SCCM

Erstellen einer SCCM Baseline mit Microsoft Security Compliance Manager und Configuration Packs

Erstellen einer SCCM Baseline mit Microsoft Security Compliance Manager und Configuration Packs

In diesem Beitrag erkläre ich wie man mit Hilfe der Komponenten Security Compliance Manager, System Center Configuration Packs und System Center Configuration Manager 2012 R2 (SCCM) Baselines erstellt und damit Microsoft Best Practices Richtlinien überprüfen kann.

Richtlinien sind in diesem Fall nicht das was man allgemein als Richtlinien (Gruppenrichtlinien) versteht, da sie keine Einstellungen ändern. Sie überprüfen Systeme lediglich auf die von Microsoft empfohlene Konfigurationseinstellungen (Best Practises) und ändern diese nicht!

Man kann mit diesen Einstellungen Server, Client Systeme und Applikationseinstellung überprüfen. Die Überprüfung beinhaltet z.B. die Startart von Diensten, Konfigurationseinstellungen, Sicherheitseinstellungen und Gruppenrichtlinieneinstellungen. Dabei wird zwischen den Kategorien Optional, Warnung und Kritisch unterschieden, je nachdem wie die Gewichtung der Einstellung ist.

Voraussetzung dafür ist die Installation des Microsoft Security Compliance Manager (SCM) oder der System Center Configuration Packs für die jeweiligen zu überwachenden Applikationen.

Security Compliance Manager in der aktuellen Version 3.0 ist eine Sammlung von Best Practices Richtlinien für verschiedene System und Applikationen. Über diese einheitliche Oberfläche kann man die einzelnen Komponenten zentral verwalten. Microsoft verwendet den Ausdruck „Baselines“ für die Best Practice Richtlinien. An diese Namenskonvention werde ich mich in diesem Artikel ebenfalls halten.

Der Security Compliance Manager sieht nach der Installation und Einrichtung folgendermaßen aus:

SCM

In der Basis Installation stehen bereits viele Baselines zur Verfügung:

Baselines

Neben einer Update Funktion um zu überprüfen, ob neue Baselines zur Verfügung stehen, bietet das Tool auch noch weitere Möglichkeiten:

Funktionen

Baselines können importiert, exportiert oder kopiert und danach bearbeitet werden. Standardmässig sind diese nicht editierbar. Erst eine Kopie der Original Baseline kann man bearbeiten und dann ebenfalls z.B. exportieren und in SCCM zu Compliance Check Zwecken zu verwenden.

In diesem Beispiel erkläre ich die Verwendung des Paketes „Microsoft System Center Configuration Pack for Microsoft SQL Server 2008 R2“ das nicht als Basispaket im SCM integriert ist. Ich empfehle für jede Baseline immer zuerst die Dokumentation zu lesen um die Voraussetzungen für die Installation und den Einsatz zu kennen.

Das Configuration Pack kann auf der Microsoft Webseite heruntergeladen werden. Nach der Installation stehen im Ordner „C:\Program Files (x86)\Microsoft SQL Server 2008 R2 BPA Configuration Pack“ folgende Dateien zur Verfügung:

Files

Um die Baseline erfolgreich in SCCM zu importieren muss eine .cab Datei verfügbar sein. Diese wird auch erstellt wenn man die „Export“ Funktion des „Microsoft Security Compliance Manager 3.0“ benutzt.

Für jedes SQL 2008 R2 System, das später mit SCCM zu Compliance Zwecken überprüft werden soll, muss mit der Datei „SystemCenterConfigurationManagerBPAExtension.msi“ ein Paket erstellt und auf den betreffenden Systemen installiert werden. Am besten erstellt man dafür eine Collection, da diese später ebenfalls benötigt wird, um die Baseline auf den Zielsystemen zu verteilen.

Ist dieses Paket auf den Zielsystemen nicht vorhanden, so kommt es später in dem Report zu Fehlermeldungen die darauf hinweisen das Files oder ein Assembly nicht verfügbar sind!

 

Zum Erstellen der Baseline auf dem SCCM System muss in unserem speziellen Fall die Datei „MicrosoftSQLServer2008R2BPAConfigurationPack.cab“ importiert und die Baseline anschliessend verteilt werden. Dazu sind folgende Schritte nötig:

  1. Import des Configuration Packs mittels der „Import Configuration Data“ Funktion in den SCCM Baselines:

BL1

Durch Klicken auf den “Add” Button und Auswahl der Datei „MicrosoftSQLServer2008R2BPAConfigurationPack.cab“ steht dieses danach in der Import Maske zur Verfügung:

BL2

  1. Bevor man das Paket importiert, wird es in der Übersicht dargestellt. Hier wird auch angezeigt welche Baseline und Configuration Items importiert werden:

BL3

  1. Nach Klicken auf „Next“ startet der Import. Als Resultat werden die Configuration Items und die Baseline automatisch erstellt. Das Ergebnis wird nochmal dargestellt:

BL4

Sowohl die Baseline als auch die Configuration Items sind jetzt in SCCM importiert und können auf die SQL Server verteilt werden.

 

Das Verteilen der Baseline funktioniert mit Hilfe der „Deploy“ Funktion. Voraussetzung für das erfolgreiche Verteilen ist eine existierende Collection die man am besten mit Hilfe einer Abfrage erstellt. Die Abfrage sollte als Ergebnis alle Server anzeigen auf denen die SQL Version 2008 R2 installiert ist.

1. Um die Baseline zu verteilen benutzt man die Option „Deploy“ nachdem man einen Rechtsklick auf die Baseline gemacht oder den Ribbon „Deploy“ benutzt.

Deploy1

  1. Im nächsten Schritt wählt man eine Collection aus und definiert einen Schedule, also die Wiederholungshäufigkeit wie oft die Systeme auf Compliance überprüft werden.

Deploy2

Damit ist die Baseline verteilt und die Zielsysteme werden auf „Compliance“ oder Best Practice Richtlinien überprüft. Es kann eine gewisse Zeit dauern bis die Konfiguration auf dem System angezeigt wird. Das liegt daran, dass die Richtlinie über die Maschine Police von SCCM verteilt wird.

 

Den Report und die Compliance Übersicht der einzelnen Systeme kann man sich sowohl auf dem Client, als auch in der SCCM Konsole als Report und Status Übersicht anzeigen lassen.

Auf den entsprechenden Systemen kann man sich den Report in den Eigenschaften des Configuration Manager Clients in der Systemsteuerung anzeigen lassen.

In dem Reiter „Configuration“ kann man durch Auswählen der entsprechenden Baseline und Klicken auf den Button „View Report“ den Report im Browser als XML Datei öffnen.

Client1

In der SCCM Konsole kann man durch Rechtsklick auf das Deployment der Baseline und selektieren des Punktes View Status ebenfalls eine Übersicht über den Status der Systeme bekommen.

Zuletzt bietet SCCM mittels der Reporting Funktion eine weitere Möglichkeit sich Auswertungen und granulare Reports anzeigen zu lassen.

 

Mit der Kombination dieser Tools ist es also sehr einfach die Compliance einer Umgebung granular zu überprüfen und herzustellen.

Durch die vielen Möglichkeiten die Baselines in SCM zu bearbeiten ist es sehr einfach benutzerdefinierte Baselines zu erstellen und in SCCM einzubinden. Weiterhin kann man durch die automatische Reportfunktion schnell feststellen ob es zu Änderungen an den Systemen kam und darauf reagieren um eine konforme Umgebung wiederherzustellen und zu betreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.