Microsoft heeft de Common Configuration Identifiers en Baseline Rules bijgewerkt en vrijgegeven. De identifiers van deze versie 4 vormen de input voor de basisregels die zich in het Azure Security Center bevinden. In deze blogpost leg ik uit hoe je in Windows Server 2016 geheel compliant wordt met de vierde versie van de Azure Security Center Baseline Rules.
Azure Security Center Common Configuration Identifiers & Baseline rules v4
De grootste aanpassing in deze versie, vormt de lijst met regels voor Windows server 2016. In versie 3 waren deze nog niet in de lijst opgenomen. Vanaf nu kan iedereen de nieuwe basisregels downloaden en zien. De baselines met betrekking tot een op Azure Security Center aangesloten Virtual Machine, worden gecheckt door Microsoft.
NOT_ASSIGNED
De basisregels die binnen Azure Security Center worden gecontroleerd, krijgen allemaal een CCEID. Bij het openen van deze nieuwe, vierde versie zie je echter regels die géén CCEID hebben. Deze regels dragen het predicaat ‘NOT_ASSIGNED’. In de 131 regels die in de lijst voor Windows Server 2016 opgenomen zijn, staan 19 NOT_ASSIGNED-regels. Ik interpreteerde deze regels als aanvullingen op de CCE-standaardregels die Microsoft als een leidraad meegeeft, om je omgeving nóg beter te beveiligen.
Implementeer Windows Server 2016 compliancy
In dit gedeelte zal ik beschrijven hoe je aan de nieuwe set van basisregels voor Windows Server 2016, versie 4 van Azure Security Center Common Configuration Identifiers en Baseline Rules, kunt voldoen.
Zoals hiervoor gezegd zijn er in de nieuwe versie van de ASE CCI maar liefst 131 regels die gecontroleerd worden op compliance. Daarom begon ik eerst met een schone installatie van een Windows Server 2016 image (van Azure Marketplace) en voegde deze installatie toe aan ASC.
Na de VM-implementatie (met bronimage / WindowsServer / 2016-Datacenter / 2016.127.20180220) zijn er 56 configuratie-items waar je je aandacht in eerste instantie op moet richten. Wanneer je de aanwijzingen opvolgt, kun je al compliant worden door op elke VM een GPO-setting uit te voeren.
Ik heb echter een GPO op een domeincontroller aangemaakt, zodat deze kan worden verdeeld over domein-verbonden VM’s, maar ook kan worden gedistribueerd over niet-domein-verbonden VM’s, namelijk met de tool ‘LGPO.exe’.
Om een Windows Server 2016 compliant te krijgen, zal het navolgende Powershell-script een aangepaste script-extensie installeren, die het powershell script dat in mijn downloadarchief staat uitvoert.
Conclusie
In deze blogpost heb ik kennis en uitleg gegeven over hoe je compliant wordt met de laatste Baseline Rules van Microsoft, die gebruikt worden in Azure Security Center. Deze handleiding maakt je voor 99% compliant. De regel met CCEID “CCE-37954-5” is een regel waarbij je het item ‘Toegang tot deze computer via het netwerk weigeren’ zelf moet configureren met betrekking tot de verwachte waarde (Value): “Guests, Local Account”. Zoals je kunt zien, zijn de verwachte waarden dan: ‘Guests’ en ‘Local Account’ (klinkt logisch).
De laatste verwachte waarde is de blokkering van inkomende verbindingen van het netwerk voor alle lokale accounts. Dit kán een logische instelling zijn op een domein-verbonden VM, maar dat is het zeker níét op een niet-domein-verbonden VM. Hierover heb ik Microsoft inmiddels van feedback voorzien.