Gestionnaire de conformité de sécurité Microsoft 2 est un référentiel de modèles de sécurité Microsoft que nous pouvons appliquer à nos serveurs ou PC sur notre réseau, offrant une sécurité accrue, puisque ces modèles sont prédéfinis en fonction de l’OS. et les services exécutés par la machine cible. Ce qui est bien, c’est que nous serons en mesure de garder les modèles toujours à jour’ grâce à des mises à jour que l’on peut télécharger depuis la console. Nous pourrons importer des GPO, Plus de bases de référence… Nous pourrons les modifier/dupliquer et pour les appliquer à notre environnement, nous les exporterons.

Dans ce document, nous allons voir l’installation du Gestionnaire de conformité de sécurité Microsoft (SCM), un bref coup d’œil à votre console et nous générerons un GPO que nous appliquerons ensuite à nos serveurs communautaires Citrix XenApp 6.5.

Por defecto vienen las siguientes plantillas de seguridad: Internet Explorer 8, Internet Explorer 9, Microsoft Office 2007 SP2, Microsoft Office 2010, Windows 7, Serveur Windows 2003 SP2, Serveur Windows 2008 R2 SP1, Serveur Windows 2008 SP2, Windows Vista SP2 y Windows XP SP3.

Instalación de Microsoft Security Compliance Manager,

Premières choses, descargamos Microsoft Security Compliance Manager de la Site web de Microsoft, comenzamos el asistente de instalación & Marque “Check for updates automatically at startup”. Previamente habremos instalado su único requisito: Framework .NET 4 .

Nous acceptons le contrat de licence,

Path de instalación predetermidado ‘%ProgramFiles%Microsoft Security Compliance Manager’,

Necesitaremos un SQL Express para la BD, en mi caso seleccionaré que me lo baje & me lo instale automáticamente,

Aceptamos la EULA del SQL,

Y pulsamos finalmente “Installer” para que nos baje el SQL y nos lo instale junto a SCM,

…

Prêt!

Uso de Microsoft Security Compliance Manager,

Abrimos la consola de SCM, lo primero será comprobar si existen actualizaciones de las plantillas de seguridad (si no lo hemos hecho durante la instalación) > “Download Microsoft baselines automatically”,

Vemos cuales son los paquetes de plantillas de seguridad que nos podremos bajar, “Download”,

… esperamos mientras baja…

Y comprobamos los paquetes que queremos agregar junto a la descripción de su contenido, “Prochain”,

… esperamos mientras carga los paquetes de directivas…

Podremos comprobar las directivas que trae cada paquete de plantillas, podremos comprobar que cada Sistema Operativo trae diferentes directivas basándose en el rol/función que dispondrá el servidor destino donde se le aplique. Con esto comprobamos que cada paquete que actualicemos/bajemos actualizará la GPO que estemos aplicando a nuestros servidores de ficheros, Hyper-V, DC’s, DNS, Serveur de terminaux (Bureau à distance)… Cliquez sur “Importation”,

… esperamos mientras importa las directivas en la BD de SCM 2…

Et “Finir”, habrán ciertas directivas que no se importen pq ya existen y están a su última versión, prêt.

D’accord, como indicaba, la intención que tengo es aplicar hardening a unos servidores que tengo Citrix, para ello buscaré la directiva más ‘parecida’ (en mi caso Windows Server 2008 R2 SP1 con el rol de Remote Desktop), para no afectar a la GPO original la duplicamos para personalizarla y crear una a nuestro antojo, marcamos ‘Baseline’ > “Dupliquer”. Podremos comprobar la configuración que trae esta directiva donde veremos únicamente capado a nivel de servicios de sistema, así que agregaremos más políticas de seguridad.

Le ponemos un nombre a la baseline & Une description, “Sauvegarder”,

Sobre nuestra plantilla, podremos comprobar cada servicio que configuración lleva, si lo deshabilita o no, Une description… cómo a esta plantilla le quiero agregar más configuraciones y no son de servicios, si no de GPO, agregaremos un grupo donde meteremos dichas configuraciones, así que en ‘Setting’ > “Ajouter” y crearemos un grupo donde posteriormente le agregaremos las configuraciones desde ‘Setting Group’ > “Ajouter”.

Bueno creamos el grupo ‘contenedor’ de configuraciones & “Ajouter”,

Y a la hora de añadir las configuraciones a las plantillas las almacenaremos en el grupo recién creado; buscaremos la GPO que queremos configurar o iremos navegando página a página por todas las directivas de Microsoft que podremos configurar, doble click para configurar cada GPO,

En este caso sencillo unicamente agregaré un par de configuraciones, quiero advertir a mis usuarios (y a los que NO lo sean) con un mensaje cada vez que se vayan a loguear contra nuestros servidores XenApp. Una vez tengamos nuestra plantilla perfecta, la exportaremos, en mi caso como ‘GPO Backup (folder)’, para poder importarla de forma inmediata en nuestro Directorio Activo. Podemos ver además las posibilidades de exportación que tenemos: Exceller, GPO, SCAP, SCCM DCM 2007 o SCM.

Puits, Comme je l’ai dit, a exportamos a una carpeta (en GPO).

Y en nuestra consola de administración de directivas de grupo, sobre una nueva directiva que hayamos creado en blanco y aplicada a la Unidad Organizativa de nuestros servidores Citrix XenApp, podremos importarla desde “Importar configuración…”,

La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la directiva de grupo nuestra…

Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.

Dependiendo de los parámetros que nos den error durante la importación deberemos crearlos en la tabla, traducirlos/corregirlos e indicar el tipo de origen correcto.

Et c’est tout, GPO importada correctamente, ahora tan sencillo como comprobar si se aplica de forma correcta.

Eh bien, c’est tout, parece que nuestros XenApp ya utilizan una GPO que hemos obtenido de la central de directivas de Microsoft Security Compliance Manager, con esto las tendremos gestionadas centralizadas y siempre actualizadas ante cualquier cambio por parte de Microsoft.