所有的交易的 geek：自動化基準安全性設定

Greg Shields

我一位專案經理的工作，一旦我們呼叫該 「 后的比較基準] 」她主要負責，就是確保數百個開發人員所撰寫的附屬系統 ’s 地面站的程式碼只能有授權變更的桌上型電腦。

在那些天，是簡單的工作。 自動監視桌面設定的技術只 weren’t 可用。 當她已成功在她的工作時，維護她設定比較基準需要最多的對等壓力做任何技術解決方案。 「 后 」 定期參加會議防禦該比較基準的變更和 exerting 她的影響，以確保只有正確的軟體與設定最後核准。

她的 「 基準線 」 這個 fanatical 奉獻的原因，就是確保附屬系統 ’s 客戶的穩定及制訂的環境。 如預期此客戶 didn’t 要啟動它的 20 億個錢幣附屬只以找出年後其處理的一部份已寫入未經核准的軟體。 客戶也想不適當的程式碼可能不小心將其方法放入 「 附屬 ’s 作業系統的保證。

控制基準線：控制項設定

我們大部分 aren’t 負責健全狀況和 20 億個錢幣附屬的系統的能力，但是我們是所有意識的它進入我們的網路時，可能會造成錯誤的程式碼的問題。 大部分的情況下，程式碼會在透過系統的攻擊潛行傳播的惡意程式碼的某些部分。 有可能已被限於可能遺漏的安全性更新程式的設定不正確桌面的安全性漏洞。

即使我們的系統管理員可以的時候遺失更新。 我們可能會關閉的洞裡有忽略或遺漏從製造廠商或法規機構釋放某些建議最近的安全性更新。 所有這些安全性組態的更新可能會造成問題。 所有建立較不安全的運算環境。 一些保護該環境從使用者的活動，而其他人可能會引入機會我們會失敗我們下一個安全性或循規稽核。

所有這些原因 Microsoft 持續加強其工具集中設定 [電腦設定值。 群組原則與群組原則喜好設定長有提供簡單的解決方案的強制透過 Active Directory 的安全性原則。 系統中心組態管理員 (SCCM) 採用此強制執行一個步驟更進一步，透過它的目標組態管理 (DCM) 功能。

另外還有許多第三方產生它們自己的設定管理軟體。 其功能通常包括全域變更之後，與比較基準的設定不符合時發出警示。 美國 政府自己 ’s 安全性原則通訊協定開發是中央的驅動程式，在這些類型的努力。 安全性內容自動化通訊協定 (SCAP) 是 smartly 設計的通訊協定，提供一個架構，來建立、 散佈及驗證整個網路的電腦上的安全性設定。

回音 ’s 廣泛 清單的協力廠商解決方案的支援 SCAP 。 隨著 Microsoft，從以下解決方法建立一個平台，您可以在其匯資料庫與核准的安全性設定。 許多這些平台也會提供 「 修正 」 不正確的設定讓您可以快速提高您的環境來規範的自動化的方法。

知識是控制

若要實際修正不正確的組態，您必須先識別它。 像 [群組原則] 及 [DCM 的工具提供自動化的平台，強制使用基準 ’s 設定。 它們 don’t 一定是幫助您以視覺化方式檢視如何組織那些設定。 但是，報表的類型一定 isn’t attuned 安全性需求，您可以建立列出一個的 GPO 中設定的報表。

您需要一個層級的視覺效果，以確保您強制執行適當的設定。 您需要一個簡單的方法，來查看，並檢查您的安全性基準設定。 您需要知道強制執行該比較基準的組態將會調整。 您需要一些機制來比較對另一個安全性原則的內容。 如此一來您可以比較，就例如對每個您內部的安全性基準或您與所提供的 Microsoft 或外部的管制機構。

您對這個問題的答案是最近發行的 Microsoft 安全性規範管理員。 這並非是一個原則的強制解決方案，但此相當簡單的下載所有 「 其他 」 管理任務的比較基準設定檢閱、 編輯比較基準、 比較基準比較和報告，等的安全性基準管理相關聯等等更方便。 這個免費的工具 封裝為從 Microsoft 的解決方案加速器，可以完成所有的工作。

圖 1 顯示安全性規範管理員儀表板。 您可以在這裡看到一些常見的安全性基準的產品，如 Internet Explorer、 Windows 7、 Microsoft Office 和 Windows Server。 這些比較基準和其內容之前，您看過。 它們 ’re 相同和您用於尋找文件中的前一個 OS 像在 「 Windows 7 安全性指南 」 或 「 Windows Server 2008 的攻擊表面參考 **”

圖 2設定比較基準中的群組。

真正的威力的 Microsoft 安全性規範管理員進來它為這些基準線建立的視覺效果。 請看一下 圖 2 ’s 縮放比例，在從 的 圖 1 的檢視。 您可以看到 的 Win7 EC 桌面 1.0 安全性基準。 這一個代表 Windows 7 企業用戶端的安全性建議，並包含設定變更經由群組原則所控制的範圍。

圖 3個別的基準設定。

按一下 圖 2 來查看個別的基準設定，在本機的 Policies\Security 選項] 中的清單，如示 圖 3 中設定群組的任何。 您可以看到預設設定] 旁，Microsoft 建議的設定。 右邊資料行會顯示來自訂它對您環境的比較基準做任何變更。

自訂、 比較和部署

這種類型的自訂帶給淺更具挑戰性的活動與安全性原則管理相關聯的其中一個：調整您的特定需求的預設建議。 您可能會辨識 Microsoft 建議 (或傳往下從政府機構) don’t 一定符合您的環境 ’s 需求。 可能是 Microsoft 原則關閉防火牆連接埠，您需要保留開啟，或稽核的需求會比預設比較基準更加嚴格。 在任何這些情況下管理提供的比較基準，並且您需要可以是一項挑戰一個差異。

圖 4編輯比較基準中的安全性設定。

Microsoft 安全性規範管理員可以幫助您管理這些差異。 任何匯入的比較基準] 上按一下滑鼠右鍵，並選取 [自訂 | 重複建立標準的基準複本，您可以編輯它以符合您的需求。 這可編輯的複本中選取一種設定，並選擇 [定義] 索引標籤提供您自訂原則的地方 (請參閱 的 圖 4)。

圖 5比較兩個原則。

之後您自己的自訂原則，比較產生的原則，對其他的原則上按一下滑鼠右鍵，並選擇 [管理 | 比較。 在後續的螢幕中選取第二個原則，讓您可以比較您自己。 工具完成比較，並顯示您為螢幕類似 的 圖 5。 這裡您看到如何 Contoso.com ’s 比較基準會有一個不同於 Microsoft Win7 EC 桌面比較基準的原則設定。

完成您的自訂，您可以發佈的介面中的任何原則，使它們變成唯讀狀態，並保留它們的設定。 當準備好要部署您的原則，匯出這些檔案格式中該群組原則、 DCM 或任何工具，可支援美國 政府 ’s SCAP 通訊協定可以匯入。

這很小，但令人印象深刻免費軟體工具協助安全性基準管理偶而複雜的程序。 雖然它不為了實際管理原則強制執行 —，’s 像是 SCCM]、 [群組原則] 或 [協力廠商解決方案的其他解決方案的工作 — 它並提供方便的桌面的視覺化，編輯，而且您需要部署比較比較基準。

它提醒我我 haven’t 討論我先前的專案經理從該舊的作業。 我不知道如何她進行有自己的比較基準，現在真正強制執行這些技術有真正攔截最多。

Greg Shields， MVP，不是協力電腦在 集中技術。ConcentratedTech.com 取得多個 Shields’Jack 的所有交易的秘訣和訣竅

相關內容

• 什麼 ’s 新項目在群組原則 Windows 7 和 Windows Server 2008 R2
• 自動化與 Windows PowerShell 」 的 「 群組原則 」 管理
• 最佳化群組原則效能