Especialista de todas as transações: Automatização das configurações de segurança da linha de base
Greg Shields
Eu quando trabalhou por um gerente é chamado “ Rainha da linha de base ”. Sua principal responsabilidade era para garantir que as áreas de trabalho de centenas de desenvolvedores que estavam escrevendo código para terra estação um sistema de satélite somente nunca tinha autorizado alterações.
Os dias, que não era nenhuma tarefa fácil. Tecnologias para automaticamente monitorar as configurações da área de trabalho simplesmente não estavam disponíveis. Enquanto ela estava bem-sucedida em seu trabalho, manter sua linha de base de configuração necessárias tantas pressão de mesmo nível como qualquer solução tecnológica. “ Rainha ” regularmente participado reuniões defendendo alterações nessa linha de base e exerting sua influência para garantir que somente o software correto e configurações, por fim, foram aprovadas.
Sua razão para essa devoção fanatical “ na linha de base ” era para garantir um ambiente estável e bem documentado para cliente do sistema de satélite. Como você esperava, esse cliente não queria iniciar seu satélite bilhões de dólares apenas para descobrir anos depois que a parte de seu processamento foi escrito com o software não aprovado. Esse cliente também queria garantir que nenhum código inapropriado inadvertidamente poderia tornar o seu caminho em sistemas operacionais do satélite.
Controle de linha de base: Configuração do controle
A maioria de nós não é responsável pela saúde e bem-estar dos sistemas de satélite de bilhões de dólares, mas somos todos conscientes dos problemas de código incorreto pode causar quando ele entra em nossas redes. Na maioria das vezes que o código irá furtivamente por meio de um ataque, propagada por algum programa mal-intencionado. Talvez tenha ocorrido uma brecha de segurança devido a uma área de trabalho configurada incorretamente, que pode ter sido perdida uma atualização de segurança.
Mesmo que os administradores pode perder as atualizações de tempos em tempos. Nós podem ter inativa fechar o orifício ou tenha perdido alguma atualização de segurança recomendada recentemente lançada a partir de um fabricante ou órgãos normativos. Todas essas atualizações de configuração de segurança podem representar um problema. Todos criar um ambiente de computação menos seguro. Alguns proteger nesse ambiente de atividades do usuário, enquanto outros podem introduzir a chance de irá falhar nossa próxima auditoria de conformidade ou de segurança.
Para todos esses motivos, a Microsoft continua a aumentar suas ferramentas para configurar centralmente as configurações do computador. A diretiva de grupo e as preferências de diretiva de grupo tempo forneceu uma solução simples para aplicação de diretiva de segurança por meio do Active Directory. System Center Configuration Manager (SCCM) leva essa aplicação de um passo adiante, por meio de sua funcionalidade DCM (gerenciamento de configuração desejado).
Além disso, há inúmeros terceiros produzem seu próprio software de gerenciamento de configuração. Seus recursos incluem, normalmente fazendo alterações globais e emitir alertas quando as configurações se desviaram da linha de base. EUA. desenvolvimento de protocolo de política de segurança do governo é um driver central nesses tipos de esforços. O Security Content Automation Protocol (SCAP) é um protocolo projetado smartly que fornece uma estrutura para criar, distribuir e validar as configurações de segurança em computadores por toda a rede.
Lá 's de lista de soluções de terceiros que oferecem suporte a SCAP uma extensa . Essas soluções, juntamente com os da Microsoft, criam uma plataforma na qual você pode importar bancos de dados com as configurações de segurança aprovadas. Muitas dessas plataformas também oferecem formas automatizadas “ corrigir ” configurações incorretas, portanto, você pode rapidamente elevar seu ambiente à conformidade.
Conhecimento é o controle
Para corrigir, na verdade, uma configuração inválida, você primeiro precisará identificá-lo. Ferramentas como a diretiva de grupo e o DCM fornecem uma plataforma de automação para reforçar as configurações da sua linha de base. Elas Don necessariamente ajudarem você a visualizar como essas configurações devem ser estruturadas. Você pode criar um relatório que lista as configurações em um GPO, mas esse tipo de relatório não está necessariamente attuned às suas necessidades de segurança.
É necessário um nível de visualização para garantir que você está aplicando as configurações corretas. Você precisa de uma maneira fácil de ver e verificar as configurações de segurança da linha de base. Você precisa saber quais configurações de imposição da linha de base que serão ajustado. Você precisa de algum mecanismo para comparar o conteúdo de uma diretiva de segurança em relação a outro. Dessa forma você poderá comparar, por exemplo, as linhas de base de segurança interna em relação uns aos outros ou sua com aquelas fornecidas pela Microsoft ou de órgãos normativos externos.
Sua resposta para esse dilema é o Gerenciador de conformidade de segurança da Microsoft lançadas recentemente. Isso não se destina a ser uma solução de imposição de diretiva, mas este download relativamente simples é extremamente útil para todos os “ outras ” tarefas de gerenciamento associadas ao gerenciamento de linha de base de segurança, como, por exemplo, análise de configuração de linha de base, edição de linha de base, linha de base comparação e relatórios e assim por diante. Essa ferramenta grátis é empacotado como um acelerador de soluções da Microsoft e pode realizar todas essas tarefas.
.jpg)
A Figura 1 mostra o painel de controle do Gerenciador de conformidade de segurança. Aqui você pode ver algumas linhas de base de segurança comuns para os produtos como Internet Explorer, o Windows 7, o Microsoft Office e Windows Server. Você já viu essas linhas de base e seu conteúdo antes. Elas são as mesmas usadas para localizar documentos de SO anteriores como “ Windows 7 guia de segurança ” ou a “ de referência de superfície de ataque do Windows Server 2008 .”
.jpg)
A Figura 2Grupos de configurações em uma linha de base.
A verdadeira força do Gerenciador de conformidade de segurança da Microsoft vem em visualizações cria essas linhas de base. Dê uma olhada na 2 Figura do zoom no modo de do Figura 1. Você pode ver a segurança da linha de base do Win7-EC-área de trabalho 1. 0. Ele representa as recomendações de segurança Enterprise Client para Windows 7 e inclui uma variedade de alterações de configuração controlada por meio da diretiva de grupo.
.jpg)
A Figura 3Configurações de linha de base individual.
Clique em qualquer um dos grupos de configurações em do Figura 2 para ver uma lista das configurações individuais da linha de base em Opções de diretivas \ segurança local, conforme mostrado no do Figura 3. Você pode ver o padrão definições juntamente com o Microsoft sugeridas configurações. A coluna à direita mostra todas as alterações feitas na linha de base para personalizá-lo para o seu ambiente.
Personalizar, comparar e de implantação
Esse tipo de personalização leva à luz uma das atividades um desafio mais associadas ao gerenciamento de diretiva de segurança: Personalizando as recomendações de padrão para suas necessidades específicas. Você pode reconhecer Microsoft recomendações (ou aqueles entregue para baixo de órgãos do governo) necessariamente Don atender necessidades do seu ambiente. Talvez a política da Microsoft é uma porta de firewall, que você precisa manter abertas ou os requisitos de auditoria são mais rigorosos do que uma linha de base padrão. Em qualquer um desses casos, gerenciando as diferenças entre uma linha de base fornecida e aquele que você precisa pode ser um desafio.
.jpg)
Figura 4Editar uma configuração de segurança em uma linha de base.
O Gerenciador de conformidade de segurança da Microsoft pode ajudá-lo a gerenciar essas diferenças. Clicando com o botão direito qualquer linha de base importada e selecionando Customize | duplicar cria uma cópia de linha de base padrão que pode ser editado para atender às suas necessidades. Selecionando uma configuração nessa cópia editável e escolhendo a guia definição fornece um lugar para personalizar a diretiva (consulte do Figura 4).
.jpg)
A Figura 5Comparando as duas diretivas.
Depois de fazer suas próprias personalizações para uma diretiva, compare a diretiva resultante em relação a outro clicando com o botão direito a diretiva e selecionando Manage | Compare. Na tela subseqüente, selecione uma segunda diretiva em relação à qual você pode comparar sua. A ferramenta de completa a comparação e mostra uma tela semelhante à do Figura 5. Aqui você verá como linha de base do Contoso.com tem uma configuração de diretiva que seja diferente da linha de base Microsoft Win7 EC Desktop.
Após concluir a personalização, você pode publicar quaisquer diretivas dentro da interface de torná-los somente leitura e preservar suas configurações. Quando as diretivas estiverem prontas para implantar, exportá-las nos formatos de arquivo dessa diretiva de grupo, o DCM ou qualquer ferramenta que oferece suporte para o norte-americano protocolo SCAP do governo pode importar.
Essa pequena mas impressionante ferramenta freeware realmente o ajuda com o processo complicado, ocasionalmente, do gerenciamento de segurança da linha de base. Enquanto não foi projetada para gerenciar, na verdade, a aplicação de diretiva — que é uma tarefa para obter outras soluções como soluções de terceiros ou o SCCM, diretiva de grupo — ele fornece uma área de trabalho prática para a visualização, edição e comparando as linhas de base que você precise implantar.
Ele me lembra que ainda não falei com meu ex-gerente do trabalho anterior. Eu estar se perguntando como ela está fazendo com suas próprias linhas de base, agora que a tecnologia para impor a eles realmente realmente foi capturado.
.jpg)
Greg ShieldsMVP, é um parceiro de tecnologia concentrado. Obtenha mais Shields’Jack de todas as transações dicas e truques em ** ConcentratedTech.com.
Conteúdo relacionado