L'outil SCM de Microsoft

Date : 06 Juillet 2010

En avril 2010, Microsoft a publié la version 1.0 d'un nouvel outil de sécurité baptisé "Security Compliance Manager" (SCM).

L'objectif de cet outil est de faciliter la définition des "security baselines" de l'entreprise, c'est-à-dire de l'ensemble des règles de sécurité qui doivent être appliquées aux différentes plates-formes Windows de l'entreprise. Il aide donc à réaliser la première étape dans le processus de contrôle de la conformité sécurité des installations :

  • Etape 1 : définir le référentiel des règles de sécurité applicables.
  • Etape 2 : déployer les règles applicables sur les machines du périmètre.
  • Etape 3 : contrôler (à intervalle régulier) les machines du périmètre pour s'assurer de leur conformité.

 

Après avoir présenté plus en détail SCM, nous verrons comment Microsoft propose de réaliser les étapes 2 et 3. Nous parlerons également de l'outil GPOAccelerator qui disparait de l'offre Microsoft avec la sortie de SCM.

Nota : SCM est un outil gratuit qui est développé par Microsoft dans le cadre de son programme "Security Solution Accelerators" (SSA).

 

Présentation de SCM

SCM supporte actuellement les environnements suivants :

  • Windows 7
  • Windows Server 2008 SP2
  • Windows Server 2003 SP2
  • Windows Vista SP2
  • Windows XP Professional SP3
  • Internet Explorer 8
  • Office 2007 SP2

De plus, un mécanisme de mise à jour, intégré à l'outil, permet d'être informé lorsque des mises à jour sont faites par Microsoft.

Pour chacun de ses environnements, SCM a défini des "baselines" (des référentiels de sécurité) correspondant à différentes configurations types, par exemple :

  • Règles de sécurité pour les ordinateurs de bureaux
  • Règles de sécurité pour les ordinateurs portables
  • Etc...

Et SCM propose à l'utilisateur de personnaliser le paramétrage de chacune de ces "baselines".

 

Visuellement, SCM se présente comme une interface graphique qui permet d'explorer l'ensemble de ces "baselines" :

  • A gauche de l'écran, un volet d'exploration présente la liste des "baselines" connues de l'outil.
  • La partie centrale de l'écran liste les paramètres de sécurité disponibles pour la "baseline" qui a été sélectionnée dans le volet d'exploration.

Pour chacun des paramètres de la "baseline" l'outil indique :

  • La valeur par défaut, la valeur recommandée par les guides de sécurité de Microsoft et  la valeur choisie.
  • Une explication sur la signification du paramètre ainsi que sur les menaces et contre-mesures associées.

 

La documentation de référence (par exemple les Guides de sécurité de Microsoft) est également directement disponible depuis l'outil. On notera ici que lorsqu’on veut télécharger individuellement ces guides sur le site de Microsoft, une mention dans la page de téléchargement indique que désormais cette documentation fait partie de l'outil SCM. Microsoft met donc clairement en avant SCM comme étant l'outil de référence pour toutes les recommandations de sécurité.

 

En utilisant SCM, il est donc facilement possible de passer en revue l'ensemble des paramètres de sécurité disponibles sous Windows, et de choisir – en prenant en compte les recommandations de sécurité de Microsoft - le paramétrage le plus adapté à son propre environnement. A cette étape, il s'agit d'un travail documentaire : l'organisation crée au moyen de l'outil un référentiel listant les paramétrages de sécurité recommandés.

 

Les étapes qui suivent la définition du référentiel sécurité avec SCM

Une fois que l'entreprise a défini son référentiel de sécurité, plusieurs suites sont proposées par SCM :

  • Exporter les données au format DCM (Desired Configuration Management) pour les injecter ensuite dans l'outil de gestion de parc de Microsoft : SCCM 2007 (System Center Configuration Manager 2007, successeur de SMS 2003). Il est ensuite possible au moyen de SCCM de déployer sur l'ensemble du parc le paramétrage de sécurité défini, puis de vérifier à intervalle régulier la conformité du parc par rapport à cet état de référence.
  • Exporter les données au format GPO (Group Policy Object). En important ensuite ces GPO dans l'Active-Directory, il sera alors possible de déployer le paramétrage de sécurité défini sur les machines du parc.
  • Exporter les données au format EXCEL (EXCEL 2007 est nécessaire pour réaliser cette opération). Les fichiers EXCEL générés sont avant tout documentaires et ce format n'est pas directement utilisable par d'autres outils.
  • Exporter les données au format SCAP (Security Content Automation Protocol). SCAP est un format (basé sur XML) qui a été défini par le gouvernement américain (cf. l'article Standards pour la gestion des vulnérabilités publié en mars 2007 dans notre bulletin mensuel). Les données SCM exportées au format SCAP sont ensuite utilisables par les outils qui reconnaissent ce format.

SCM est accompagné d'un petit outil complémentaire baptisé "LocalGPO" qui permet d'appliquer le paramétrage défini au travers des "baselines" SCM sur l'ordinateur local : il modifie la politique de sécurité locale de l'ordinateur sur lequel il est exécuté.

 

SCM remplace GPOAccelerator et SCM Toolkit Series

SCM prend la suite d'autres outils Microsoft qui ne sont désormais plus disponibles :

  • GPOAccelerator était un outil (disponible depuis fin 2006) qui permettait de créer dans l'ActiveDirectory des objets GPO contenant l'ensemble des paramétrages de sécurité  recommandés par Microsoft dans ses guides de sécurité. La fonction "d'export GPO" de SCM rend un service équivalent.
  • Le SCM Toolkit Series. Ce Toolkit avait été lancé en février 2009. Il regroupait dans un fichier ZIP un ensemble d'éléments tels que : GPOAccelarator, les guides de sécurité Microsoft, et les fichiers de configuration DCM (pour utilisation avec SCCM 2007) et ".inf" (pour configurer une machine locale) permettant  de configurer une machine conformément aux guides de sécurité de Microsoft. L'outil SCM  améliore le service rendu jusqu'à présent par le "SCM Toolkit Series" en particulier parce qu'il permet de facilement définir son propre paramétrage de sécurité (plutôt que d'appliquer celui recommandé par Microsoft).

 

Conclusion

SCM offre avant tout l'intérêt de proposer un récapitulatif des paramètres de sécurité disponibles sur les différentes versions de Windows (de XP à Seven). C'est un outil intéressant pour étudier ce paramétrage et définir la configuration la plus appropriée à utiliser au sein d'une organisation. La possibilité de générer ensuite des GPO pour déployer ce paramétrage sur un parc machine au moyen de l'Active Directory, est un élément clé qui permet de transformer SCM d'un simple outil documentaire en un outil opérationnel de pilotage de la sécurité.

 

Pour plus d'information:

 

Précedent Précedent Suivant Suivant Imprimer Imprimer