Bruk MS Security Compliance Manager for å sikre ditt Windows-miljø

Gruppepolicy er et av de viktigste verktøyene som er tilgjengelige for å styre og sikre Windows-miljøer. Microsoft anerkjente at bruk av gruppepolitikk effektivt noen ganger kan være en skremmende oppgave og opprettet Security Compliance Manager (SCM), et gratis verktøy for å hjelpe til med å opprette og vedlikeholde sikkerhetsgrunnlag ved bruk av gruppepolitiske objekter. Med SCM kan du skaffe grunnleggende retningslinjer basert på beste sikkerhetsmetoder, tilpasse dem til de spesielle behovene i organisasjonen din og eksportere dem til en rekke formater for bruk i forskjellige scenarier.

Du finner den nyeste versjonen av SCM (for øyeblikket versjon 2.5) her. SCM krever en SQL Server Express-forekomst og runtime-bibliotekene Visual C ++ 2010. Begge disse kravene kan lastes ned automatisk og installeres via SCM-installasjonsprosessen.

Når du kjører SCM for første gang, vil den laste ned en rekke baselinjer fra Microsoft som dekker en hel del produkter, inkludert Windows stasjonære og server OS, Office, Internet Explorer og Exchange. Hvert produkt inkluderer på sin side baselinjer for forskjellige konfigurasjoner. Windows 7 inkluderer for eksempel en grunnlinje for BitLocker, datamaskininnstillinger, brukerinnstillinger og domeneinnstillinger. Du finner alle disse grunnlinjene i den høyre ruten på SCM-instrumentbordet ( figur A ).

Klikk for å forstørre tall.

Du kan også legge til dine egne eksisterende gruppepolitikker til SCM ved å importere dem fra en sikkerhetskopi. Du kan sikkerhetskopiere en lokal policy ved å bruke LocalGPO-verktøyet. Kommandolinjeverktøyet LocalGPO er inkludert i SCM, men er ikke installert som standard. For å installere det, kan du finne det i programgruppen MIcrosoft Security Compliance i Start-menyen. Med dette verktøyet kan du eksportere den lokale gruppepolicyen til en datamaskin for sikkerhetskopiering og bruke en sikkerhetsbaseline til den lokale gruppepolitikken til en datamaskin som ikke er medlem av et domene.

Microsoft-baseline-noden inkluderer alle baselinjene du har lastet ned fra Microsoft. Hvis du velger en, vises de tilknyttede innstillingene i sentrumsruten, og viser navn, standardverdi, Microsoft-anbefalt verdi, din tilpassede verdi, deres alvorlighetsgrad og plassering i gruppepolicykonsollen ( figur B ).

Valg av en individuell innstilling vil vise deg tilleggsinformasjon om den bestemte innstillingen, inkludert konfigurasjonsverdien, beskrivelsen, sårbarheten, mottiltak og andre detaljer ( figur C ).

Merk at innstillingene i en Microsoft-levert grunnlinje er nedtonet og ikke kan endres. Hvis du ønsker å endre disse grunnlinjene, må du først duplisere baseline fra handlingssettet i ruten til høyre, og opprette en ny grunnlinje i tilpassede baselinjer-noden. Fra denne ruten kan du utføre andre handlinger på basislinjene, inkludert sammenligning av to baselinjer, slå sammen innstillingene fra to baselinjer til en enkelt grunnlinje og låse en grunnlinje for å forhindre ytterligere endringer. Den mest nyttige handlingen er imidlertid muligheten til å eksportere basislinjene til flere formater:

  • Excel-arbeidsbøker som kan hjelpe med dokumentasjon eller gjennomgangsformål.
  • Gruppepolitiske objekter som kan importeres til Active Directory og brukes til brukere og datamaskiner som er medlemmer av domenet eller med LocalGPO-verktøyet for ikke-domenetilkoblede PC-er.
  • Security Content Automation Protocol (SCAP) .cab-filer som er i samsvar med en standard definert av Nasjonalt institutt for standarder og teknologi (NIST).
  • Configuration Manager 2007 Desired Configuration Management (DCM) konfigurasjonspakker som kan brukes til å skanne og rapportere datamaskiner inn og ut av samsvar.
  • SCM .cab-filer som du kan eksportere for bruk i andre miljøer.

SCM har noen begrensninger, hovedsakelig i mangel på støtte for noen veldig nyttige sikkerhetsfunksjoner i gruppepolitikk, inkludert begrensede grupper, programvarebegrensningsregler, offentlige nøkkelretningslinjer, Kerberos-policyer, skript, programkontrollpolicyer, IP-sikkerhetspolicyer, policybaserte QoS, gruppepolitiske preferanser, blant andre. Selv om det er løsninger (som beskrevet i den offisielle FAQ), vil forhåpentligvis disse utelatelsene bli korrigert i kommende versjoner. Til tross for disse manglene er Security Compliance Manager et brukervennlig verktøy som Microsoft-sentriske butikker kan dra nytte av for å starte bruken av Group Policy som et kraftig sikkerhetsverktøy.

© Copyright 2021 | pepebotifarra.com