利用 OMS Security 來評估安全配置基準
對惡意攻擊者最好的防禦就是確保伺服器的作業系統得到良好的強化並使用內建的安全功能。伺服器的作業系統擁有廣泛的安全措施,有些是在默認情況下啟用,而有些是為了符合現實中各種情況因此在默認情況下被停用。
微軟與世界上各國的企業及政府組織定義了一個代表高度安全性伺服器部署的 Windows 配置。這項配置是一組隨著微軟建議數據的註冊金鑰、審計策略設定、和安全策略設定。這些規定就是 安全性基準(Security Baseline)。 可查看以下連結瞭解更多:
有很多工具可以管理安全性基準,其中最常被使用的工具就是能夠生成組織策略並強制執行基準的 Microsoft Security Compliance Manager。
現在,Microsoft Security Compliance Manager 已經被放入 OMS 的安全性與稽核(Security and Audit)中。由於 OMS 是一種雲端服務,您可以無縫掃描所有電腦的合規性,且無需額外的工作就能管理雲端的所有結果。此功能適用於所有 OMS 安全性與稽核的客戶,且無需明確開啟或是安裝任何東西。
OMS 的 agent 也因為這項評估而被擴展。這同時適用於使用 OMS Direct agent 的客戶和透過 SCOM 使用 OMS 的客戶。Agent 會每天一次確認規則的組成設定並評估結果。它為 OMS 工作區增加了每個規則的狀態數據和每個評估的摘要。
安全性基準儀表板
在 OMS 安全性與稽核方案中包含了一個反映出 Baseline 結果的儀表板:
在此儀表板,你可以看到:
- 在工作環境中,哪台機器有最多失敗的規則
- 哪個規則失敗最多次
- 哪些機器因為作業系統不相容或是其他故障導致沒有被評估
查詢安全性基準的結果
所有結果都以以下兩種形式被存在 OMS:
- SecurityBaseline
每個記錄都代表了一台電腦上的一個基準規則評估,並包括了規則上的所有資料、預期結果、和實際結果。
- SecurityBaselineSummary
每個記錄都代表了一台電腦上的一個基準規則評估,並包括了結果的摘要。SecurityBaselineSummary 記錄可透過 AssessmentId 屬性來與多個 SecurityBaseline 記錄相關聯。
您可以利用這些紀錄來建立自己的儀表板、報表、或提醒。您還可以將它與電腦群組結合來依照您組織的邏輯做過濾。
以下是如何搜尋基準數據的兩個範例:
- 顯示一台特定電腦隨著時間的所有結果:
Type=SecurityBaselineSummary Computer="sql-0.sp.contoso55.com" | select PercentageOfPassedRules
- 顯示對特定電腦群組的所有失敗的關鍵規則:
Type=SecurityBaseline RuleSeverity=Critical AnalyzeResult=Failed Computer IN $ComputerGroups[SQL_Servers]
下一步?
上述只是安全性基準的一個開端,未來將會有更多的擴展。包含下列幾項:
- 對基準規則提供更多的描述
- 增加能夠忽略特定規則的功能
- 創造自定義的規則
- Linux 版本