Microsoft Security Compliance Toolkit — как использовать

Что такое набор средств обеспечения соответствия требованиям безопасности (SCT)?

Набор средств обеспечения соответствия требованиям безопасности — это набор средств, с помощью которого администраторы безопасности предприятия могут загружать, анализировать, тестировать, редактировать и сохранять базовые параметры безопасности, рекомендованные Майкрософт для использования в Windows и других продуктах Майкрософт.

SCT позволяет администраторам эффективно управлять объектами групповая политика (GPO) своего предприятия. С помощью данного набора средств администраторы могут сравнивать текущие параметры объектов групповой политики с рекомендуемыми Майкрософт базовыми параметрами объектов групповой политики и другими базовыми параметрами, редактировать их, сохранять в формате файлов резервных копий объектов групповой политики и применять их для большого количество пользователей через Active Directory или для отдельных пользователей с помощью локальной политики.

Набор средств обеспечения соответствия требованиям безопасности состоит из следующих компонентов:

  • Windows 11 базовые показатели безопасности
    • Windows 11, версия 24H2
    • Windows 11 версии 23H2
    • Windows 11 версии 22H2
    • Windows 11 версии 21H2
  • Базовые параметры безопасности Windows 10
    • Windows 10 версии 22H2
    • Windows 10 версии 21H2
    • Windows 10 версии 20H2
    • Windows 10 версии 1809
    • Windows 10, версия 1607
    • Windows 10, версия 1507
  • Базовые параметры безопасности Windows Server
    • Windows Server 2022
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 R2
  • Базовые показатели безопасности Microsoft Office
    • Office 2016
    • Приложения Microsoft 365 для Enterprise версии 2206
  • Базовые показатели безопасности Microsoft Edge
    • Microsoft Edge версии 128
  • Средства
    • Анализатор политик
    • Локальный объект групповая политика (LGPO)
    • Настройка безопасности объектов
    • Объект групповой политики для правил политики

Вы можете скачать средства вместе с базовыми параметрами для соответствующих версий Windows. Дополнительные сведения о рекомендациях по базовым показателям безопасности см. в блоге Руководство по безопасности Майкрософт.

Что такое анализатор политики?

Анализатор политики — это служебная программа для анализа и сравнения наборов объектов групповой политики (GPO). Основные возможности:

  • Определение наборов групповых политик с избыточными параметрами или внутренними несоответствиями
  • Определение различий между версиями или наборами групповых политик
  • Сравнение объектов групповой политики с текущей локальной политикой и параметрами локального реестра
  • Экспорт результатов в виде электронной таблицы Microsoft Excel

Анализатор политик позволяет обрабатывать набор объектов групповой политики как единое целое. Эта процедура позволяет легко определить, дублируются ли определенные параметры в объектах групповой политики или для них заданы конфликтующие значения. Анализатор политик также позволяет записать базовый параметр и сравнить его с моментальным снимком, полученным позднее, для выявления изменений в любом месте набора.

Дополнительные сведения о средстве анализатора политик можно найти в блоге Руководство по безопасности Майкрософт или путем скачивания средства.

Что такое средство объектов локальной групповой политики (LGPO)?

LGPO.exe— это служебная программа командной строки, предназначенная для автоматизации управления локальными групповая политика. С помощью локальной политики администраторы могут с легкостью проверить действие параметров групповой политики, а также управлять системами, не присоединенными к домену. LGPO.exe может импортировать и применять параметры из файлов политики реестра (Registry.pol), шаблонов безопасности, файлов резервных копий расширенного аудита и из форматированных текстовых файлов LGPO. Эта служебная программа может экспортировать локальную политику в резервную копию объекта групповой политики. Он может экспортировать содержимое файла политики реестра в формат "текст LGPO", который затем можно изменить, и создать файл политики реестра из текстового файла LGPO.

Документацию по средству LGPO можно найти в блоге Руководства по безопасности Майкрософт или путем скачивания средства.

Что такое средство "Задать безопасность объектов"?

SetObjectSecurity.exe позволяет задать дескриптор безопасности для любого типа защищаемого объекта Windows, например файлов, каталогов, разделов реестра, журналов событий, служб и общих папок SMB. Для объектов файловой системы и реестра можно выбрать, следует ли применять правила наследования. Вы также можете вывести дескриптор безопасности в совместимое с файлом .reg представление дескриптора безопасности для REG_BINARY значения реестра.

Документацию по средству Set Object Security можно найти в блоге Базовые показатели безопасности (Майкрософт) или скачайте это средство.

Что такое средство GPO для правил политики?

Автоматизируйте преобразование резервных копий объектов групповой политики в файлы анализатора .PolicyRules политик и пропустите графический интерфейс. GPO2PolicyRules — это средство командной строки, которое входит в состав загрузки анализатора политик.

Документацию по средству GPO to PolicyRules можно найти в блоге Базовые показатели безопасности (Майкрософт) или скачайте это средство.