Appassionato di All Trades: Automazione delle impostazione dei criteri di base di protezione
Greg Shields
Dopo aver lavorato per un manager è chiamato il “ donna di criteri di base di ”. Il compito principale consisteva nell'assicurare il desktop centinaia di sviluppatori che sono state scrivendo codice per stazione di terra del sistema satellite era autorizzato solo le modifiche.
In quei giorni che non era Nessuna operazione semplice. Tecnologie per monitorare automaticamente le configurazioni desktop semplicemente non erano disponibili. Mentre Maria ha esito positivo al suo processo, mantenendo la previsione di configurazione richiesti molto pressione peer come qualsiasi soluzione tecnologica. “ Donna ” partecipato regolarmente riunioni difendere le modifiche apportate a tale previsione ed exerting sua influenza per garantire che solo le impostazioni e software corretto alla fine sono state approvate.
Il motivo di questo devotion fanatical “ nella previsione ” consisteva nell'assicurare un ambiente stabile e ben documentato per il cliente del sistema satellite. Come previsto, il cliente non desidera avviare il satellite miliardi di dollari solo per scoprire gli anni successivi che parte dell'elaborazione è stato scritto con software non approvato. Cliente desiderava inoltre garantire che nessun codice inappropriato inavvertitamente potrebbe rendere il modo nei sistemi operativi del satellite.
Controllo di base: Configurazione del controllo
La maggior parte di noi non sono responsabile della salute e benessere dei sistemi satellite miliardi di dollari, ma siamo tutti consapevoli dei problemi di codice errata può causare quando ottiene nelle nostre reti. La maggior parte del tempo verrà diffondere codice tramite un attacco propagato da una parte di software dannoso. Vi possono essere stati un problema di protezione a causa di un desktop configurato in modo improprio potrebbe avere perso un aggiornamento della protezione.
Anche gli amministratori può perdere gli aggiornamenti di volta in volta. Ci potrebbe essere trascurati chiudere il foro o mancanti alcuni aggiornamento protezione recentemente rilasciato da un produttore o enti normativi. Tutti gli aggiornamenti della configurazione di protezione può costituire un problema. Tutto creare un ambiente meno protetto. Alcuni proteggere tale ambiente dall'attività dell'utente, mentre altri potrebbero introdurre la possibilità si verrà non riuscire a nostro controllo di conformità di protezione o successiva.
Per tutti questi motivi, Microsoft continua a rafforzare i relativi strumenti per la configurazione centralizzata delle impostazioni del computer. Criteri di gruppo e le preferenze di criteri di gruppo hanno fornito lungo una soluzione semplice per applicare criteri di protezione tramite Active Directory. System Center Configuration Manager (SCCM) richiede l'imposizione di un passo in avanti le funzionalità Desired Configuration Management (DCM).
Esistono inoltre numerosi produttori producono il proprio software di Gestione configurazione. Le funzionalità in genere includono modifiche globali e generare avvisi quando le configurazioni scostarsi dalla linea di base. Stati Uniti sviluppo di protocollo del governo protezione criteri è un driver centrale in questi tipi di attività. Security Content Automation Protocol (SCAP) è un protocollo progettato smartly fornisce un framework per creare, distribuire e convalidare le impostazioni di protezione nei computer attraverso la rete.
Ltre 's un elenco di soluzioni di terze parti che supportano SCAP ampio . Queste soluzioni, insieme a Microsoft, creare una piattaforma sulla quale è possibile importare il database con impostazioni di protezione approvati. Molte di queste piattaforme forniscono anche metodi automatizzati “ correggere ” impostazioni non corrette, in modo che si può elevare rapidamente l'ambiente per conformità.
Conoscenza è controllo
Per risolvere effettivamente una configurazione errata, è innanzitutto necessario identificarla. Strumenti quali criteri di gruppo e DCM forniscono una piattaforma di automazione per applicare le impostazioni della baseline. Essi non necessariamente consentono di visualizzare strutturazione tali impostazioni. È possibile creare un report che elenca le impostazioni nei GPO, ma tale tipo di report non è necessariamente attuned alle esigenze di protezione.
È necessario un livello di visualizzazione per assicurare che si stanno applicando le impostazioni appropriate. È necessario un modo semplice per visualizzare e controllare le impostazioni di base di protezione. È necessario conoscere quali configurazioni applicando tale previsione verranno regolata. È necessario un meccanismo per confrontare il contenuto dei criteri di protezione di uno rispetto a un altro. In questo modo è possibile confrontare, ad esempio le previsioni di protezione interna con l'altra o uso corrispondano a quelle fornite da Microsoft o da enti normativi esterni.
La risposta per questo problema è Microsoft Security Compliance Manager rilasciato di recente. Questo non è destinato a essere una soluzione di imposizione dei criteri, ma questo download relativamente semplice è particolarmente utile per tutte le “ altre ” Gestione attività associate alla gestione previsione di protezione, quali la revisione di configurazione di base, modifica previsto, la linea di base e reporting e così via. Questo strumento gratuito viene fornito come un Solution Accelerator di Microsoft e può eseguire tutte queste attività.
.jpg)
Figura 1 Mostra dashboard Gestione software di protezione. Qui è possibile visualizzare alcuni prodotti quali Internet Explorer, Windows 7, Microsoft Office e Windows Server comuni di protezione base. Si è visto queste linee di base e il relativo contenuto prima. Siano uguali a quelle utilizzate per trovare documenti per sistemi operativi precedenti quali “ Windows 7 Security Guide ” o “ Reference superficie di attacco di Windows Server 2008 .”
.jpg)
Figura 2Gruppi di impostazioni all'interno di una previsione.
La vera potenza di Microsoft Security Compliance Manager è disponibile nelle visualizzazioni create per le previsioni. Dare un'occhiata alla visualizzazione ingrandita in Figura 2 di di Figura 1. È possibile visualizzare la protezione prevista di Win7 EC desktop 1.0. Questo rappresenta i requisiti di protezione Enterprise Client di Windows 7 e include un intervallo di modifiche di configurazione controllate tramite Criteri di gruppo.
.jpg)
Figura 3Configurazioni di base singole.
Fare clic su uno dei gruppi di impostazioni in Figura 2 per visualizzare un elenco delle configurazioni di base singole in locale Locali\opzioni come nel Figura 3 . È possibile visualizzare per impostazione predefinita le impostazioni proposte le impostazioni assieme a Microsoft. La colonna di destra mostra le modifiche apportate alla linea di base per la personalizzazione dell'ambiente.
Personalizzare, Confronta e distribuzione
Questo tipo di personalizzazione riporta in chiaro una complessa più attività associate alla gestione dei criteri di protezione: personalizzazione predefinito consigli per esigenze specifiche. Si potrebbe riconoscere che Microsoft consigli, o quelli passati da enti governativi, non necessariamente adatta alle esigenze dell'ambiente. Forse criteri Microsoft chiude una porta firewall che è necessario mantenere aperti o i requisiti di controllo sono più rigidi rispetto a una previsione predefinita. In tutti questi casi, gestire le differenze tra una previsione fornita e quello necessario può costituire una sfida.
.jpg)
Figura 4Modifica di un'impostazione di protezione di una previsione.
Microsoft Security Compliance Manager consente di gestire tali differenze. Facendo clic su qualsiasi riferimento importato e selezionando Personalizza | Duplica crea una copia di base standard che è possibile modificare in base alle esigenze. Selezionare un'impostazione in questa copia modificabile e scegliere la scheda Definizione offre un luogo per personalizzare il criterio (vedere di Figura 4).
.jpg)
Figura 5Confronto di due criteri.
Una volta effettuate personalizzazioni per un criterio, confrontare il criterio risultante rispetto a un altro facendo clic su criterio e scegliere Gestisci | compare. Nella schermata successiva selezionare un secondo criterio rispetto al quale confrontare proprio. Lo strumento viene completato il confronto e Mostra una schermata simile a di Figura 5. Qui si vedrà come previsto di Contoso.com dispone di un'impostazione di criterio è diversa dal previsto EC Win7-desktop di Microsoft.
Dopo aver completato la personalizzazione, è possibile pubblicare qualsiasi criterio nell'interfaccia, rendendoli di sola lettura e conservando le impostazioni. Quando si sono pronti a distribuire i criteri, esportarli in formati di file di criteri di gruppo, DCM o qualsiasi strumento che supporti gli Stati Uniti SCAP protocollo del governo può importare.
Questo piccolo ma impressionante freeware strumento davvero facilita il processo talvolta complessi della gestione di base di protezione. Mentre non è progettato per gestire effettivamente l'applicazione dei criteri, che è un'attività per altre soluzioni come SCCM, criteri di gruppo o soluzioni di terze parti, offre un desktop utile per la visualizzazione, modifica e confrontare le previsioni è necessario distribuire.
Ricorda mi da tempo parlato con ex manager dal processo precedente. Evidente come utente sta eseguendo con propri previsioni, ora che la tecnologia veramente applicarli realmente è accessibile.
.jpg)
Greg ShieldsMVP, è un partner concentrano Technology. Ottenere più Shields’Jack di all Trades suggerimenti e trucchi a ** ConcentratedTech.com.
Contenuto correlato