Kit de ressources de conformité de la sécurité Microsoft 1.0

Qu'est-ce que le kit de ressources de conformité de la sécurité (SCT)?

Le kit de ressources de conformité de la sécurité (SCT) est un ensemble d’outils qui permet aux administrateurs de sécurité d'entreprise de télécharger, d'analyser, de tester, de modifier et de stocker des lignes de base de configuration de sécurité recommandées par Microsoft pour Windows et d’autres produits Microsoft.

Le SCT permet aux administrateurs de gérer efficacement les objets de stratégie de groupe (GPO) de leur entreprise. À l’aide du kit de ressources, les administrateurs peuvent comparer leurs objets de stratégie de groupe actuels avec les lignes de base de stratégie de groupe recommandées par Microsoft ou d’autres lignes de base, les modifier, les stocker dans un format de fichier de sauvegarde d'objet de stratégie de groupe et les appliquer à grande échelle via ActiveDirectory ou individuellement via la stratégie locale.

Le kit de ressources de conformité de la sécurité se compose des éléments suivants:

  • Bases de référence de sécurité de Windows10

    • Windows 10, version 21H1 (mise à jour de mai 2021)
    • Windows 10, version 20H2 (mise à jour d’octobre 2020)
    • Windows 10, version 2004 (mise à jour de mai 2020)
    • Windows 10, version 1909 (mise à jour de novembre 2019)
    • Windows 10, version 1809 (mise à jour d’octobre 2018)
    • Windows 10, version 1607 (mise à jour anniversaire)
    • Windows 10, version 1507
  • Bases de référence de sécurité de WindowsServer

    • Windows Server2019
    • Windows Server2016
    • WindowsServer2012R2
  • Microsoft Office sécurité de base

    • Applications Microsoft 365 pour les grandes entreprises, version 2104
  • Microsoft Edge sécurité de base

    • Version 88
  • Windows Mettre à jour la ligne de base de sécurité

    • Windows 10 20H2 et version inférieure (mise à jour d’octobre 2020)
  • Outils

    • Analyseur de stratégie
    • Outil d’objet de stratégie de groupe local (LGPO)
    • Outil Définir la sécurité des objets
    • Outil GPO vers PolicyRules
  • Scripts

    • Baseline-ADImport.ps1
    • Baseline-LocalInstall.ps1
    • Remove-EPBaselineSettings.ps1
    • MapGuidsToGpoNames.ps1

Vous pouvez télécharger les outils ainsi que les lignes de base pour les versions de Windows pertinentes. Pour plus d’informations sur les recommandations de base de sécurité, consultez le blog Microsoft Security Baselines.

Qu’est-ce que l'analyseur de stratégie?

L’analyseur de stratégie est un utilitaire permettant d’analyser et de comparer des ensembles d’objets de stratégie de groupe (GPO). Ses fonctionnalités principales consistent notamment:

  • à mettre en évidence un ensemble de stratégies de groupe avec des paramètres redondants ou des incohérences internes;
  • à mettre en évidence les différences entre les versions ou les ensembles de stratégies de groupe;
  • à comparer les GPO par rapport à la stratégie locale actuelle et aux paramètres de registre local;
  • à exporter les résultats dans une feuille de calcul MicrosoftExcel.

L'analyseur de stratégie vous permet de traiter un ensemble d’objets de stratégie de groupe comme une seule unité. Il est alors aisé de déterminer si certains paramètres sont dupliqués parmi les objets de stratégie de groupe ou sont définis sur des valeurs en conflit. L'analyseur de stratégie vous permet également de capturer une ligne de base, puis de la comparer à une capture instantanée prise à un moment ultérieur pour identifier les modifications au sein de l'ensemble.

Pour plus d’informations sur l’outil Analyseur de stratégie, voir le blog Microsoft Security Baselines ou en téléchargeant l’outil.

Qu'est-ce que l'objet de stratégie de groupe local (LGPO)?

LGPO.exe est un utilitaire de ligne de commande conçu pour aider à automatiser la gestion de stratégie de groupe locale. L’utilisation de la stratégie locale donne aux administrateurs un moyen simple de vérifier les effets des paramètres de stratégie de groupe et est également utile pour la gestion des systèmes non joints à des domaine. LGPO.exe permet d’importer et d’appliquer des paramètres à partir de fichiers de stratégie de registre (Registry.pol), de modèles de sécurité, de fichiers de sauvegarde d’audit avancé, ainsi que de fichiers «texte LGPO» mis en forme. Il permet d’exporter la stratégie locale vers une sauvegarde d’objet stratégie de groupe. Il est capable d'exporter le contenu d’un fichier de stratégie de registre au format «texte LGPO» qui peut ensuite être modifié, et peut créer un fichier de stratégie de registre à partir d’un fichier texte LGPO.

La documentation relative à l’outil LGPO est disponible sur le blog Lignes de base de sécurité Microsoft ou en téléchargeant l’outil.

Qu’est-ce que l’outil Set Object Security ?

SetObjectSecurity.exe vous permet de définir le descripteur de sécurité pour n’importe quel type d’objet sécurisable Windows (fichiers, répertoires, clés de Registre, journaux des événements, services, partages SMB, etc.). Pour les objets du système de fichiers et du Registre, vous pouvez choisir d’appliquer ou non des règles d’héritage. Vous pouvez également choisir d’obtenir le descripteur de sécurité dans une représentation .reg-file-compatible du descripteur de sécurité pour une valeur REG_BINARY registre.

La documentation relative à l’outil Définir la sécurité des objets est disponible sur le blog Microsoft Security Baselines ou en téléchargeant l’outil.

Qu’est-ce que l’outil GPO vers les règles de stratégie ?

Automatisez la conversion des sauvegardes d’objet de stratégie de groupe en Analyseur de stratégie. Fichiers PolicyRules et ignorer l’interface graphique graphique. GPO2PolicyRules est un outil en ligne de commande inclus dans le téléchargement de l’Analyseur de stratégie.

La documentation relative à l’outil GPO vers PolicyRules est disponible sur le blog Lignes de base de sécurité Microsoft ou en téléchargeant l’outil.