Microsoft Security Compliance Manager 2 è un repository di modelli di sicurezza Microsoft che possiamo applicare ai nostri server o PC della nostra rete fornendo maggiore sicurezza, dato che questi modelli vengono predefiniti a seconda del S.O.. e dei servizi che esegue la macchina destinazione. La cosa buona è che possiamo mantenere i modelli sempre 'up to date',’ tramite aggiornamenti che possiamo scaricare dalla console. Possiamo importare GPO, più baseline… possiamo modificarli/duplicarli e per applicarli al nostro ambiente li esportiamo.

In questo documento vedremo l'installazione di Microsoft Security Compliance Manager (SCM), uno sguardo rapido alla sua console e genereremo una GPO che applicheremo successivamente ai nostri server della nostra comunità Citrix XenApp 6.5.

Per impostazione predefinita vengono fornite le seguenti impostazioni di sicurezza: Internet Explorer 8, Internet Explorer 9, Ufficio Microsoft 2007 SP2, Ufficio Microsoft 2010, Finestre 7, Windows Server 2003 SP2, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Vista SP2 e Windows XP SP3.

Installazione di Microsoft Security Compliance Manager,

Operazioni preliminari, scarichiamo Microsoft Security Compliance Manager da Sito web di Microsoft, iniziamo la procedura guidata di installazione & Segno “Verifica aggiornamenti automaticamente all'avvio”. Precedentemente avremo installato il suo unico requisito: Framework .NET 4 .

Accettiamo il contratto di licenza,

Percorso di installazione predefinito '%ProgramFiles%Microsoft Security Compliance Manager',

Necesitaremos un SQL Express para la BD, en mi caso seleccionaré que me lo baje & me lo instale automáticamente,

Aceptamos la EULA del SQL,

Y pulsamos finalmente “Installare” para que nos baje el SQL y nos lo instale junto a SCM,

…

Pronto!

Uso de Microsoft Security Compliance Manager,

Abrimos la consola de SCM, lo primero será comprobar si existen actualizaciones de las plantillas de seguridad (si no lo hemos hecho durante la instalación) > “Download Microsoft baselines automatically”,

Vemos cuales son los paquetes de plantillas de seguridad que nos podremos bajar, “Scaricare”,

… esperamos mientras baja…

Y comprobamos los paquetes que queremos agregar junto a la descripción de su contenido, “Prossimo”,

… esperamos mientras carga los paquetes de directivas…

Podremos comprobar las directivas que trae cada paquete de plantillas, podremos comprobar que cada Sistema Operativo trae diferentes directivas basándose en el rol/función que dispondrá el destino del servidor dove se le aplique. Con esto comprobamos que cada paquete que actualicemos/bajemos actualizará la GPO que estemos aplicando a nuestros servidores de ficheros, Hyper-V, DC's, DNS, Terminal Server (Desktop remoto)… Clicca su “Importazione”,

… esperamos mientras importa las directivas en la BD de SCM 2…

E “Finire”, habrán ciertas directivas que no se importen pq ya existen y están a sua ultima versión, pronto.

Ok, as indicated, my intention is to apply hardening to some Citrix servers I have, for that I will look for the most 'similar' policy’ (in my case Windows Server 2008 R2 SP1 with the Remote Desktop role), to avoid affecting the original GPO we duplicate it to customize it and create one to our liking, we mark 'Baseline'’ > “Duplicare”. We will be able to check the configuration that this policy brings where we will see only restricted at the system services level, so we will add more security policies.

We give a name to the baseline & Una descrizione, “Salvare”,

On our template, we will be able to check each service what configuration it has, if it disables it or not, Una descrizione… cómo a esta plantilla le quiero agregar más configuraciones y no son de servicios, si no de GPO, agregaremos un grupo donde meteremos dichas configuraciones, así que en ‘Setting’ > “Aggiungere” y crearemos un grupo donde posteriormente le agregaremos las configuraciones desde ‘Setting Group’ > “Aggiungere”.

Bueno creamos el grupo ‘contenedor’ de configuraciones & “Aggiungere”,

Y a la hora de añadir las configuraciones a las plantillas las almacenaremos en el grupo recién creado; buscaremos la GPO que queremos configurar o iremos navegando página a página por todas las directivas de Microsoft que podremos configurar, doble click para configurar cada GPO,

En este caso sencillo unicamente agregaré un par de configuraciones, Voglio avvertire i miei utenti (e chi non lo sia) con un messaggio ogni volta che si connettono ai nostri server XenApp. Una volta che avremo il nostro modello perfetto, lo esporteremo, nel mio caso come 'Backup GPO' (cartella)’, per poterlo importare immediatamente nel nostro Active Directory. Possiamo vedere inoltre le possibilità di esportazione che abbiamo: Eccellere, GPO, SCAP, SCCM DCM 2007 o SCM.

Bene, Come ho detto, lo esportiamo in una cartella (in GPO).

E nella nostra console di amministrazione delle politiche di gruppo, su una nuova politica che abbiamo creato da zero e applicata all'Unità Organizzativa dei nostri server Citrix XenApp, potremo importarla da “Importa configurazione…”,

La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la directiva de grupo nuestra…

Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.

Dependiendo de los parámetros que nos den error durante la importación deberemos crearlos en la tabla, traducirlos/corregirlos e indicar el tipo de origen correcto.

E questo è tutto, GPO importada correctamente, ahora tan sencillo como comprobar si se aplica de forma correcta.

Bene, questo è tutto, parece que nuestros XenApp ya utilizan una GPO que hemos obtenido de la central de directivas de Microsoft Security Compliance Manager, con questo le avremo gestite centralizzate e sempre aggiornate di fronte a qualsiasi cambiamento da parte di Microsoft.