Azure Security Center basisregels versie 4: get compliant
John de Jager

Microsoft heeft de Common Configuration Identifiers en Baseline Rules bijgewerkt en vrijgegeven. De identifiers van deze versie 4 vormen de input voor de basisregels die zich in het Azure Security Center bevinden. Die basisregels zijn hier te vinden. In deze blogpost leg ik uit hoe je in Windows Server 2016 geheel compliant wordt met de vierde versie van de Azure Security Center Baseline Rules.

Azure Security Center Common Configuration Identifiers & Baseline rules v4

De grootste aanpassing in deze versie, vormt de lijst met regels voor Windows server 2016. In versie 3 waren deze nog niet in de lijst opgenomen. Vanaf nu kan iedereen de nieuwe basisregels downloaden en zien. De baselines met betrekking tot een op Azure Security Center aangesloten Virtual Machine, worden gecheckt door Microsoft.

InSpark blog John de Jager Azure Security Center

NOT_ASSIGNED

De basisregels die binnen Azure Security Center worden gecontroleerd, krijgen allemaal een CCEID. Bij het openen van deze nieuwe, vierde versie zie je echter regels die géén CCEID hebben. Deze regels dragen het predicaat ‘NOT_ASSIGNED’. In de 131 regels die in de lijst voor Windows Server 2016 opgenomen zijn, staan 19 NOT_ASSIGNED-regels. Ik interpreteerde deze regels als aanvullingen op de CCE-standaardregels die Microsoft als een leidraad meegeeft, om je omgeving nóg beter te beveiligen.

InSpark blog John de Jager Azure Security Center afb 2

Implementeer Windows Server 2016 compliancy

In dit gedeelte zal ik beschrijven hoe je aan de nieuwe set van basisregels voor Windows Server 2016, versie 4 van Azure Security Center Common Configuration Identifiers en Baseline Rules, kunt voldoen.

Zoals hiervoor gezegd zijn er in de nieuwe versie van de ASE CCI maar liefst 131 regels die gecontroleerd worden op compliance. Daarom begon ik eerst met een schone installatie van een Windows Server 2016 image (van Azure Marketplace) en voegde deze installatie toe aan ASC.

Na de VM-implementatie (met bronimage / WindowsServer / 2016-Datacenter / 2016.127.20180220) zijn er 56 configuratie-items waar je je aandacht in eerste instantie op moet richten. Wanneer je de aanwijzingen opvolgt, kun je al compliant worden door op elke VM een GPO-setting uit te voeren.

Ik heb echter een GPO op een domeincontroller aangemaakt, zodat deze kan worden verdeeld over domein-verbonden VM’s, maar ook kan worden gedistribueerd over niet-domein-verbonden VM’s, namelijk met de tool ‘LGPO.exe’.

Om een Windows Server 2016 compliant te krijgen, zal het navolgende Powershell-script een aangepaste script-extensie installeren, die het powershell script dat in mijn downloadarchief staat uitvoert.
InSpark blog John de Jager Azure Security Center afb 4

Conclusie

In deze blogpost heb ik kennis en uitleg gegeven over hoe je compliant kunt worden met de laatste Baseline Rules van Microsoft, die gebruikt worden in Azure Security Center. Deze handleiding maakt je voor 99% compliant. De regel met CCEID “CCE-37954-5” is een regel waarbij je het item ‘Toegang tot deze computer via het netwerk weigeren’ zelf moet configureren met betrekking tot de verwachte waarde (Value): “Guests, Local Account”. Zoals je kunt zien, zijn de verwachte waarden dan: ‘Guests’ en ‘Local Account’ (klinkt logisch).

De laatste verwachte waarde is de blokkering van inkomende verbindingen van het netwerk voor alle lokale accounts. Dit kán een logische instelling zijn op een domein-verbonden VM, maar dat is het zeker níét op een niet-domein-verbonden VM. Hierover heb ik Microsoft inmiddels van feedback voorzien.

SHARE
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!