Meister aller Klassen: Automatisierte Baseline Security-Einstellungen
Greg Shields
Ich einmal für einen Manager gearbeitet haben wir die “ Dame von der Baseline. ” aufgerufen Ihre primäre Aufgabe bestand darin, sicherzustellen, dass die Desktops von Hunderten von Entwicklern, Schreiben Code für einen Satelliten-System Boden Station Änderungen immer nur autorisiert waren wurden.
In dieser Zeit war, keine einfache Aufgabe. Technologien zum Überwachen von Desktopkonfigurationen automatisch nicht einfach verfügbar waren. Während er an seine Arbeit erfolgreich war erforderlich, verwalten Ihre Basiskonfiguration so viel Druck Peer als technologische Lösungen. “ Dame ” absolviert regelmäßig Besprechungen, Änderungen an der Baseline zu verteidigen und exerting Ihr Einfluss, um sicherzustellen, dass nur die richtige Software und Einstellungen schließlich genehmigt wurden.
Ein Grund für diese fanatical Devotion “ im Basisplan ” wurde um eine stabile und gut dokumentiert-Umgebung für Kunde Satelliten des Systems sicherzustellen. Wie erwartet, wurde nicht dieser Kunde seine Milliarden US-Dollar Satelliten nur für Jahre später erfahren, dass ein Teil der Verarbeitung nicht genehmigte Software geschrieben wurde starten möchten. Dieses Kunden sollte auch Gewissheit, die keine ungeeigneten Code versehentlich seinen Weg in der Satelliten-Betriebssysteme vornehmen kann.
Die Baseline-Steuerelement: Steuerelement-Konfiguration
Die meisten von uns nicht für den Zustand und die Wohlergehens Milliarden US-Dollar-Satelliten-Systeme verantwortlich sind, aber wir sind alle bewusste eines der Probleme bei ungültigem Code führen kann, wenn es in unserer Netzwerke erhält. In den meisten Fällen, die Code durch einen Angriff in werfen wird durch einen Datenwert von Malware übertragen. Möglicherweise wurde eine Sicherheitslücke aufgrund von einer nicht ordnungsgemäß konfigurierten Desktop, der ein Sicherheitsupdate möglicherweise übersehen haben.
Wir Administratoren können auch Aktualisierungen von Zeit zu Zeit verpassen. Wir möglicherweise vernachlässigt haben, um die Lücke zu schließen, oder es fehlen einige vor kurzem empfohlenen Sicherheitsupdates, die von einem Hersteller oder behördliche Einrichtungen zur Verfügung. Alle diese Konfiguration Sicherheitsupdates kann ein Problem darstellen. Alle zu eine weniger sicheren Umgebung erstellen. Einige dieser Umgebung von Benutzeraktivitäten zu schützen, während andere die Möglichkeit eingeführt, möglicherweise werden wir unsere nächste Audit Sicherheits- oder Kompatibilität schlagen fehl.
Microsoft weiterhin für alle diese Gründe um seine Tools zum Konfigurieren der Einstellungen des Computers zentral zu verbessern. Gruppenrichtlinien und bevorzugte Gruppenrichtlinieneinstellungen haben eine einfache Lösung lange für das Erzwingen von Sicherheitsrichtlinien über Active Directory bereitgestellt. System Center Configuration Manager (SCCM) nimmt diese Erzwingung einen Schritt weiter, bis seine Funktionalität DCM (Desired Configuration Management).
Es gibt zahlreiche Drittanbieter, die eigene Konfiguration Verwaltungssoftware. Ihre Funktionen umfassen normalerweise globale Änderungen vornehmen und Benachrichtigungen ausgeben, wenn Konfigurationen aus dem Basisplan abweichen. Der USA Entwicklung für die Regierung von Richtlinie-Protokoll ist ein zentraler Treiber in diesen Bemühungen. Security Content-Automatisierung Protocol (SCAP) ist ein smartly entwickeltes Protokoll, das bietet ein Framework zum Erstellen, verteilen und überprüfen die Sicherheitseinstellungen auf Computern im gesamten Netzwerk.
Da 's eine umfassende Liste der Lösungen von Drittanbietern, die Unterstützung von SCAP . Diese Lösungen zusammen mit den von Microsoft, erstellen Sie eine Plattform, die Datenbanken mit genehmigten Sicherheitseinstellungen importiert werden können. Viele dieser Plattformen bieten auch automatisierte Weise “ falsche Einstellungen beheben ”, damit Sie schnell Ihre Umgebung auf Kompatibilität zu erhöhen können.
Wissen ist Steuerelement
Um eine fehlerhafte Konfiguration tatsächlich zu beheben, müssen Sie zuerst die identifiziert werden. Tools wie der Gruppenrichtlinie und DCM bieten eine Plattform Automatisierung zum Erzwingen der grundlegenden Einstellungen. Sie dienen nicht notwendigerweise visualisieren, wie diese Einstellungen strukturiert werden soll. Sie können einen Bericht, der die Einstellungen in einem Gruppenrichtlinienobjekt werden aufgelistet, aber der Typ von Bericht an Ihre Anforderungen an die Sicherheit unbedingt attuned ist nicht erstellen.
Sie benötigen eine Ebene der Visualisierung, um sicherzustellen, dass Sie die richtigen Einstellungen erzwingen möchten. Sie benötigen eine einfache Möglichkeit, anzeigen und überprüfen Sie die Sicherheitseinstellungen für die geplanten. Sie müssen wissen, welche Konfigurationen zu erzwingen, dass geplante angepasst werden. Sie benötigen einen Mechanismus, um den Inhalt einer Sicherheitsrichtlinie, mit einem anderen zu vergleichen. Auf diese Weise konnten Sie, z. B. die Basispläne interne Sicherheit gegeneinander oder Ihrem gegen die von Microsoft oder externe behördliche Einrichtungen vergleichen.
Ihre Antwort für dieses Problem ist der kürzlich veröffentlichten Microsoft Security Compliance-Manager. Dies dient kein Richtlinie zur Durchsetzung Lösung, aber dieser relativ einfache Download ist besonders praktisch für alle dem “ andere ” Verwaltungsaufgaben mit Basisplan-Sicherheitsverwaltung, z. B. geplanten Konfiguration überprüfen, Bearbeiten von geplanten, Vergleichswert und Berichterstattung, usw.. Dieses kostenlose tool als eine Solution Accelerator von Microsoft gepackt und können alle diese Aufgaben ausführen.
Abbildung 1 zeigt das Dashboard Security Compliance Manager. Hier sehen Sie einige allgemeine Basisrichtlinien für Produkten wie Internet Explorer, Windows 7, Microsoft Office und Windows Server. Sie haben diese Grundwerte und deren Inhalt vor gesehen. Sie sind identisch mit der für frühere Betriebssysteme wie “ Windows 7-Sicherheitshandbuch ” in Dokumenten suchen oder die “ Windows Server 2008 Angriff Oberfläche Reference .”
Abbildung 2Gruppen von Einstellungen in einer Basislinie.
Die wahre Leistungsfähigkeit von Microsoft Security Compliance Manager geht die Visualisierungen für diese Grundwerte erstellt werden. Schauen Sie sich von Abbildung 1Abbildung 2 des gezoomt in anzeigen. Sie können sehen, dass Sicherheit Basisplan Win7-EC-Desktop 1.0 . Dieser stellt der Enterprise-Client-Sicherheitsempfehlungen für Windows 7 und beinhaltet eine Reihe von Änderungen an der Konfiguration durch Gruppenrichtlinien gesteuert.
Abbildung 3Einzelne Basiskonfigurationen.
Klicken Sie auf die Einstellungen für Gruppen in Abbildung 2 , finden eine Übersicht über die einzelnen Basiskonfigurationen in lokale Richtlinien\sicherheitsoptionen, siehe Abbildung 3 . Können Sie die standardmäßigen Einstellungen zusammen mit dem Microsoft vorgeschlagen Einstellungen. Die Spalte auf der rechten Seite zeigt alle Änderungen, die Sie im Basisplan vorgenommen haben, um Sie für Ihre Umgebung anzupassen.
Anzupassen, vergleichen und Bereitstellen
Diese Art der Anpassung bringt an eine der Verwaltung von Sicherheitsrichtlinien zugeordneten Aktivitäten mehr eine Herausforderung Licht: speziellen Standard-Empfehlungen für Ihre spezifischen Anforderungen. Sie können erkennen, dass Microsoft Empfehlungen (oder die Sie von Regierungsbehörden übergeben) Anforderungen Ihrer Umgebung nicht notwendigerweise passen. Microsoft-Richtlinie fährt vielleicht eine Firewall-Ports, die geöffnet bleiben Sie müssen oder Ihre Überwachungsanforderungen werden strengere als eine Standard-Baseline. Verwalten die Unterschiede zwischen einem angegebenen geplanten und der Sie eine Herausforderung sein können, müssen in allen diesen Fällen.
Abbildung 4Bearbeiten einer Sicherheitseinstellung in einen Basisplan.
Microsoft Security Compliance Manager helfen Ihnen bei der Verwaltung dieser Unterschiede. Alle importierten Basisplan und wählen Sie anpassen | duplizieren erstellt eine Standardgrundsammlung-Kopie, die Sie dann entsprechend Ihren Anforderungen bearbeiten können. Eine Einstellung in diesem bearbeitbare Kopie auswählen, und wählen die Registerkarte Definition liefert einen Ort, an die Richtlinie anpassen (siehe Abbildung 4 ).
Abbildung 5Vergleichen von zwei Richtlinien.
Nachdem Sie Ihre eigenen Anpassungen zu einer Richtlinie getroffen haben, vergleichen Sie die resultierende Richtlinie mit einem anderen mit der rechten Maustaste auf die Richtlinie, und wählen verwalten | vergleichen. Wählen Sie im Bildschirm nachfolgende eine zweite Richtlinie, anhand, die derer Sie Ihre vergleichen können. Das Tool führt den Vergleich und zeigt einen Bildschirm Abbildung 5 ähnelt. Hier erfahren Sie, wie "contoso.com" des Basisplans eine Richtlinieneinstellung enthält, die von der Grundlinie Microsoft Win7-EC-Desktop unterscheidet.
Nachdem Sie Ihre Änderungen abgeschlossen haben, können Sie alle Richtlinien innerhalb der Benutzeroberfläche veröffentlichen, sodass diese nur-Lese- und Ihre Einstellungen beibehalten. Wenn Ihre Richtlinien bereitstellen möchten, Exportieren Sie in Dateiformaten, Gruppenrichtlinien, DCM oder jedes Tool, das den USA unterstützt Regierung SCAP Protokoll kann importiert werden.
Dieser kleine aber beeindruckenden Freeware-Tool wirklich mit der gelegentlich komplizierter Prozess, der Basislinie Sicherheitsverwaltung hilft. Tatsächlich Erzwingen der Richtlinie verwalten nicht entwickelt wurde, ist eine Aufgabe für andere Lösungen wie SCCM, Gruppenrichtlinien oder Drittanbieterlösungen – es bietet einen praktischen Desktop zur Umsetzung, bearbeiten und vergleichen die Basispläne müssen bereitgestellt werden.
Dies erinnert mich, dass ich mit meinen früheren Manager aus dem alten Auftrag haben noch nicht. Ich Frage mich, wie er mit eigenen Basispläne erfolgt nun, da die Technologie wirklich diese erzwingen wirklich bis abgefangen wurde.
Greg Shields, MVP, ist Partner bei Concentrated Technology. Optimierung von Shields’Jack von alle Geschäfte Tipps und Tricks ** ConcentratedTech.com.
Verwandter Inhalt