Paramètres de sécurité de Microsoft Security Compliance Manager : simplifiés
La version à venir de sécurité Compliance Manager est plus accessible, flexible et capable.
Paul Schnackenburg
Le Gestionnaire de la conformité d'origine sécurité (SCM) a rassemblé des meilleures pratiques de Microsoft autour des paramètres de sécurité. Il fourni des explications détaillées pour chaque paramètre recommandé et vous permettre d'exporter des configurations de référence personnalisées en tant qu'objets de stratégie de groupe (GPO) pour la large diffusion. Il a permis d'appliquer les paramètres de sécurité droite sans avoir à tracer compulser de documentation.
Toutefois, il n'a aucun moyen de comparer vos paramètres actuels avec Microsoft recommandé des configurations de référence, en dehors de la recherche manuellement via les paramètres. La nouvelle version de SCM ferme cet écart. Les améliorations apportées à cette nouvelle version sont basées sur des commentaires de clients réels, rendant SCM beaucoup plus accessibles à la moyenne informatique professionnelle. Il ajoute également plusieurs nouvelles fonctionnalités.
« Tout ce dont nous avons fait dans SCM version 2 était en réponse aux commentaires des clients directs, » déclare Jeff Sigman, ingénieur logiciel senior chez Microsoft. Qui a entraîné les trois zones principales de focus. « Clients nécessaires pour importer leurs connaissances actuelles de configuration dans SCM pour optimiser la valeur de l'outil ». Cette nécessité a entraîné la nouvelle fonctionnalité d'importation de GPO. Il lui fallait SCM pour être plus facile à utiliser, qui entraîner les nouvelles améliorations de l'expérience utilisateur. Ils devaient également SCM pour être plus souple à l'égard à la base de données SQL sous-jacente.
Configuration de SCM reste une opération simple. Alors que la version 1 requis sa propre instance de SQL Server Express pour l'installation, version 2 vous permet de pointer vers un local de SQL Server ou SQL Server Express. La version bêta inclut également 10 planifications préconfigurées. Lorsque vous installez la version bêta à ce stade, l'installation va être automatiquement mis à niveau, tout en conservant les données précédentes (voir Figure 1).
.jpg)
Figure 1 lorsque vous exécutez la version bêta de SCM version 2, il met à jour les installations antérieures.
Console complète
L'écran de bienvenue comprend six zones d'information, vous pouvez développer les liens supplémentaires (voir Figure 2).
.jpg)
Figure 2 les repères et les informations supplémentaires fournies vous aideront mise en route d'ordre court.
La bibliothèque de base est sur le côté gauche de la console principale. Cette option répertorie toutes les configurations disponibles dans une hiérarchie arborescente groupé par produit. Vous téléchargez des configurations de référence sont signées et vous ne pouvez pas les modifier. Vous devez créer une copie pour modifier vos propres configurations de référence personnalisées. Lorsque vous sélectionnez une planification initiale, le volet du milieu affiche des informations sur votre sélection et le volet Actions à droite contienne les options contextuelles pour l'objet sélectionné.
La version bêta en cours contient les nouvelles configurations de référence en tant que partie du package. Si vous avez besoin de télécharger d'autres, cliquez sur Outils | Vérifier les configurations de référence, puis sélectionnez ceux que vous le souhaitez et cliquez sur Télécharger. Il existe également une option permettant de créer des copies de chaque ligne de base que vous importez pour que vous puissiez commencer immédiatement la modification.
La principale différence réside dans l'utilisation de la version SCM 2 par rapport à son prédécesseur est la nouvelle « grille de paramètres. » Chaque section est regroupée par une barre horizontale, vous pouvez développer ou réduire. Cela rend beaucoup plus facile de travailler avec longues listes de paramètres. Sigman fait remarquer que la disposition de grille de paramètres a été inspirée par l'apparence de Windows Intune et est conçue pour réduire la quantité de clics nécessaires pour modifier les paramètres.
Une autre nouvelle fonctionnalité qui constitueront le monde confus des paramètres de sécurité facilite la navigation est la « barre de navigation ». Cela fonctionne similaire à l'Explorateur Windows. Vous pouvez parcourir la hiérarchie de l'objet stratégie de groupe, ainsi que filtrer les informations inutiles. Pour ce faire, cliquez simplement sur Affichage avancé. Utilisez les petits boutons pour naviguer vers le niveau approprié ; Cliquez sur le x rouge pour revenir en haut de la hiérarchie (voir Figure 3).
.jpg)
Figure 3 navigation dans une multitude de paramètres est beaucoup plus facile avec la barre de navigation.
SCM est également un outil éducatif brillant. Chaque paramètre recommandé inclut une description complète qui non seulement décrit ce que le paramètre, mais également pourquoi vous devez l'utiliser, les détails concernant la menace et la façon dont ce paramètre permet d'atténuer le risque.
Importer vos objets de stratégie de groupe
Vous pouvez importer les paramètres actuels de vos GPO et comparer ces meilleures pratiques Microsoft. Démarrer avec une sauvegarde de l'objet stratégie de groupe que vous créeriez couramment dans la Console de gestion des stratégies de groupe (GPMC). Prenez note du dossier dans lequel la sauvegarde est enregistrée. Dans le SCM, sélectionnez sauvegarde de l'objet stratégie de groupe, naviguez vers du dossier objet stratégie de groupe Unique GUID (identificateur global) et sélectionnez un nom pour l'objet de stratégie de groupe lorsqu'il est importé.
SCM permet de conserver tous les fichiers ADM et les fichiers de préférences de GP (ceux dont les paramètres de sécurité SCM n'analyse pas) vous stockez vos sauvegardes de l'objet stratégie de groupe. Il les enregistre dans un sous-dossier du dossier public de l'utilisateur. Lorsque vous exportez à nouveau la configuration de référence comme un objet de stratégie de groupe, il restaure également tous les fichiers associés.
Naissance d'une planification initiale
Sigman décrit les étapes multiples impliquées dans le développement d'une planification initiale. Tout commence avec un groupe d'experts en la matière création de guides de projet. Le groupe de produits au sein de Microsoft puis pores sur ce document. Il libère ensuite une version bêta vers la Communauté.
Dans le cas de SCM, la Communauté comprend des organismes dans les États-Unis. Department of Defense, Microsoft Consulting Services, l'OTAN et dans le monde entier. Après des tests, Microsoft crée la planification initiale. Puis cette planification est maintenue et mis à jour avec chaque nouveau service pack, ainsi que des modifications dans le paysage des menaces.
Ajouter des paramètres
Un problème courant dans la première version de SCM a été extension d'une planification initiale avec vos propres paramètres. Il y avait « Paramètre Packs » qui avaient tous les paramètres pour un produit, au lieu de celles pour lesquelles Microsoft dispose des meilleures pratiques. Puis vous deviez fusionner dans une configuration de référence et de supprimer tous les paramètres superflus.
SCM version 2 facilite grandement ce scénario. Il existe un nouveau ajouter des paramètres dans le volet d'actions à droite. Cela affiche une boîte de dialogue vous permet de sélectionner le produit, indiquer le groupe auquel le nouveau paramètre doit être ajouté, puis choisissez parmi une liste de paramètres disponibles, vous pouvez filtrer avec les mêmes boutons de navigation (voir Figure 4).
.jpg)
Figure 4 il est facile d'ajouter des paramètres à une planification dans SCM version 2.
Ces paramètres sont affichés dans la nouvelle bibliothèque de paramètre qui contient tous les paramètres de que SCM est informé et tous les produits qu'il comprend (y compris Windows XP SP3 pour Windows 7 ; Windows Server 2003 Service Pack 2 pour Windows Server 2008 R2 ; Office 2007 et Office 2010 ; et Internet Explorer 7 à 9 de Internet Explorer). Cette bibliothèque est conservée dans la même manière que les configurations de référence. Nouveaux paramètres ajoutés à chaque version du Service Pack, vous pouvez vérifier votre version de la bibliothèque dans la boîte de dialogue à propos de.
LocalGPO
Il existe un outil de ligne de commande appelé LocalGPO qui vous permet d'importer et exporter des objets stratégie de groupe directement à partir de la configuration d'un ordinateur. Le programme d'installation est inclus dans le SCM, mais il est installé séparément. Il s'exécute sur Windows XP et versions ultérieures.
SCM n'est pas dépendante de la stratégie de groupe locale et stratégie de groupe locale n'est pas dépendante de SCM. Où LocalGPO projette est pour les systèmes joints extérieurs au domaine et en conjonction avec la Shared Computer Toolkit Microsoft Deployment (MDT).
Vous devez exécuter la ligne de commande LocalGPO en tant qu'administrateur. Pour exporter les paramètres locaux à partir d'un ordinateur de référence entrez simplement :
LocalGPO.wsf /Path:c:\GPOBackup /Export
Puis, pour appliquer les paramètres, tapez (le GUID dans le texte en rouge est l'identification de l'objet GPO que vous souhaitez appliquer.) :
LocalGPO.wsf /Path:c:\GPOBackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}
Ce processus permet de relativement facile d'appliquer une stratégie d'entreprise sur des ordinateurs distincts ou groupe de travail où vous ne peut pas compter sur la stratégie de groupe centralisée.
Il existe une nouvelle option de GPOPack dans LocalGPO packs tout ce que vous devez appliquer une base de sécurité en un seul fichier à extraction automatique. Vous pouvez appliquer cette sans installer LocalGPO tout d'abord. La beauté de qui est que si vous utilisez le MDT pour configurer des ordinateurs clients, vous pouvez simplement ajouter une ligne à un script de configuration pour appliquer une sauvegarde de GPO directement après l'installation d'un système d'exploitation.
Nommer un GPOPack est facultatif. Il vous empêche de pouvoir importer la stratégie de groupe dans la console GPMC, mais il est beaucoup plus facile de taper dans les scripts car vous n'avez à taper le GUID de type long. Pour utiliser GPOPack, point simplement votre script dans le fichier GPOPack.wsf généré par l'option de GPOPack comme suit :
C:\GPObackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}\GPOPack.wsf /path:C:\GPOBackups\{12345678-9ABC-DEFG-1234-56789ABCDEFG} /silent
Vous pouvez également utiliser LocalGPO pour auditer les dérives de configuration sur les ordinateurs de votre domaine, leurs paramètres en cours d'exportation, importer ces dans SCM et les comparer à votre ligne de base.
Ce et SSFL ?
Les configurations de référence avec le SCM première fournie en deux versions : ce Client entreprise et SSFL pour la fonctionnalité de sécurité spécialisées, Limited. Les nouvelles configurations de référence pour SCM version 2 adoptent un système de gravité de quatre niveaux. Chaque élément est classé afin que vous pouvez filtrer une planification initiale pour sélectionner les paramètres que vous avez besoin :
- Critique paramètres ont un impact élevé sur la sécurité du système. Vous devez appliquer ces paramètres à pratiquement n'importe quel système. La plupart des paramètres dans les configurations de référence EC anciennes seront inclus ici.
- Important les paramètres ont un impact significatif sur les systèmes et données. La plupart des paramètres avec cette évaluation correspondre les configurations de référence SSFL plus anciennes.
- Facultatif les paramètres ont peu ou aucun impact sur la sécurité. Vous pouvez ignorer ces lors de la définition des bases de sécurité.
- Aucun est le niveau de sécurité par défaut pour les éléments qui n'ont pas été inclus dans les planifications précédentes. Vous pouvez ignorer ces ainsi.
Sigman fait remarquer que la modification de configurations de référence est une évolution naturelle. Les entreprises soient deviennent plus en plus axées sur la gouvernance informatique, risque et conformité (GRC) initiatives. Cela a également conduit à la réorganisation des paramètres de base en groupements GRC pour l'amélioration des rapports.
Comparaison et fusion
Vous pouvez utiliser la fonction de comparaison pour afficher la différence entre les deux configurations de référence. L'onglet Résumé affiche le nombre de paramètres diffère entre les configurations de référence, et s'il existe des paramètres uniques dans une configuration de référence. L'onglet valeurs indique exactement quels paramètres sont différents et comment elles sont définies dans chaque ligne de base.
Vous pouvez utiliser la fonction de fusion pour combiner les configurations de référence ainsi. Démarrer avec la configuration de référence source et sélectionnez Fusionner dans le volet actions. Choisissez ensuite la ligne de base cible. Il vous indique quels éléments changera. Vous pouvez désactiver les paramètres que vous ne souhaitez pas modifier. Il explique également présents uniquement dans la source, les éléments présentent uniquement des éléments dans la cible et des éléments dans les deux configurations de référence avec des paramètres identiques. Vous pouvez supprimer plusieurs paramètres d'une planification initiale en une seule opération, qui est une amélioration définitive sur la première version de SCM.
SCM peut également créer des configurations de référence au format Security Content Automation Protocol (SCAP) basé sur XML, géré par le National Institute of Standards et Technology (NIST). Pour ceux qui travaillent dans la version américaine les organisations gouvernementales, il s'agit d'une version beaucoup plus robuste de configurations de référence gouvernement des États-Unis d'Amérique.
Vous ne pouvez pas refuser la minutie des conseils de sécurité de Microsoft. Il n'a jamais été aussi facile comparer les paramètres actuels avec les nouvelles recommandations et créer les objets GPO pour le verrouillage de vos systèmes. La nouvelle fonctionnalité de stratégie de groupe d'importation, les améliorations de GPO Local et les plus faciles à utiliser l'interface doivent déplacer cet outil sortis de...
.jpg)
**Paul Schnackenburg**travaille dans l'informatique depuis l'époque des 286 ordinateurs. Il travaille à temps partiel en tant que professeur d'informatique et gère en parallèle sa propre entreprise, Expert IT Solutions, sur la Sunshine Coast australienne. Il est certifié MCSE, MCT, MCTS et MCITP et s'est spécialisé dans les solutions Windows Server, Hyper-V et Exchange pour entreprises. Contacter à l'adresse paul@expertitsolutions.com.au et suivez son blog à TellITasITis.com.au.