Gestionnaire de conformité de sécurité Microsoft 2 est un référentiel de modèles de sécurité Microsoft que nous pouvons appliquer à nos serveurs ou PC sur notre réseau, offrant une sécurité accrue, puisque ces modèles sont prédéfinis en fonction de l’OS. et les services exécutés par la machine cible. Ce qui est bien, c’est que nous serons en mesure de garder les modèles toujours à jour’ grâce à des mises à jour que l’on peut télécharger depuis la console. Nous pourrons importer des GPO, Plus de bases de référence… Nous pourrons les modifier/dupliquer et pour les appliquer à notre environnement, nous les exporterons.

Dans ce document, nous allons voir l’installation du Gestionnaire de conformité de sécurité Microsoft (SCM), un bref coup d’œil à votre console et nous générerons un GPO que nous appliquerons ensuite à nos serveurs communautaires Citrix XenApp 6.5.

Por defecto vienen las siguientes plantillas de seguridad: Internet Explorer 8, Internet Explorer 9, Microsoft Office 2007 SP2, Microsoft Office 2010, Windows 7, Serveur Windows 2003 SP2, Serveur Windows 2008 R2 SP1, Serveur Windows 2008 SP2, Windows Vista SP2 y Windows XP SP3.

Instalación de Microsoft Security Compliance Manager,

Premières choses, descargamos Microsoft Security Compliance Manager de la Site web de Microsoft, comenzamos el asistente de instalación & Marque “Check for updates automatically at startup”. Previamente habremos instalado su único requisito: Framework .NET 4 .

Nous acceptons le contrat de licence,

Path de instalación predetermidado ‘%ProgramFiles%Microsoft Security Compliance Manager’,

Necesitaremos un SQL Express para la BD, en mi caso seleccionaré que me lo baje & me lo instale automáticamente,

Aceptamos la EULA del SQL,

Y pulsamos finalmente “Installer” pour que nous téléchargions le SQL et l'installions avec le SCM,

…

Prêt!

Utilisation de Microsoft Security Compliance Manager,

Nous ouvrons la console du SCM, la première chose sera de vérifier s'il existe des mises à jour des modèles de sécurité (si nous ne l'avons pas fait lors de l'installation) > “Télécharger automatiquement les bases de référence Microsoft”,

Nous voyons quels sont les packages de modèles de sécurité que nous pourrons télécharger, “Télécharger”,

… nous attendons pendant le téléchargement…

Et nous vérifions les packages que nous voulons ajouter avec la description de leur contenu, “Prochain”,

… nous attendons pendant le chargement des packages de stratégies…

Nous pourrons vérifier les stratégies apportées par chaque package de modèles, podremos comprobar que cada Sistema Operativo trae diferentes directivas basándose en el rol/función que dispondrá el servidor destino donde se le aplique. Con esto comprobamos que cada paquete que actualicemos/bajemos actualizará la GPO que estemos aplicando a nuestros servidores de ficheros, Hyper-V, DC’s, DNS, Serveur de terminaux (Bureau à distance)… Cliquez sur “Importation”,

… esperamos mientras importa las directivas en la BD de SCM 2…

Et “Finir”, habrán ciertas directivas que no se importen pq ya existen y están a su última versión, prêt.

D’accord, como indicaba, la intención que tengo es aplicar hardening a unos servidores que tengo Citrix, para ello buscaré la directiva más ‘parecida’ (en mi caso Windows Server 2008 R2 SP1 con el rol de Remote Desktop), pour ne pas affecter la GPO originale, nous la dupliquons pour la personnaliser et en créer une selon nos souhaits, nous marquons ‘Baseline’ > “Dupliquer”. Nous pourrons vérifier la configuration apportée par cette directive où nous verrons uniquement limitée au niveau des services système, donc nous ajouterons plus de politiques de sécurité.

Nous donnons un nom à la baseline & Une description, “Sauvegarder”,

Sur notre modèle, nous pourrons vérifier chaque service quelle configuration il a, si elle le désactive ou non, Une description… comme je veux ajouter plus de configurations à ce modèle et qu’elles ne concernent pas les services, mais la GPO, nous ajouterons un groupe où nous mettrons ces configurations, donc dans ‘Setting’ > “Ajouter” et nous créerons un groupe où ensuite nous ajouterons les configurations depuis ‘Setting Group’ > “Ajouter”.

Bueno creamos el grupo ‘contenedor’ de configuraciones & “Ajouter”,

Y a la hora de añadir las configuraciones a las plantillas las almacenaremos en el grupo recién creado; buscaremos la GPO que queremos configurar o iremos navegando página a página por todas las directivas de Microsoft que podremos configurar, doble click para configurar cada GPO,

En este caso sencillo unicamente agregaré un par de configuraciones, quiero advertir a mis usuarios (y a los que NO lo sean) con un mensaje cada vez que se vayan a loguear contra nuestros servidores XenApp. Una vez tengamos nuestra plantilla perfecta, la exportaremos, en mi caso como ‘GPO Backup (folder)’, para poder importarla de forma inmediata en nuestro Directorio Activo. Podemos ver además las posibilidades de exportación que tenemos: Exceller, GPO, SCAP, SCCM DCM 2007 o SCM.

Puits, Comme je l’ai dit, a exportamos a una carpeta (en GPO).

Y en nuestra consola de administración de directivas de grupo, sobre una nueva directiva que hayamos creado en blanco y aplicada a la Unidad Organizativa de nuestros servidores Citrix XenApp, podremos importarla desde “Importar configuración…”,

La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la directiva de grupo nuestra…

Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.

Selon les paramètres qui nous donnent une erreur lors de l'importation, nous devrons les créer dans la table, les traduire/corriger et indiquer le type de source correct.

Et c’est tout, GPO importée correctement, maintenant aussi simple que de vérifier si elle s'applique correctement.

Eh bien, c’est tout, il semble que nos XenApp utilisent déjà une GPO que nous avons obtenue depuis le centre de stratégies de Microsoft Security Compliance Manager, avec cela, nous les aurons centralisées et toujours mises à jour en cas de tout changement par Microsoft.