Microsoft 安全合规性管理器 – 强化我们的服务器

打印友好, PDF & Email

Microsoft 安全合规性管理器 2 是 Microsoft 安全模板的存储库,我们可以将其应用于我们网络上的服务器或 PC,从而提供更高的安全性, 因为这些模板是根据作系统预定义的. 以及目标计算机运行的服务. 好消息是,我们将能够使模板始终保持“最新”状态’ 通过我们可以从控制台下载的更新. 我们将能够导入 GPO, 更多基准… 我们将能够编辑/复制它们,并将它们应用于我们的环境,我们将导出它们.

En este documento veremos la instalación de Microsoft Security Compliance Manager (SCM), un vistazo breve sobre su consola y generaremos una GPO que aplicaremos posteriormente a nuestros servidores de nuestra comunidad Citrix XenApp 6.5.

Por defecto vienen las siguientes plantillas de seguridad: IE浏览器 8, IE浏览器 9, Microsoft 办公软件 2007 SP2, Microsoft 办公软件 2010, 窗户 7, Windows 服务器 2003 SP2, Windows 服务器 2008 R2 SP1, Windows 服务器 2008 SP2, Windows Vista SP2 y Windows XP SP3.

Instalación de Microsoft Security Compliance Manager,

第一件事, descargamos Microsoft Security Compliance Manager de la Microsoft 网站, comenzamos el asistente de instalación & 马克 “Check for updates automatically at startup”. Previamente habremos instalado su único requisito: Framework .NET 4 .

我们接受许可协议,

Path de instalación predetermidado ‘%ProgramFiles%Microsoft Security Compliance Manager’,

Necesitaremos un SQL Express para la BD, en mi caso seleccionaré que me lo baje & me lo instale automáticamente,

Aceptamos la EULA del SQL,

Y pulsamos finalmente “安装” para que nos baje el SQL y nos lo instale junto a SCM,

准备!

Uso de Microsoft Security Compliance Manager,

Abrimos la consola de SCM, lo primero será comprobar si existen actualizaciones de las plantillas de seguridad (si no lo hemos hecho durante la instalación) > “Download Microsoft baselines automatically”,

Vemos cuales son los paquetes de plantillas de seguridad que nos podremos bajar, “下载”,

esperamos mientras baja

Y comprobamos los paquetes que queremos agregar junto a la descripción de su contenido, “下一个”,

esperamos mientras carga los paquetes de directivas

Podremos comprobar las directivas que trae cada paquete de plantillas, podremos comprobar que cada Sistema Operativo trae diferentes directivas basándose en el rol/función que dispondrá el servidor destino donde se le aplique. Con esto comprobamos que cada paquete que actualicemos/bajemos actualizará la GPO que estemos aplicando a nuestros servidores de ficheros, Hyper-V 技术, DC’s, DNS 解析, 终端服务器 (远程桌面)… 点击 “进口”,

esperamos mientras importa las directivas en la BD de SCM 2

和 “完成”, habrán ciertas directivas que no se importen pq ya existen y están a su última versión, 准备.

还行, como indicaba, la intención que tengo es aplicar hardening a unos servidores que tengo Citrix, para ello buscaré la directiva más ‘parecida’ (en mi caso Windows Server 2008 R2 SP1 con el rol de Remote Desktop), para no afectar a la GPO original la duplicamos para personalizarla y crear una a nuestro antojo, marcamos ‘Baseline’ > “重复”. Podremos comprobar la configuración que trae esta directiva donde veremos únicamente capado a nivel de servicios de sistema, así que agregaremos más políticas de seguridad.

Le ponemos un nombre a la baseline & 描述, “救”,

Sobre nuestra plantilla, podremos comprobar cada servicio que configuración lleva, si lo deshabilita o no, 描述… cómo a esta plantilla le quiero agregar más configuraciones y no son de servicios, si no de GPO, agregaremos un grupo donde meteremos dichas configuraciones, así que en ‘Setting’ > “加” y crearemos un grupo donde posteriormente le agregaremos las configuraciones desde ‘Setting Group’ > “加”.

Bueno creamos el grupo ‘contenedorde configuraciones & “加”,

Y a la hora de añadir las configuraciones a las plantillas las almacenaremos en el grupo recién creado; buscaremos la GPO que queremos configurar o iremos navegando página a página por todas las directivas de Microsoft que podremos configurar, doble click para configurar cada GPO,

En este caso sencillo unicamente agregaré un par de configuraciones, quiero advertir a mis usuarios (y a los que NO lo sean) con un mensaje cada vez que se vayan a loguear contra nuestros servidores XenApp. Una vez tengamos nuestra plantilla perfecta, la exportaremos, en mi caso como ‘GPO Backup (文件夹)’, para poder importarla de forma inmediata en nuestro Directorio Activo. Podemos ver además las posibilidades de exportación que tenemos: 胜过, GPO (英文), SCAP, SCCM DCM 2007 o SCM.

井, 正如我所说, a exportamos a una carpeta (en GPO).

Y en nuestra consola de administración de directivas de grupo, sobre una nueva directiva que hayamos creado en blanco y aplicada a la Unidad Organizativa de nuestros servidores Citrix XenApp, podremos importarla desdeImportar configuración…”,

La buscamos en la carpeta que la hemos exportado y continuamos el asistente de importación de GPOs, confirmamos que es la directiva de grupo nuestra

Y dependiendo de las configuraciones aplicadas deberemos y utilizar una tabla de migración que crearemos.

Dependiendo de los parámetros que nos den error durante la importación deberemos crearlos en la tabla, traducirlos/corregirlos e indicar el tipo de origen correcto.

就是这样, GPO importada correctamente, ahora tan sencillo como comprobar si se aplica de forma correcta.

Pues listo, parece que nuestros XenApp ya utilizan una GPO que hemos obtenido de la central de directivas de Microsoft Security Compliance Manager, con esto las tendremos gestionadas centralizadas y siempre actualizadas ante cualquier cambio por parte de Microsoft.

推荐文章

Citrix 上的新团队
在 Fortigate 中保护自己免受攻击和僵尸网络的侵害
使用 Citrix NetScaler I 的 VPN - 部署 & 预身份验证
集中部署 Crowdsec

作者

赫克托·埃雷罗 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, 请随时与我联系, 我会尽我所能帮助你, 分享就是生活 ;) . 享受文档!!!

Proyecto VMware: Onyx

3 十月 2011

Citrix XenApp 中的新增功能 6.5 - 会话预启动 (启动前) & 会话延迟 (持久会话)

11 十月 2011