Microsoft Security Compliance Manager – Aplicando hardening a nuestros servidores
Microsoft Security Compliance Manager 2 es un repositorio de plantillas de seguridad Microsoft que podremos aplicar a nuestros servidores o PC’s de nuestra red proporcionando mayor seguridad, ya que estas plantillas vienen predefinidas dependiendo del S.O. y los servicios que ejecute la máquina destino. Lo bueno es que podremos mantener las plantillas siempre ‘up to date’ mediante actualizaciones que podremos bajar desde la consola. Podremos importar GPOs, más baselines… podremos editarlas/duplicarlas y para aplicarlas a nuestro entorno las exportaremos.
En este documento veremos la instalación de Microsoft Security Compliance Manager (SCM), un vistazo breve sobre su consola y generaremos una GPO que aplicaremos posteriormente a nuestros servidores de nuestra comunidad Citrix XenApp 6.5.
Por defecto vienen las siguientes plantillas de seguridad: Internet Explorer 8, Internet Explorer 9, Microsoft Office 2007 SP2, Microsoft Office 2010, Windows 7, Windows Server 2003 SP2, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Vista SP2 y Windows XP SP3.
Instalación de Microsoft Security Compliance Manager,
Lo primero, descargamos Microsoft Security Compliance Manager de la web de Microsoft, comenzamos el asistente de instalación & marcamos “Check for updates automatically at startup”. Previamente habremos instalado su único requisito: Framework .NET 4 .
Aceptamos el acuerdo de licencia,
Path de instalación predetermidado ‘%ProgramFiles%Microsoft Security Compliance Manager’,
Necesitaremos un SQL Express para la BD, en mi caso seleccionaré que me lo baje & me lo instale automáticamente,
Aceptamos la EULA del SQL,
Y pulsamos finalmente “Install” para que nos baje el SQL y nos lo instale junto a SCM,
…
Listo!
Uso de Microsoft Security Compliance Manager,
Abrimos la consola de SCM, lo primero será comprobar si existen actualizaciones de las plantillas de seguridad (si no lo hemos hecho durante la instalación) > “Download Microsoft baselines automatically”,
Vemos cuales son los paquetes de plantillas de seguridad que nos podremos bajar, “Download”,
… esperamos mientras baja…
Y comprobamos los paquetes que queremos agregar junto a la descripción de su contenido, “Next”,
… esperamos mientras carga los paquetes de directivas…
Podremos comprobar las directivas que trae cada paquete de plantillas, podremos comprobar que cada Sistema Operativo trae diferentes directivas basándose en el rol/función que dispondrá el servidor destino donde se le aplique. Con esto comprobamos que cada paquete que actualicemos/bajemos actualizará la GPO que estemos aplicando a nuestros servidores de ficheros, Hyper-V, DC’s, DNS, Terminal Server (Remote Desktop)… Pulsamos en “Import”,
… esperamos mientras importa las directivas en la BD de SCM 2…
Y “Finish”, habrán ciertas directivas que no se importen pq ya existen y están a su última versión, listo.
Ok, como indicaba, la intención que tengo es aplicar hardening a unos servidores que tengo Citrix, para ello buscaré la directiva más ‘parecida’ (en mi caso Windows Server 2008 R2 SP1 con el rol de Remote Desktop), para no afectar a la GPO original la duplicamos para personalizarla y crear una a nuestro antojo, marcamos ‘Baseline’ > “Duplicate”. Podremos comprobar la configuración que trae esta directiva donde veremos únicamente capado a nivel de servicios de sistema, así que agregaremos más políticas de seguridad.
Le ponemos un nombre a la baseline & una descripción, “Save”,
Sobre nuestra plantilla, podremos comprobar cada servicio que configuración lleva, si lo deshabilita o no, una descripción… cómo a esta plantilla le quiero agregar más configuraciones y no son de servicios, si no de GPO, agregaremos un grupo donde meteremos dichas configuraciones, así que en ‘Setting’ > “Add” y crearemos un grupo donde posteriormente le agregaremos las configuraciones desde ‘Setting Group’ > “Add”.
Bueno creamos el grupo ‘contenedor’ de configuraciones & “Add”,
Y a la hora de añadir las configuraciones a las plantillas las almacenaremos en el grupo recién creado; buscaremos la GPO que queremos configurar o iremos navegando página a página por todas las directivas de Microsoft que podremos configurar, doble click para configurar cada GPO,
En este caso sencillo unicamente agregaré un par de configuraciones, quiero advertir a mis usuarios (y a los que NO lo sean) con un mensaje cada vez que se vayan a loguear contra nuestros servidores XenApp. Una vez tengamos nuestra plantilla perfecta, la exportaremos, en mi caso como ‘GPO Backup (folder)’, para poder importarla de forma inmediata en nuestro Directorio Activo. Podemos ver además las posibilidades de exportación que tenemos: Excel, GPO, SCAP, SCCM DCM 2007 o SCM.
Bueno, lo dicho, a exportamos a una carpeta (en GPO).
Y en nuestra consola de administración de directivas de grupo, sobre una nueva directiva que hayamos creado en blanco y aplicada a la Unidad Organizativa de nuestros servidores Citrix XenApp, podremos importarla desde “Importar configuración…”,
La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la directiva de grupo nuestra…
Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.
Dependiendo de los parámetros que nos den error durante la importación deberemos crearlos en la tabla, traducirlos/corregirlos e indicar el tipo de origen correcto.
Y listo, GPO importada correctamente, ahora tan sencillo como comprobar si se aplica de forma correcta.
Pues listo, parece que nuestros XenApp ya utilizan una GPO que hemos obtenido de la central de directivas de Microsoft Security Compliance Manager, con esto las tendremos gestionadas centralizadas y siempre actualizadas ante cualquier cambio por parte de Microsoft.