarios para modificar la configuración.

Otra característica nueva que facilitará el mundo confuso de la configuración de seguridad navegar es la "barra de ruta de navegación". Esto funciona de forma similar al explorador de Windows. Puede desplazarse arriba y abajo de la jerarquía de GPO, así como filtrar información innecesaria. Para ello, simplemente haga clic en vista avanzada. Utilice los botones pequeños para desplazarse hasta el nivel correcto; Haga clic en la x roja para retroceder a la parte superior de la jerarquía (consulte figura 3).

Figura 3 navegar a su manera a través de una multitud de configuraciones es mucho más fácil con la barra de ruta de navegación.

SCM es también una excelente herramienta educativa. Cada configuración recomendada incluye una descripción completa que no sólo describe lo que funciona, sino también por qué se debe utilizar, detalles acerca de la amenaza y cómo esta opción reduce el riesgo.

Importar los GPO

Puede importar la configuración actual de los GPO y compare estos la prácticas recomendadas de Microsoft. Empezar con una copia de seguridad de GPO que crearían normalmente en la consola de administración de directivas de grupo (GPMC). Tome nota de la carpeta a la que se guarda la copia de seguridad. En el SCM, seleccione copia de seguridad de GPO, vaya a la carpeta de GPO identificador único global (GUID) y seleccione un nombre para el GPO cuando se importa.

SCM conservará los archivos ADM y los archivos de preferencias de GP (aquellos con una configuración de seguridad que SCM no analizar) almacena con las copias de seguridad de GPO. Guarda en una subcarpeta dentro de carpetas públicas del usuario. Al exportar la línea de base como un GPO nuevo, también restaura todos los archivos asociados.

Nacimiento de una línea de base

Sigman esboza los pasos múltiples en el desarrollo de una línea de base. Todo comienza con un grupo de expertos crear proyecto de orientación. El grupo de producto de Microsoft, a continuación, los poros a través de este documento. A continuación, libera una versión beta a la Comunidad.

En el caso de SCM, la Comunidad incluye organismos dentro de los Estados Unidos. Departamento de defensa, servicios de consultoría de Microsoft, la OTAN y los Gobiernos de todo el mundo. Después de las pruebas más, Microsoft crea la línea de base. A continuación, esta instantánea se mantiene y actualiza con cada nuevo service pack, así como los cambios en el panorama de amenazas.

Agregar configuración

Un problema común en la primera versión de SCM extiende una línea de base con su propia configuración. Hubo "Paquetes de configuración" que tenía toda la configuración de un producto, en lugar de las que Microsoft tiene las mejores prácticas. A continuación, había que combinar en una línea de base y quitar cualquier configuración superflua.

SCM versión 2 facilita mucho esta situación. Hay una nueva configuración de agregar en el panel de acción del lado derecho. Esto hará que aparezca un cuadro de diálogo que le permite seleccionar el producto, indicar el grupo al que se debe agregar la nueva configuración y elegir de una lista de configuraciones disponibles que puede filtrar con los mismos botones de la ruta de navegación (consulte figura 4).

Figura 4 es fácil agregar parámetros a una instantánea en SCM versión 2.

Estos valores se muestran en la nueva biblioteca de configuración que contiene cada configuración que conozca SCM y cada producto comprende (incluido Windows XP SP3 para Windows 7; Windows Server 2003 Service Pack 2 para Windows Server 2008 R2; Office 2007 para Office 2010; e Internet Explorer 7 a 9 de Internet Explorer). Esta biblioteca se mantiene en la misma manera que las líneas de base. Hay nuevos valores agregados con cada versión del Service Pack, puede comprobar su versión de biblioteca en el cuadro de diálogo acerca de.

LocalGPO

Hay una herramienta de línea de comandos denominada LocalGPO que le permite importar y exportar GPO directamente desde la configuración del equipo. El instalador está incluido en el SCM, pero se instala por separado. Se ejecuta en Windows XP y versiones posteriores.

SCM no depende de los GPO locales y GPO Local no depende de SCM. Donde destaca LocalGPO es para sistemas combinados de no dominio junto con Microsoft Deployment Toolkit (MDT).

Tendrá que ejecutar la línea de comandos de LocalGPO como administrador. Para exportar la configuración local de un equipo de referencia simplemente introduzca:

LocalGPO.wsf /Path:c:\GPOBackup /Export

Y, a continuación, aplicar la configuración, escriba (el GUID en texto rojo es la identificación de los GPO que desea aplicar.):

LocalGPO.wsf /Path:c:\GPOBackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}

Este proceso hace relativamente fácil de aplicar directiva de empresa en equipos independientes o grupo de trabajo donde no se puede confiar en Directiva de grupo centralizado.

Hay una nueva opción de GPOPack de LocalGPO que todo lo que necesita aplicar una línea de base de seguridad en un archivo autoextraíble. Se pueden aplicar sin necesidad de instalar LocalGPO en primer lugar. La belleza de la es que si está utilizando el MDT para configurar equipos cliente, simplemente puede agregar una línea a una secuencia de comandos de instalación para aplicar una copia de seguridad de GPO directamente después de instalar un sistema operativo.

Un GPOPack de nombres es opcional. Impide la posibilidad de importar el GPO en GPMC, pero resulta mucho más fácil escribir en secuencias de comandos porque no tienes que escriba el GUID largo. Para utilizar GPOPack, simplemente punto de la secuencia de comandos en el archivo GPOPack.wsf generado por la opción de GPOPack de este modo:

C:\GPObackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}\GPOPack.wsf /path:C:\GPOBackups\{12345678-9ABC-DEFG-1234-56789ABCDEFG} /silent

También puede utilizar LocalGPO para auditar cambios en la configuración en los equipos de su dominio, su configuración actual de exportación, importar en SCM y compararlas con la línea de base.

¿EC y SSLF?

Las líneas de base con el primer SCM llegaron en dos modos: CE para clientes corporativos y SSLF para la funcionalidad de seguridad especializados, Limited. Las nuevas instantáneas para la versión 2 de SCM adoptarán un sistema de cuatro niveles de gravedad. Cada elemento ocupa el fin de filtrar una línea de base para seleccionar la configuración que necesita:

• Crítica configuración tiene un gran impacto sobre la seguridad del sistema. Debe aplicar esta configuración a casi cualquier sistema. La mayoría de los ajustes en las líneas de base de CE ex se incluirán aquí.
• Importante configuración tiene un impacto significativo en los sistemas y datos. La mayoría de los ajustes con esta clasificación coincide con las líneas de base SSLF anteriores.
• Opcional configuración tiene poco o ningún impacto de seguridad. Puede ignorar estos al definir las líneas de base de seguridad.
• Ninguno es el nivel de seguridad predeterminado para los elementos que no ha sido incluido en las líneas de base anteriores. Puede ignorar estos también.

Sigman señala que el cambio en las líneas de base es una progresión natural. Las empresas han convertido en cada vez más concentradas en control de TI, riesgo y cumplimiento (GRC) iniciativas. Esto también ha generado la reorganización de configuración de línea de base en grupos GRC para reporting mejorado.

Comparar y combinar

Puede utilizar la característica de comparación para ver la diferencia entre dos líneas de base. La ficha Resumen muestra cuántos valores difieren entre las líneas de base, y si hay cualquier configuraciones únicas de cada línea de base. La ficha de valores indica exactamente qué valores son diferentes y cómo está establecidos en cada línea de base.

Puede utilizar la función de combinación para combinar así las líneas de base. Comience con la instantánea de origen y seleccione Combinar en el panel de acciones. A continuación, seleccione la línea de base de destino. Muestra los elementos que va a cambiar. Puede anular la selección de configuración que no desea cambiar. También muestra elementos presentes sólo en el origen, sólo se encontraron elementos en el destino y los elementos de ambas líneas de base con ajustes idénticos. Puede eliminar múltiples opciones de configuración de una línea de base en una sola operación, que es una mejora definitiva sobre la primera versión de SCM.

SCM también puede crear líneas de base en el archivo de formato de seguridad Content Automation Protocol (SCAP) basado en XML, gestionado por el Instituto nacional de estándares y tecnología (NIST). Para los que trabajan en Estados Unidos. las organizaciones de gobierno, se trata de una versión mucho más sólida de las líneas de base de configuración de gobierno de Estados Unidos.

No puede negar la minuciosidad de la Guía de seguridad de Microsoft. Nunca ha sido tan fácil de comparar la configuración actual con nuevas recomendaciones y crear nuevos GPO para bloquear los sistemas. La nueva funcionalidad de GPO de importación, mejoras de GPO Local y más fácil de usar interfaz deben avanzar esta herramienta de oscuridad relativa...

**Paul Schnackenburg**ha estado trabajando en TI desde los días de 286 equipos. Trabaja a tiempo parcial como profesor de TI y maneja su propio negocio, Expert IT Solutions, en Sunshine Coast, Australia. Tiene las certificaciones MCSE, MCT, MCTS y MCITP y se especializa en Windows Server, Hyper-V y soluciones de intercambio para empresas. Puede ponerse en paul@expertitsolutions.com.au y siga su blog en TellITasITis.com.au.

Contenido relacionado

• Protocolo de automatización de contenido de seguridad (SCAP)
• Línea de base de la configuración de gobierno de Estados Unidos (USGCB)
• Seguridad de los aceleradores de soluciones de Microsoft & Blog de cumplimiento de normas