Диспетчер Security Compliance Manager вышел в бета версии

Введение

В компании Microsoft велись работы над созданием нового решения, которое бы связало вместе многие аспекты безопасности Windows, и им это удалось! Да, именно так, компания Microsoft создала полное решение так, что все аспекты безопасности для рабочих станций и серверов можно централизовать, устанавливать и даже проводить аудит. Это решение было создано командой разработчиков Solution Accelerators компании Microsoft и названо диспетчером соответствия требованиям безопасности Security Compliance Manager (SCM). SCM прошел строгую разработку, на которую было потрачено много часов и умственного труда. Сегодня SCM доступен всем в бета версии. Вы можете зарегистрироваться для получения бета-версии здесь. Вам лишь нужен аккаунт Microsoft Passport. В этой статье я объясню вам, для чего создан SCM и чего стоит ожидать от бета-версии.

Обзор SCM

SCM создан для защиты всех ключевых областей операционной системы Windows. Что значит «ключевые области»? Это хороший вопрос и ответ на него можно найти в инструментах SCM. SCM был разработан на основе стандартов индустрии в которых надежный означает (особенно, говоря о ключевых областях) области безопасности высокой степени риска в ОС Windows.

По сути картина с SCM следующая:

  1. SCM позволяет вам распределять ваши компьютеры Windows по категориям. Примерами могут быть ноутбуки, стационарные компьютеры, компьютеры высокой степени защиты, серверы, DMZ серверы, контроллеры домена и т.д.
  2. Также SCM позволяет администраторам создавать файлы конфигурации в SCM, которые нацелены на ключевые области настроек безопасности в каждой категории компьютеров, распределенных выше.
  3. После того как SCM создаст файлы конфигурации, их можно будет преобразовывать в объекты групповой политики (Group Policy Objects). Эти объекты Group Policy Objects будут связаны с файлами конфигурации после их создания, но документирование поможет вам отслеживать то, какой объект Group Policy Object был создан из связанного с ним файла конфигурации.
  4. Используя организационные подразделения Active Directory Organizational Units (OUs), объекты Group Policy Objects можно настроить в качестве целевых для тех компьютеров, которые отвечают требованиям, связанным с параметрами конфигурации.
  5. Поскольку групповая политика автоматически обновляет компьютеры после их привязки к OU, параметры объекта Group Policy Object будут переданы на компьютеры в течение нескольких часов после их привязки к OU.
  6. SCM идет с пакетами Desired Configuration Management (DCM), которые содержат информацию о том, каковы были изначальные параметры безопасности.
  7. Используя System Center Configuration Manager (SCCM) можно создавать отчеты аудита, которые отслеживают параметры безопасности компьютеров до изначального файла безопасности, созданного в SCM. (Также было обещано, что эту задачу можно будет выполнять вручную без SCCM, но еще не было проведено достаточно тестов, чтобы доказать существование этой возможности. В следующих статьях мы более подробно расскажем о том, как устанавливать, настраивать, разворачивать и проводить аудит с помощью SCM.)
Предыдущая технология SCM

До настоящего времени существовало много технологий, которые пытались выполнять функции SCM, но ни одна из них даже и близко не подошла к этому. Даже если те технологии собрать вместе, они все равно не сравнились бы с тем, на что способен SCM. Технологии, предоставляемые компанией Microsoft в прошлом для помощи в настройке безопасности на операционных системах Windows, включают следующее: шаблоны безопасности, мастер настройки безопасности (Security Configuration Wizard - SCW) и пользовательские INF параметры безопасности, которые можно импортировать в объект Group Policy Object.

Шаблоны безопасности существовали на протяжении долгого времени. Эти шаблоны представляют собой текстовые файлы, которые хранятся в файлах с расширением INF. Компания Microsoft всегда предоставляла нам шаблоны безопасности, и в пакет SCM также включено несколько шаблонов. Эти шаблоны назывались securews.inf, hisecurews.inf, и т.п. Шаблон безопасности просто представляет собой часть настроек безопасности, которые доступны в объекте групповой политики. На рисунке 1 показан интерфейс шаблонов безопасности, который доступен в консоли Microsoft Management Console (MMC).

Рисунок 1: Шаблон безопасности можно настроить и создать с 
помощью консоли управления MMC

Рисунок 1: Шаблон безопасности можно настроить и создать с помощью консоли управления MMC

Здесь отчетливо видно, что шаблон безопасности имеет ряд параметров безопасности, которые встречаются в типичном объекте Group Policy Object, но это далеко не все параметры. Это создавало жесткие ограничения в использовании шаблонов безопасности, как решения по конфигурации.

Следующим инструментом, предоставляемым компанией Microsoft, был мастер настройки безопасности Security Configuration Wizard (SCW). Этот инструмент тоже существует уже довольно давно, и появился он с выходом Windows Server 2003 SP1. Этот инструмент представляет собой мастер и использует концепцию, известную как Роли. Сейчас роли являются ключевым аспектом Windows Server 2008, но во времена Windows Server 2003 этот термин так и не прижился, равно как и мастер SCW. Этот инструмент был создан для работы с межсетевым экраном, сетевыми параметрами, протоколами аутентификации, настройками аудита и т.д. В силу сложности, с которой мастер SCW создавал политики безопасности и доставлял их, инструмент так и не получил широкого применения. Если вы хотите прочитать более подробную информацию о SCW, вы можете найти ее здесь.

Наконец, Microsoft выпускала предустановленные шаблоны безопасности, которые, конечно же, представляли собой INF файлы. Этот набор настроек безопасности включал некоторые отличные опции безопасности, но его было не так просто сделать доступным в объекте Group Policy Object. Другими словами, чтобы сделать эти опции доступными, администратору групповой политики нужно было обновлять sceregvl.inf файл путем добавления этих дополнительных параметров безопасности. Это был довольно трудоемкий процесс, и администраторы не всегда хотели заниматься этим в своей среде.

Подход SCM

Выше мы рассмотрели общие концепции того, чем SCM отличается от остальных решений с точек зрения настройки и установки. Диспетчер SCM также отличается от этих решений, поскольку он полностью построен на правилах соответствия стандартам индустрии, таких как SOX, HIPAA, GLBA, ITIL, FDCC и другие. Именно этих стандартов должны придерживаться все специалисты безопасности и аудиторы, поэтому вполне понятно, почему SCM использует именно их.

Еще одним отличием диспетчера SCM от других решений является то, что он содержит полный список настроек безопасности, которые определены этими стандартами индустрии, в то время как другие решения были основаны на существующей структуре объекта Group Policy Object или параметрах безопасности, определенных компанией Microsoft.

Наконец, одним из самых поразительных отличий является то, что диспетчер SCM имеет встроенные возможности создания объектов групповой политики с помощью параметров безопасности, которые вы определите в SCM. Это означает, что вам не нужно использовать командную строку, другой инструмент или «создавать» объект Group Policy Object с помощью чего-либо еще, все средства встроены в SCM.

Аудит

Еще одним из самых важных аспектов, хотя и не бесплатным, в решении SCM является возможность аудита. Пакеты DCM, идущие с SCM, можно немедленно использовать с SCCM. SCCM – это не бесплатный инструмент и требует немного больше знаний, чем требуется для работы в SCM. SCCM – это замена MMS, который является отличным инструментом! В вашей среде понадобится специалист, который знает, как устанавливать, настраивать, диагностировать и обслуживать SCCM.

Ходят слухи о том, что будет возможность проводить аудит настроек, примененных диспетчером SCM до оригинальных файлов конфигурации, но у меня не было времени, чтобы подтвердить или опровергнуть эти слухи. Однако могу вам гарантировать, что, если это возможно, я напишу об этом одну из следующих статей.

Заключение

Вам нужно зарегистрироваться в SCM! Это будет важная веха в защите компьютеров Microsoft, и вы сможете высказаться по поводу продукта. Я внесу свою лепту, но прошу и вас быть активными. Пожалуйста, загрузите это приложение, установите его, опробуйте и, самое главное, выскажитесь по поводу этой программы! В компании Microsoft действительно читают ваши комментарии и по мере возможности стараются их учитывать при создании своих продуктов. SCM изменит то, как мы защищаем компьютеры Windows! Моей целью является разработка БЕСПЛАТНОГО решения для SCM, чтобы настраивать компьютеры и использовать этот единый метод для аудита каждого компьютера, чтобы быть уверенным в том, что компьютер работает с безопасными параметрами. Не забудьте посетить наш сайт, чтобы прочитать мою следующую статью о SCM!

Автор: Дерек Мелбер (Derek Melber)

Дерек Мелбер (Derek Melber)

Дерек Мелбер, MCSE, MVP, CISM.
Дерек является Директором по Согласованию Решений в DesktopStandard. Он написал несколько книг по аудиту безопасности Windows, а также Group Policy Guide (Руководство по Политике Групп) для MSPress, которая является единственной книгой Microsoft, посвященной Политике Групп.

Источник: https://www.Redline-Software.com

Возникли вопросы?

Обращайтесь на форум!