Impostazioni di protezione di Microsoft Security Compliance Manager: semplificate
La prossima versione di Security Compliance Manager è più accessibile, flessibile e in grado.
Paul Schnackenburg
Originale Security Compliance Manager (SCM) riunire le procedure consigliate di Microsoft intorno alle impostazioni di protezione. Viene fornita una spiegazione dettagliata di tutte le impostazioni consigliate e consentono di esportare le previsioni personalizzate come oggetti Criteri di gruppo (GPO) per la distribuzione diffusa. Che ha contribuito a si applicano le impostazioni di protezione a destra senza dover bolide grandi quantità di documentazione.
Tuttavia, si è verificato alcun modo per confrontare le impostazioni correnti con consigliato previsioni, a prescindere dalla ricerca manualmente tramite le impostazioni di Microsoft. La nuova versione di SCM consente di chiudere questa lacuna. I miglioramenti apportati in questa nuova versione si basano sul feedback dei clienti reali, rendendo SCM molto più accessibili alla media IT professionali. Inoltre, aggiunge numerose nuove funzionalità.
"Tutto ciò che abbiamo fatto di SCM versione 2 era in risposta ai commenti dei clienti diretti," afferma Jeff Sigman, senior software design engineer presso Microsoft. Che ha portato a tre aree principali di messa a fuoco. "Clienti necessari per importare le proprie conoscenze di configurazione esistenti in SCM per ottimizzare la qualità dello strumento". Questa esigenza ha generato la nuova funzionalità di importazione di oggetti Criteri di gruppo. Era necessario SCM per essere più facili da utilizzare, che portare ai nuovi miglioramenti di esperienza dell'utente. Sono inoltre necessarie SCM risulterà maggiormente flessibile ai database SQL sottostante.
Impostazione di SCM rimane un'operazione semplice. Mentre la versione 1 è necessaria la propria istanza di SQL Server Express per l'installazione, la versione due consente di scegliere un locale SQL Server o SQL Server Express. La versione beta comprende anche 10 previsioni preconfigurate. Quando si installa la versione beta a questo punto, l'installazione verrà automaticamente aggiornato, pur conservando tutti i dati precedenti (vedere nella figura 1).
.jpg)
Figura 1 Quando si esegue la versione beta versione 2 di SCM, Aggiorna eventuali installazioni precedenti.
Console completa
La schermata di benvenuto include sei aree informative, è possibile espandere ulteriormente i collegamenti (vedere nella figura 2).
.jpg)
Figura 2 le guide e informazioni aggiuntive fornite ti aiuteranno introduzione nell'ordine short.
La libreria di base è sul lato sinistro della console principale. Elenca tutte le linee di base disponibili in una struttura gerarchica, raggruppati per prodotto. Le linee di base che si scarica vengono firmati e non è possibile modificarli. È necessario creare una copia per modificare le proprie previsioni personalizzate. Quando si seleziona una previsione, nel riquadro centrale vengono visualizzate informazioni relative alla selezione e il riquadro delle azioni a destra contiene le opzioni sensibili al contesto per l'oggetto selezionato.
La versione beta corrente contiene nuove linee di base come parte del pacchetto. Se è necessario scaricarne altri, andare a strumenti | Verificare la presenza di linee di base, quindi selezionare quelli che avrebbe desiderato e fare clic su Download. È inoltre disponibile un'opzione per creare copie di ogni baseline che si desidera importare, in che modo è possibile iniziare subito la modifica.
La differenza principale di SCM versione 2 rispetto al suo predecessore è il nuovo "Impostazioni griglia." Ogni sezione raggruppati in base a una barra orizzontale è possibile espandere o comprimere. Ciò rende più facile lavorare con lunghi elenchi di impostazioni. Sigman indica che il layout di griglia di impostazioni è stato ispirato dall'aspetto di Windows Intune e progettato per ridurre al minimo la quantità di clic necessari per modificare le impostazioni.
Agevolerà il mondo confusione delle impostazioni di protezione per spostarsi in un'altra novità è la "barra di navigazione". Questa procedura è simile a Esplora risorse. È possibile spostarsi su e giù lungo la gerarchia di oggetti Criteri di gruppo, nonché filtrare le informazioni non necessarie. A tale scopo, è sufficiente fare clic su Visualizzazione avanzata. Utilizzare i pulsanti piccoli per passare al livello a destra; Fare clic sulla x rossa per tornare alla parte superiore della gerarchia (vedere nella figura 3).
.jpg)
Figura 3 nella giusta direzione attraverso una vasta gamma di impostazioni è molto più semplice con la barra di navigazione.
SCM è anche uno strumento didattico e dai colori brillanti. Ogni impostazione ottimale è inclusa una descrizione completa che non solo descrive l'impostazione del funzionamento, ma anche per questo motivo è opportuno utilizzarla, dettagli sui pericoli e come questa impostazione riduce il rischio.
Importare oggetti Criteri di gruppo
È possibile importare le impostazioni correnti da oggetti Criteri di gruppo e confrontare tali procedure consigliate Microsoft. Iniziare con una copia di backup oggetto Criteri di gruppo che generalmente creerebbero nella Console di gestione criteri di gruppo (GPMC). Prendere nota della cartella in cui salvare il backup. In Gestione controllo servizi, selezionare Backup oggetto Criteri di gruppo, Sfoglia della cartella oggetto Criteri di gruppo identificatore univoco globale (GUID) e selezionare un nome per l'oggetto Criteri di gruppo durante l'importazione.
SCM consente di conservare tutti i file ADM e file delle preferenze di criteri di gruppo, quelli con le impostazioni di protezione non SCM non viene convertita, si sta archiviando i backup oggetto Criteri di gruppo. Essi vengono salvati in una sottocartella all'interno di cartelle pubbliche dell'utente. Quando si esporta nuovamente la linea di base come un oggetto Criteri di gruppo, vengono ripristinati anche tutti i file associati.
Nascita di una Baseline
Sigman viene descritta la procedura più coinvolta nello sviluppo di una linea di base. Tutto ha inizio con un gruppo di esperti della materia creazione di indicazioni. Il gruppo di prodotti all'interno di Microsoft pores quindi il documento. Quindi rilascia una versione beta per la Comunità.
In caso di SCM, la Comunità comprende organismi degli Stati Uniti Dipartimento della difesa, Microsoft Consulting Services, NATO e i governi di tutto il mondo. Dopo ulteriori test, Microsoft consente di creare la linea di base. Quindi questa previsione è gestita e aggiornata con ogni nuovo service pack, nonché le modifiche nel panorama delle minacce.
Aggiungere le impostazioni
Un problema comune nella prima versione di SCM è stato estendendo una previsione con le proprie impostazioni. Non vi erano "Impostazione Packs" aveva tutte le impostazioni di un prodotto, invece di quelli per i quali Microsoft dispone di procedure consigliate. Quindi era necessario unire in una previsione e rimuovere eventuali impostazioni superflue.
SCM versione 2 semplifica questo scenario. Non vi è un nuovo Aggiungi impostazioni nel riquadro azioni sul lato destro. Verrà visualizzata una finestra di dialogo consente di selezionare il prodotto, indicare il gruppo a cui deve essere aggiunto alla nuova impostazione e scegliere da un elenco di impostazioni disponibili, è possibile applicare un filtro con gli stessi pulsanti di navigazione (vedere nella figura 4).
.jpg)
Figura 4 è facile aggiungere impostazioni per la previsione di SCM versione 2.
Queste impostazioni vengono visualizzate nella nuova libreria di impostazione che contiene tutte le impostazioni di che SCM è a conoscenza e di ogni singolo prodotto che riconosce (inclusi Windows XP SP3 per Windows 7; Windows Server 2003 Service Pack 2 per Windows Server 2008 R2; Office 2007 al 2010 Office; e Internet Explorer 7 per Internet Explorer 9). Questa raccolta viene mantenuta nello stesso modo come punto di riferimento. Esistono nuove impostazioni aggiunte a ogni rilascio di Service Pack, è possibile verificare la versione della libreria nella finestra di dialogo informazioni su.
LocalGPO
Non vi è uno strumento della riga di comando denominato LocalGPO che consente di importare ed esportare oggetti Criteri di gruppo direttamente dalla configurazione del computer. È incluso il programma di installazione di SCM, ma viene installato separatamente. Viene eseguito su Windows XP e versioni successive.
SCM non è dipendente da criteri di gruppo locali e criteri di gruppo locali non è dipendente dal gestore SCM. Dove LocalGPO splende sia per i sistemi collegati non di dominio e in combinazione con Microsoft Deployment Toolkit (MDT).
È necessario eseguire la riga di comando LocalGPO come amministratore. Per esportare le impostazioni locali da un computer di riferimento è sufficiente immettere:
LocalGPO.wsf /Path:c:\GPOBackup /Export
Per applicare le impostazioni, digitare (GUID in rosso è l'identificazione dell'oggetto Criteri di gruppo da applicare.):
LocalGPO.wsf /Path:c:\GPOBackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}
Questo processo rende relativamente semplice applicare i criteri aziendali su computer separati o gruppo di lavoro in cui è possibile fare affidamento sui criteri di gruppo centralizzato.
Non vi è una nuova opzione di GPOPack in LocalGPO Comprime tutto il che necessario per applicare una protezione di base in un unico file autoestraente. È possibile applicare questa senza installare prima LocalGPO. La bellezza di cui è che se si sta utilizzando la MDT per impostare i computer client, è possibile aggiungere semplicemente una riga per uno script di installazione per applicare un backup oggetto Criteri di gruppo direttamente dopo l'installazione di un sistema operativo.
Un GPOPack di denominazione è facoltativo. Si ferma impedendo loro di importare l'oggetto Criteri di gruppo nella console GPMC, ma rende molto più semplice inseriti nello script, in quanto non è necessario digitare il GUID lungo. Per utilizzare GPOPack, semplicemente puntare lo script nel file GPOPack.wsf generato dall'opzione GPOPack nel modo seguente:
C:\GPObackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}\GPOPack.wsf /path:C:\GPOBackups\{12345678-9ABC-DEFG-1234-56789ABCDEFG} /silent
Inoltre, è possibile utilizzare LocalGPO per controllare la deviazione della configurazione sui computer fuori del proprio dominio, esportare le impostazioni correnti, importare quelle in SCM e confrontarle con le previsioni.
EC e SSLF?
Linee di base con il gestore SCM primo fornita di due tipi: CE per Client di organizzazione e SSLF per la funzionalità di protezione, la limitazione Specialized. Nuove linee di base per la versione 2 di SCM adotta un sistema di quattro a livello di gravità. Ogni elemento è classificato in modo che è possibile filtrare un punto di partenza per selezionare quali impostazioni è necessario:
- Critico le impostazioni hanno un grande impatto sulla protezione del sistema. È necessario applicare queste impostazioni a quasi tutti i sistemi. La maggior parte delle impostazioni nelle precedenti baseline CE saranno incluse qui.
- Importante le impostazioni di avere un impatto significativo sui sistemi e dati. La maggior parte delle impostazioni con questa classificazione corrispondono le previsioni SSLF meno recenti.
- Opzionale le impostazioni hanno impatto sulla protezione minime o nulle. È possibile ignorare questi durante la definizione di base di protezione.
- Nessuna è il livello di protezione predefinito per gli elementi che non sono stati inclusi nella previsione precedente. È possibile ignorare anche queste.
Sigman indica che la variazione delle linee di base è una progressione naturale. Le aziende hanno diventano sempre più incentrate sulla IT governance, rischio e conformità (GRC) iniziative. Anche questo ha portato per riorganizzare le impostazioni di base in raggruppamenti GRC per aver segnalato una migliore.
Confronta e Unisci
Per visualizzare la differenza tra due linee di base, è possibile utilizzare la funzionalità di confronto. Nella scheda riepilogo Visualizza le impostazioni di quanti sono diverse tra linee di base, e se esistono eventuali impostazioni univoche in uno dei due baseline. La scheda valori indica esattamente quali impostazioni sono diverse e come sono state impostate nelle ogni baseline.
È possibile utilizzare la funzionalità di stampa unione per combinare nonché le previsioni. Iniziare con la baseline di origine e selezionare Unisci nel riquadro azioni. Quindi scegliete la linea di base di destinazione. Viene spiegato quali elementi verranno modificato. È possibile deselezionare le impostazioni che non si desidera modificare. Viene inoltre spiegato gli elementi presenti solo nell'origine, gli elementi presentano solo nella destinazione e gli elementi di entrambe le baseline con le stesse impostazioni. È possibile eliminare più impostazioni da una previsione in un'unica operazione, vale a dire un miglioramento del sistema definitivo rispetto alla prima versione di SCM.
SCM è in grado di creare anche previsioni nel contenuto automazione Protocol (SCAP) di protezione basato su XML formato, gestito dal National Institute of Standards and Technology (NIST). Per coloro che lavorano negli Stati Uniti organizzazioni governative, si tratta di una versione molto più efficace delle previsioni di configurazione di governo degli Stati Uniti.
Impossibile negare la completezza della Guida di protezione di Microsoft. Non è mai stato così facile confrontare le impostazioni correnti con le nuove indicazioni e creare nuovi oggetti Criteri di gruppo per il blocco dei sistemi. Le nuove funzionalità di importazione oggetti Criteri di gruppo, i miglioramenti di criteri di gruppo locali e interfaccia più semplice da utilizzare deve allontanano questo strumento dal relativo segretezza..
.jpg)
**Paul Schnackenburg**ha lavorato IT già all'epoca dei 286 computer. È insegnante di informatica part-time e gestisce una sua propria azienda, Expert IT Solutions nella Sunshine Coast australiana. Ha conseguito le certificazioni MCT, MCTS e MCITP ed è specializzato nelle soluzioni Windows Server, Hyper-V ed Exchange per le aziende. È possibile contattarlo al paul@expertitsolutions.com.au e seguire il suo blog al TellITasITis.com.au.