Microsoft 安全合规性管理器 2 是 Microsoft 安全模板的存储库，我们可以将其应用于我们网络上的服务器或 PC，从而提供更高的安全性, 因为这些模板是根据作系统预定义的. 以及目标计算机运行的服务. 好消息是，我们将能够使模板始终保持“最新”状态’ 通过我们可以从控制台下载的更新. 我们将能够导入 GPO, 更多基准… 我们将能够编辑/复制它们，并将它们应用于我们的环境，我们将导出它们.

在本文件中，我们将看到 Microsoft Security Compliance Manager 的安装 (SCM), 简要了解其控制台，并生成一个 GPO，稍后将应用到我们 Citrix XenApp 社区的服务器上 6.5.

默认提供以下安全模板: IE浏览器 8, IE浏览器 9, Microsoft 办公软件 2007 SP2, Microsoft 办公软件 2010, 窗户 7, Windows 服务器 2003 SP2, Windows 服务器 2008 R2 SP1, Windows 服务器 2008 SP2, Windows Vista SP2 和 Windows XP SP3.

Microsoft Security Compliance Manager 的安装,

第一件事, 我们从以下位置下载 Microsoft Security Compliance Manager Microsoft 网站, 开始安装向导 & 马克 “启动时自动检查更新”. 之前我们已经安装了其唯一的依赖项: Framework .NET 4 .

我们接受许可协议,

默认安装路径 ‘%ProgramFiles%Microsoft Security Compliance Manager’,

我们需要一个 SQL Express 来用于数据库, 在我的情况下我会选择下载它 & 它会自动为我安装,

我们接受 SQL 的最终用户许可协议 (EULA),

最后点击 “安装” 以便下载 SQL 并将其与 SCM 一起安装,

…

准备!

使用 Microsoft 安全合规管理器,

打开 SCM 控制台, 首先要检查是否有安全模板更新 (如果我们在安装过程中没有做过) > “自动下载 Microsoft 基线”,

查看我们可以下载哪些安全模板包, “下载”,

… 等待下载完成…

并检查我们想要添加的软件包及其内容描述, “下一个”,

… 等待软件包策略加载…

我们可以检查每个模板包所带的策略, 我们可以检查每个操作系统基于目标服务器的角色/功能会带有不同的策略. 通过此操作我们确认每个更新/下载的软件包会更新我们应用到文件服务器的GPO, Hyper-V 技术, DC's, DNS 解析, 终端服务器 (远程桌面)… 点击 “进口”,

… 等待将策略导入SCM 2数据库…

和 “完成”, 有些策略不会被导入，因为它们已经存在且是最新版本, 准备.

还行, 正如我所说, 我的意图是对我拥有的一些Citrix服务器进行加固, 为此我会寻找最‘相似’的策略’ (以我的情况来说是Windows Server 2008 R2 SP1，具有远程桌面角色), 为了不影响原始的GPO，我们会复制它以进行个性化并创建一个我们想要的, 标记为‘基线’’ > “重复”. 我们可以检查这条策略带来的配置，在这里我们只能看到系统服务级别的限制, 所以我们将添加更多的安全策略.

我们给基线命名 & 描述, “救”,

在我们的模板上, 我们可以检查每个服务的配置, 它是否禁用, 描述… cómo a esta plantilla le quiero agregar más configuraciones y no son de servicios, si no de GPO, agregaremos un grupo donde meteremos dichas configuraciones, así que en ‘Setting’ > “加” y crearemos un grupo donde posteriormente le agregaremos las configuraciones desde ‘Setting Group’ > “加”.

Bueno creamos el grupo ‘contenedor’ de configuraciones & “加”,

Y a la hora de añadir las configuraciones a las plantillas las almacenaremos en el grupo recién creado; buscaremos la GPO que queremos configurar o iremos navegando página a página por todas las directivas de Microsoft que podremos configurar, doble click para configurar cada GPO,

En este caso sencillo unicamente agregaré un par de configuraciones, 我想提醒我的用户 (以及那些不是用户的人) 每次他们登录到我们的XenApp服务器时发送一条消息. 一旦我们有了完美的模板, 我们将导出它, 在我的情况下命名为‘GPO备份’ (文件夹)’, 以便能够立即导入到我们的Active Directory中. 我们还可以查看我们拥有的导出选项: 胜过, GPO （英文）, SCAP, SCCM DCM 2007 或SCM.

井, 正如我所说, 导出到一个文件夹 (在GPO中).

在我们的组策略管理控制台中, 对我们创建的空白新策略并应用到我们的Citrix XenApp服务器的组织单元, 我们可以从 “导入配置…”,

La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la directiva de grupo nuestra…

Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.

Dependiendo de los parámetros que nos den error durante la importación deberemos crearlos en la tabla, traducirlos/corregirlos e indicar el tipo de origen correcto.

就是这样, GPO importada correctamente, ahora tan sencillo como comprobar si se aplica de forma correcta.

Pues listo, parece que nuestros XenApp ya utilizan una GPO que hemos obtenido de la central de directivas de Microsoft Security Compliance Manager, con esto las tendremos gestionadas centralizadas y siempre actualizadas ante cualquier cambio por parte de Microsoft.