Microsoft Security Compliance Toolkit 1.0 – Nutzung

Was ist das Security Compliance Toolkit (SCT)?

Das Security Compliance Toolkit (SCT) ist eine Reihe von Tools, mit der Sicherheitsadministratoren von Microsoft empfohlenen Konfigurations-Sicherheitsgrundwerte für Windows und andere Microsoft-Produkte herunterladen, analysieren, testen, bearbeiten und Speichern können.

Das SCT ermöglicht kann Administratoren das Verwalten der Gruppenrichtlinienobjekte (GPOs). Mit dem Toolkit können Administratoren ihre aktuellen Gruppenrichtlinienobjekte mit den von Microsoft empfohlenen Gruppenrichtlinienobjekt-Konfigurationsbasislinien oder andere Konfigurationsbasislinien vergleichen, diese bearbeiten, im Gruppenrichtlinienobjekt-Sicherungsdatei-Format speichern und umfassend über Active Directory oder einzeln über eine lokale Richtlinie anwenden.

Das Security Compliance Toolkit besteht aus:

  • Windows 10-Sicherheitsgrundwerte

    • Windows 10, Version 21H1 (Update vom Mai 2021)
    • Windows 10, Version 20H2 (Update vom Oktober 2020)
    • Windows 10, Version 2004 (Update vom Mai 2020)
    • Windows 10, Version 1909 (November 2019 Update)
    • Windows 10, Version 1809 (Update vom Oktober 2018)
    • Windows 10, Version 1607 (Anniversary Update)
    • Windows 10, Version 1507
  • Sicherheitsgrundwerte für Windows Server

    • Windows Server 2022
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 R2
  • Microsoft Office Sicherheitsgrundwerte

    • Microsoft 365 Apps for Enterprise, Version 2104
  • Microsoft Edge Sicherheitsgrundwerte

    • Version 93
  • Sicherheitsgrundwerte für Windows Update

    • Windows 10 20H2 und darunter (Update vom Oktober 2020)
  • Tools

    • Policy Analyzer-Tool
    • Lokales Gruppenrichtlinienobjekt-Tool
    • Set Object Security-Tool
    • GPO zu PolicyRules-Tool
  • Skripts

    • Baseline-ADImport.ps1
    • Baseline-LocalInstall.ps1
    • Remove-EPBaselineSettings.ps1
    • MapGuidsToGpoNames.ps1

Sie können die Tools zusammen mit den Basislinien für die entsprechenden Windows-Versionen herunterladen. Weitere Informationen zu Empfehlungen zu Sicherheitsgrundwerten finden Sie im Microsoft Security Baselines-Blog.

Was ist das Policy Analyzer-Tool?

Der Policy Analyzer ist ein Dienstprogramm zum Analysieren und vergleichen Sätze von Gruppenrichtlinienobjekten (GPOs). Einige Features sind:

  • Markieren Sie einen Satz von Gruppenrichtlinien mit redundante Einstellungen oder interne Inkonsistenzen
  • Markieren Sie die Unterschiede zwischen Versionen oder Sätze von Gruppenrichtlinien
  • Vergleichen Sie Sie GPOs mit aktuellen lokale Richtlinien und Einstellungen der lokalen Registrierung
  • Exportieren Sie Ergebnisse als Microsoft Excel-Arbeitsblatt

Mit dem Policy Analyzer können Sie eine Gruppe von Gruppenrichtlinienobjekten als einzelne Einheit behandeln. Dies erleichtert das bestimmen, ob bestimmte Einstellungen über GPOs dupliziert werden oder in Konflikt stehenden Werte festgelegt sind. Mit dem Policy Analyzer können Sie die Erfassung einer Basislinie, und vergleichen sie dann mit einem Snapshot zu einem späteren Zeitpunkt Änderungen an einer beliebigen Stelle über eine Gruppe zu identifizieren.

Weitere Informationen zum Policy Analyzer-Tool finden Sie im Microsoft Security Baselines-Blog oder durch Herunterladen des Tools.

Was ist das Local Group Policy Object (LGPO) Tool?

LGPO.exe ist ein Befehlszeilendienstprogramm, das zum Automatisieren der Verwaltung von lokalen Gruppenrichtlinien entwickelt wurde. Lokale Richtlinien ermöglichen Administratoren eine einfache Möglichkeit, die Auswirkungen der Gruppenrichtlinie zu überprüfen und eignet sich ebenfalls für die Verwaltung von Systemen, die keiner Domäne angehören. LGPO.exe kann Einstellungen aus Registrierungsrichtliniendateien (Registry.pol), Sicherheitsvorlagen, Sicherungsdateien für die erweiterte Überwachung sowie formatierte lokale Gruppenrichtlinienobjekt-Textdateien importieren diese anwenden. Es kann ebenfalls lokale Richtlinie in eine Gruppenrichtlinienobjekt-Sicherungsdatei exportieren. Es kann Inhalte einer Registrierungsrichtliniendatei in ein Gruppenrichtlinienobjekt Textdateiformat exportieren, was dann bearbeitet werden kann und eine Registrierungsrichtliniendatei aus einer Gruppenrichtlinienobjekt Textdateiformat erstellen.

Die Dokumentation für das LGPO-Tool finden Sie im Microsoft Security Baselines-Blog oder durch Herunterladen des Tools.

Was ist das Set Object Security-Tool?

SetObjectSecurity.exe können Sie den Sicherheitsdeskriptor für ungefähr jede Art von Windows sicherungsfähigen Objekts festlegen (Dateien, Verzeichnisse, Registrierungsschlüssel, Ereignisprotokolle, Dienste, SMB-Freigaben usw.). Für Dateisystem- und Registrierungsobjekte können Sie auswählen, ob Vererbungsregeln angewendet werden sollen. Sie können den Sicherheitsdeskriptor auch in einer reg-dateikompatiblen Darstellung der Sicherheitsbeschreibung für einen REG_BINARY Registrierungswert ausgeben.

Die Dokumentation für das Set Object Security-Tool finden Sie im Microsoft Security Baselines-Blog oder durch Herunterladen des Tools.

Was ist das GPO-zu-Richtlinien-Regeltool?

Automatisieren Sie die Konvertierung von GPO-Sicherungen in Policy Analyzer. PolicyRules-Dateien und Überspringen der GUI. GPO2PolicyRules ist ein Befehlszeilentool, das im Policy Analyzer-Download enthalten ist.

Die Dokumentation für das GPO zu PolicyRules-Tool finden Sie im Microsoft Security Baselines-Blog oder durch Herunterladen des Tools.