门门精通:自动实施基准安全设置

Greg Shields

我曾经在一位被大家称为“基准女王”的经理手下工作过,她的主要职责是确保数百名开发人员的桌面只接受经过授权的更改,而这些开发人员的工作是为一个卫星系统的地面站编写代码。

那些日子,每一天的工作都困难重重,因为当时根本就没有自动监视桌面配置的技术。尽管她的工作非常成功,但是与任何技术解决方案一样,维持配置基准也面临来自同伴的压力。“女王”会定期参加一些会议,抵御对基准所做的变更,并且运用其影响力来确保只有正确的软件和设置才会最终获得批准。

她格外重视“基准”的原因是为了确保为卫星系统的客户提供一个资料齐全的稳定环境。不难想象,这位客户决不希望,在花费十亿美元发射卫星后,过了几年却发现卫星的部分功能是用未经批准的软件编写的。另外,该客户还希望保证,不会由于疏忽大意而让不正确的代码进入卫星的操作系统中。

控制基准:控制配置

我们大部分人不需要对花费十亿美元的卫星系统是否运行良好负责,但是我们都清楚不良代码进入我们的网络后可能造成的麻烦。大多数情况下,不良代码会通过恶意软件制造的攻击而潜入。如果由于错失安全更新而导致桌面配置不当,很可能会产生安全漏洞。

甚至连管理员有时也会错失更新;我们可能会忽略了修补漏洞,或者错失了近期推荐的一些由制造商或监管机构发布的安全更新;所有这些安全配置更新都可能引起问题,造成不够安全的计算环境;有些更新可以保护环境免受用户活动的干扰,而另一些更新则可能会造成我们通不过下一次安全性或合规性审核。

出于上述所有原因,Microsoft 将进一步增强其用于集中配置计算机设置的工具。组策略和组策略首选项长期以来提供了一种简单的解决方案,可以通过 Active Directory 实施安全策略。System Center Configuration Manager (SCCM) 借助其所需配置管理 (DCM) 功能将安全策略的实施更进一步。

此外,还存在许多由第三方开发的配置管理软件。其功能通常包括进行全局更改,以及在配置偏离基准时发出警报。美国政府自行开发的安全策略协议是所有这些工作的中心推动力。Security Content Automation Protocol (SCAP) 是一种经过巧妙设计的协议,它提供了一种框架,用于在整个网络中的计算机上创建、分发和验证安全设置。

支持 SCAP 的第三方解决方案还有更多。这些解决方案与 Microsoft 提供的解决方案共同创建了一个平台,您可以在此平台上导入数据库,其中包含经过批准的安全设置。许多平台还可以自动修复不正确的设置,使您能够快速提升环境的合规性。

知识就是控制力

要真正修复不良配置,您首先需要识别出这些配置。类似组策略和 DCM 这样的工具提供了一个自动化平台,可以实施您的基准设置。这些工具不一定能帮助您展示这些设置的构造方式。您可以创建一个报告来列出 GPO 中的设置,但是这种报告不一定能够满足您的安全需求。

您需要一定的信息显示方式,确保您实施的是正确的设置。也就是说,需要一种简便的方式来查看和检查您的安全基准设置。您需要了解实施该基准的哪些配置要进行调整。此外,还需要某种途径来比较各种安全策略的内容。这样,您就可以比较各种内部安全基准,或者比较您的安全基准与 Microsoft 或外部监管机构所提供的安全基准。

针对这种困境,您的解决方法就是近期发布的 Microsoft Security Compliance Manager。这并不是一种专门的策略实施解决方案,但是这个相对简单的下载内容对于与安全基准管理相关的其他所有管理任务都非常有用,包括基准配置审核、基准编辑、基准比较和报告等等。这款免费工具被打包成由 Microsoft 提供的解决方案加速器,它可以完成所有这些任务。

Figure 1 The Microsoft Security Compliance Manager dashboard.

图 1 显示了 Security Compliance Manager 面板。您可以在其中看到某些常见的产品安全基准,这些产品包括 Internet Explorer、Windows 7、Microsoft Office 和 Windows Server 等。您以前一定看到过这些基准及其内容。它们与您在以前的操作系统相关文档(例如《Windows 7 安全指南》或《Windows Server 2008 Attack Surface Reference》)中看到的一样*。*

Figure 2 Groups of settings within a baseline.

图 2 基准内的设置组。

Microsoft Security Compliance Manager 真正的威力在于直观显示这些基准。请看图 2 中针对图 1 的放大视图。您可以看到安全基准 Win7-EC-Desktop 1.0。这条基准代表适用于 Windows 7 的企业客户端安全建议,其中包含一系列通过组策略来控制的配置变更。

Figure 3 Individual baseline configurations.

图 3 各种基准配置。

单击图 2 中的任意一个设置组,可以看到“本地策略\安全选项”中各种基准配置的列表,如图 3 所示。您可以看到默认设置以及 Microsoft 所建议的设置。右侧的列中显示了您针对具体环境进行自定义时对基准所做的更改。

自定义、比较和部署

这种自定义揭示了一种与安全策略管理相关的、更具挑战性的活动:根据您的具体需求制定默认的建议。您可能会发现,Microsoft 提供的建议(或者由政府机构下达的建议)不一定适合您的环境需求。或许 Microsoft 策略会关闭您需要一直开着的某个防火墙端口,也或者您的审核要求比默认基准更加严格。在这些情况下,管理所提供的基准与您所需的基准之间的差异将是一项艰巨的任务。

Figure 4 Editing a security setting in a baseline.

图 4 编辑基准中的安全设置。

Microsoft Security Compliance Manager 可以帮助您管理这些差异。通过右键单击任意一个导入的基准并选择“自定义”|“复制”,创建一个标准的基准副本,随后就可以根据自己的需要编辑该副本。在这一可编辑副本中选择某项设置,然后选择“定义”选项卡,就可以在其中对策略进行自定义(请参见图 4)。

Figure 5 Comparing two policies.

图 5 比较两种策略。

当您完成对策略的自定义后,需要将得出的策略与另一个策略进行比较,方法是右键单击该策略并选择“管理”|“比较”。在随后出现的屏幕中,选择可以与其进行比较的另一个策略。工具会完成比较,并向您显示类似于图 5 的屏幕。您可以在其中查看 Contoso.com 基准中有一项策略设置与 Microsoft Win7-EC-Desktop 基准中的有何不同。

当您完成自定义后,可以在该界面内发布任何策略,从而将策略设为只读状态并保存其设置。当策略可以进行部署时,将它们导出为所需的文件格式,以便导入组策略、DCM 或任何支持美国政府的 SCAP 协议的工具中。

这款免费工具虽然很小但作用非凡,它确实有助于完成偶尔会非常复杂的安全基准管理过程。尽管它的设计目的并不是用来管理策略实施的(这是 SCCM、组策略或第三方解决方案等解决方案的任务),但它的确提供了一个方便的桌面,可以对您需要部署的基准进行显示、编辑和比较。

它使我想起自从上次离职后我还没有与前任经理交谈过。我很想知道她的基准处理得怎样,因为真正实施基准的技术实际上已经出现了。

Email Greg Shields

Greg Shields 是一位 MVP,也是 Concentrated Technology 的合伙人。要了解 Shields 这位百事通的更多提示和技巧,请访问 ConcentratedTech.com

相关内容