Microsoft セキュリティコンプライアンスマネージャー – サーバーの強化

Microsoft セキュリティコンプライアンスマネージャー 2 は、ネットワーク上のサーバーまたはPCに適用できるMicrosoftセキュリティテンプレートのリポジトリであり、セキュリティを強化します, これらのテンプレートはOSに応じて事前定義されているためです. ターゲットマシンによって実行されるサービス. 良いことは、テンプレートを常に最新の状態に保つことができることです’ コンソールからダウンロードできるアップデートを通じて. GPOをインポートできるようになります, より多くのベースライン… それらを編集/複製することができ、それらを環境に適用するために、それらをエクスポートします.

このドキュメントでは、Microsoft Security Compliance Manager のインストールについて説明します (SCMの), コンソールを簡単に見ると、GPOが生成され、Citrix XenAppコミュニティサーバーに適用されます 6.5.

デフォルトでは、次のセキュリティテンプレートが付属しています: インターネットエクスプローラ 8, インターネットエクスプローラ 9, マイクロソフトオフィス 2007 SP2の, マイクロソフトオフィス 2010, ウィンドウズ 7, Windows サーバー 2003 SP2の, Windows サーバー 2008 R2 SP1の, Windows サーバー 2008 SP2の, Windows Vista SP2 および Windows XP SP3.

Microsoft Security Compliance Manager のインストール,

はじめに, Microsoft Security Compliance Manager を Microsoft の Web サイト, インストールウィザードを起動します & 印 “起動時に更新を自動的に確認する”. 私たちはあなたの唯一の要件を以前にインストールしました: .NET フレームワーク 4 .

ライセンス契約に同意します,

事前に定義されたインストールパス '%ProgramFiles%Microsoft Security Compliance Manager',

DBにはSQL Expressが必要です, 私の場合、ダウンロードすることを選択します & 自動でインストールしてみた,

SQL EULAに同意します,

そして、ついにプレスをかけました “取り付ける” SQLをダウンロードして、SCMと一緒にインストールします,

…

用意!

Microsoft Security Compliance Manager の使用,

SCMコンソールを開きます, 最初に、セキュリティテンプレートに更新があるかどうかを確認します (インストール中にインストールしていない場合) > “Microsoft ベースラインを自動的にダウンロードする”,

ダウンロードできるセキュリティテンプレートパッケージはどれか見てみましょう, “ダウンロード”,

… それが降りてくるのを待ちます…

そして、コンテンツの説明の横にある追加するパッケージを確認します, “次に”,

… ポリシーパッケージをロードする間、待機します…

各テンプレートパッケージに付属しているディレクティブを確認できるようになります, 各オペレーティングシステムが、適用される宛先サーバーが持つ役割/機能に基づいて、異なるディレクティブをもたらすことを確認できます. これにより、更新/ダウンロードする各パッケージが、ファイルサーバーに適用しているGPOを更新することを確認します, Hyper-Vの, DCの, DNSの, ターミナルサーバー (リモートデスクトップ)… クリック “輸入”,

… ディレクティブを SCM 2 DB にインポートする間、待機します…

そして “終える”, 特定のディレクティブは、すでに存在し、最新バージョンであるためにインポートされません, 用意.

わかりました, 示されているように, 私が持っている意図は、Citrixを持っている一部のサーバーに強化を適用することです, これを行うには、最も類似したディレクティブを探します’ (私の場合、Windows Server 2008 R2 SP1 とリモートデスクトップの役割), 元のGPOに影響を与えないように、それを複製してカスタマイズし、気まぐれにGPOを作成します, 「ベースライン」を確認します’ > “デュプリケート”. このディレクティブがもたらす構成を確認することができますが、ここではシステムサービスのレベルでのキャッピングのみが表示されます, そのため、セキュリティポリシーをさらに追加する予定です.

ベースラインに名前を付けます & 説明, “セーブ”,

私たちの労働力について, 設定されている各サービスを確認できるようになります, 無効にするかどうか, 説明… このテンプレートにさらに構成を追加したいのですが、それらはサービスではありません, GPO でない場合, これらの設定を配置するグループを追加します, だから「セッティング」で’ > “足す” また、後で「設定グループ」から構成を追加するグループを作成します’ > “足す”.

さて、私たちは「コンテナ」グループを作成しました’ 構成の数 & “足す”,

また、テンプレートに構成を追加する場合は、新しく作成したグループに構成を格納します; 構成するGPOを探すか、構成できるすべてのMicrosoftポリシーをページごとにナビゲートします, ダブルクリックして各GPOを設定します,

この単純なケースでは、いくつかの構成のみを追加します, ユーザーに警告したい (そしてそうでない人々に) XenAppサーバーに対してログインするたびにメッセージが表示されます. 完璧なテンプレートができたら, 輸出します, 私の場合、「GPOバックアップ」として (フォルダ)’, これにより、すぐにActive Directoryにインポートできます. また、輸出の可能性も見ることができます: 秀でる, GPOの, スキャプ, SCCM DCMの 2007 または SCM.