Microsoft Security Compliance ManagerAplicando hardening a nuestros servidores

Druckfreundlich, PDF & Email

Microsoft Security Compliance Manager 2 es un repositorio de plantillas de seguridad Microsoft que podremos aplicar a nuestros servidores o PC’s de nuestra red proporcionando mayor seguridad, ya que estas plantillas vienen predefinidas dependiendo del S.O. y los servicios que ejecute la máquina destino. Lo bueno es que podremos mantener las plantillas siempre ‘up to datemediante actualizaciones que podremos bajar desde la consola. Podremos importar GPOs, más baselinespodremos editarlas/duplicarlas y para aplicarlas a nuestro entorno las exportaremos.

En este documento veremos la instalación de Microsoft Security Compliance Manager (SCM), un vistazo breve sobre su consola y generaremos una GPO que aplicaremos posteriormente a nuestros servidores de nuestra comunidad Citrix XenApp 6.5.

Por defecto vienen las siguientes plantillas de seguridad: Internet Explorer 8, Internet Explorer 9, Microsoft Büro 2007 SP2, Microsoft Büro 2010, Fenster 7, Windows-Server 2003 SP2, Windows-Server 2008 R2 SP1, Windows-Server 2008 SP2, Windows Vista SP2 y Windows XP SP3.

Instalación de Microsoft Security Compliance Manager,

Das Wichtigste, descargamos Microsoft Security Compliance Manager de la Microsoft-Website, comenzamos el asistente de instalación & marcamosCheck for updates automatically at startup”. Previamente habremos instalado su único requisito: Framework .NET 4 .

Wir akzeptieren die Lizenzvereinbarung,

Path de instalación predetermidado ‘%ProgramFiles%Microsoft Security Compliance Manager’,

Necesitaremos un SQL Express para la BD, en mi caso seleccionaré que me lo baje & me lo instale automáticamente,

Aceptamos la EULA del SQL,

Y pulsamos finalmente “Installieren” para que nos baje el SQL y nos lo instale junto a SCM,

Fertig!

Uso de Microsoft Security Compliance Manager,

Abrimos la consola de SCM, lo primero será comprobar si existen actualizaciones de las plantillas de seguridad (si no lo hemos hecho durante la instalación) > “Download Microsoft baselines automatically”,

Vemos cuales son los paquetes de plantillas de seguridad que nos podremos bajar, “Download”,

esperamos mientras baja

Y comprobamos los paquetes que queremos agregar junto a la descripción de su contenido, “Nächster”,

esperamos mientras carga los paquetes de directivas

Podremos comprobar las directivas que trae cada paquete de plantillas, podremos comprobar que cada Sistema Operativo trae diferentes directivas basándose en el rol/función que dispondrá el servidor destino donde se le aplique. Con esto comprobamos que cada paquete que actualicemos/bajemos actualizará la GPO que estemos aplicando a nuestros servidores de ficheros, Hyper-V, DC’s, DNS, Terminalserver (Remote Desktop)… Anklicken “Importieren”,

esperamos mientras importa las directivas en la BD de SCM 2

Und “Beenden”, habrán ciertas directivas que no se importen pq ya existen y están a su última versión, fertig.

Okay, como indicaba, la intención que tengo es aplicar hardening a unos servidores que tengo Citrix, para ello buscaré la directiva más ‘parecida’ (en mi caso Windows Server 2008 R2 SP1 con el rol de Remote Desktop), para no afectar a la GPO original la duplicamos para personalizarla y crear una a nuestro antojo, marcamos ‘Baseline’ > “Duplikat”. Podremos comprobar la configuración que trae esta directiva donde veremos únicamente capado a nivel de servicios de sistema, así que agregaremos más políticas de seguridad.

Le ponemos un nombre a la baseline & Eine Beschreibung, “Retten”,

Sobre nuestra plantilla, podremos comprobar cada servicio que configuración lleva, si lo deshabilita o no, Eine Beschreibung… cómo a esta plantilla le quiero agregar más configuraciones y no son de servicios, si no de GPO, agregaremos un grupo donde meteremos dichas configuraciones, así que en ‘Setting’ > “Hinzufügen” y crearemos un grupo donde posteriormente le agregaremos las configuraciones desde ‘Setting Group’ > “Hinzufügen”.

Bueno creamos el grupo ‘contenedorde configuraciones & “Hinzufügen”,

Y a la hora de añadir las configuraciones a las plantillas las almacenaremos en el grupo recién creado; buscaremos la GPO que queremos configurar o iremos navegando página a página por todas las directivas de Microsoft que podremos configurar, doble click para configurar cada GPO,

En este caso sencillo unicamente agregaré un par de configuraciones, quiero advertir a mis usuarios (y a los que NO lo sean) con un mensaje cada vez que se vayan a loguear contra nuestros servidores XenApp. Una vez tengamos nuestra plantilla perfecta, la exportaremos, en mi caso como ‘GPO Backup (folder)’, para poder importarla de forma inmediata en nuestro Directorio Activo. Podemos ver además las posibilidades de exportación que tenemos: Excel, GPO, SCAP, SCCM DCM 2007 o SCM.

Brunnen, Wie ich schon sagte, a exportamos a una carpeta (en GPO).

Y en nuestra consola de administración de directivas de grupo, sobre una nueva directiva que hayamos creado en blanco y aplicada a la Unidad Organizativa de nuestros servidores Citrix XenApp, podremos importarla desdeImportar configuración…”,

La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la directiva de grupo nuestra

Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.

Dependiendo de los parámetros que nos den error durante la importación deberemos crearlos en la tabla, traducirlos/corregirlos e indicar el tipo de origen correcto.

Und das ist es, GPO importada correctamente, ahora tan sencillo como comprobar si se aplica de forma correcta.

Nun, das war's auch schon, parece que nuestros XenApp ya utilizan una GPO que hemos obtenido de la central de directivas de Microsoft Security Compliance Manager, con esto las tendremos gestionadas centralizadas y siempre actualizadas ante cualquier cambio por parte de Microsoft.

Empfohlene Beiträge

Verfasser

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Proyecto VMware: Onyx

3 Oktober 2011