Gerente de Conformidade de Segurança da Microsoft 2 é um repositório de modelos de segurança da Microsoft que podemos aplicar aos nossos servidores ou PCs na nossa rede, proporcionando maior segurança, uma vez que estes modelos são predefinidos dependendo do SO. e os serviços executados pela máquina de destino. A coisa boa é que seremos capazes de manter os modelos sempre 'atualizados'’ através de atualizações que podemos transferir a partir da consola. Poderemos importar GPOs, Mais linhas de base… poderemos editá-los/duplicá-los e, para aplicá-los ao nosso ambiente, exportá-los-emos.

Neste documento veremos a instalação do Microsoft Security Compliance Manager (SCM), uma breve visão sobre a sua consola e iremos gerar uma GPO que aplicaremos posteriormente aos nossos servidores da nossa comunidade Citrix XenApp 6.5.

Por defeito vêm incluídos os seguintes modelos de segurança: Internet Explorer 8, Internet Explorer 9, Microsoft Office 2007 SP2, Microsoft Office 2010, Windows 7, Servidor Windows 2003 SP2, Servidor Windows 2008 R2 SP1, Servidor Windows 2008 SP2, Windows Vista SP2 e Windows XP SP3.

Instalação do Microsoft Security Compliance Manager,

Primeiras coisas, descarregamos o Microsoft Security Compliance Manager do site da Microsoft, iniciamos o assistente de instalação & Assinalar “Verificar atualizações automaticamente ao arranque”. Previamente teremos instalado o seu único requisito: Framework .NET 4 .

Aceitamos o contrato de licença,

Caminho de instalação predefinido ‘%ProgramFiles%Microsoft Security Compliance Manager’,

Precisaremos de um SQL Express para a BD, No meu caso, selecionarei para que o descarregue & Instale-o automaticamente,

Aceitamos o EULA do SQL,

E clicamos finalmente “Instalar” para que ele descarregue o SQL e o instale juntamente com o SCM,

…

Pronto!

Uso do Microsoft Security Compliance Manager,

Abrimos a consola do SCM, o primeiro será verificar se existem atualizações das templates de segurança (se não o fizemos durante a instalação) > “Descarregar as baselines da Microsoft automaticamente”,

Vemos quais são os pacotes de templates de segurança que podemos descarregar, “Descarregar”,

… Esperamos enquanto faz o download…

Y comprobamos los paquetes que queremos agregar junto a la descripción de su contenido, “Próximo”,

… esperamos mientras carga los paquetes de diretivas…

Podremos comprobar las diretivas que trae cada paquete de plantillas, podremos comprobar que cada Sistema Operativo trae diferentes diretivas basándose en el rol/función que dispondrá el servidor destino donde se le aplique. Con esto comprobamos que cada paquete que actualicemos/bajemos atualizará la GPO que estemos aplicando a nuestros servidores de ficheros, Hyper-V, DC's, DNS, Servidor de Terminal (Remote Desktop)… Clique em “Importação”,

… esperamos mientras importa las diretivas en la BD de SCM 2…

E “Acabar”, habrán ciertas diretivas que no se importen pq ya existen y están a su última versión, pronto.

Okey, como indicaba, la intención que tengo es aplicar hardening a unos servidores que tengo Citrix, para ello buscaré la directiva más ‘parecida’ (en mi caso Windows Server 2008 R2 SP1 con el rol de Remote Desktop), para no afectar a la GPO original la duplicamos para personalizarla y crear una a nuestro antojo, marcamos ‘Baseline’ > “Duplicate”. Podremos comprobar la configuración que trae esta directiva donde veremos únicamente capado a nivel de servicios de sistema, así que agregaremos más políticas de seguridad.

Le ponemos un nombre a la baseline & uma descrição, “Salvar”,

Sobre nuestra plantilla, podremos comprobar cada servicio que configuración lleva, si lo deshabilita o no, uma descrição… como a este modelo quero adicionar mais configurações e não são de serviços, mas sim de GPO, iremos criar um grupo onde colocaremos essas configurações, então em 'Setting'’ > “Adicionar” e criaremos um grupo onde posteriormente adicionaremos as configurações a partir de 'Setting Group'’ > “Adicionar”.

Bem, criamos o grupo 'contenedor'’ de configurações & “Adicionar”,

E na altura de adicionar as configurações aos modelos, iremos armazená-las no grupo recém-criado; iremos procurar a GPO que queremos configurar ou navegaremos página por página por todas as diretivas da Microsoft que podemos configurar, duplo clique para configurar cada GPO,

Neste caso simples, apenas adicionarei um par de configurações, quero avisar os meus utilizadores (e aqueles que NÃO o sejam) com uma mensagem sempre que forem iniciar sessão nos nossos servidores XenApp. Uma vez que tenhamos o nosso modelo perfeito, iremos exportá-lo, no meu caso como ‘GPO Backup (pasta)’, para poder importá-la imediatamente no nosso Diretório Ativo. Podemos também ver as possibilidades de exportação que temos: Excel, GPO, SCAP, SCCM DCM 2007 ou SCM.

Poço, Como eu disse, e exportamos para uma pasta (em GPO).

E na nossa consola de administração de políticas de grupo, sobre uma nova política que tenhamos criado em branco e aplicada à Unidade Organizativa dos nossos servidores Citrix XenApp, poderemos importá-la a partir de “Importar configuração…”,

La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la diretiva de grupo nuestra…

Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.

Dependiendo de los parámetros que nos den error durante la importación deberemos crearlos en la tabla, traducirlos/corregirlos e indicar el tipo de origen correto.

E é isso, GPO importada corretamente, ahora tan sencillo como comprobar si se aplica de forma correta.

Pues listo, parece que nuestros XenApp ya utilizan una GPO que hemos obtenido de la central de diretivas de Microsoft Security Compliance Manager, com isto iremos tê-las geridas de forma centralizada e sempre atualizadas perante qualquer alteração por parte da Microsoft.