Microsoft Security Compliance Toolkit 1.0 - Utilisation

Qu'est-ce que le kit de ressources de conformité de la sécurité (SCT)?

Le kit de ressources de conformité de la sécurité (SCT) est un ensemble d’outils qui permet aux administrateurs de sécurité d'entreprise de télécharger, d'analyser, de tester, de modifier et de stocker des lignes de base de configuration de sécurité recommandées par Microsoft pour Windows et d’autres produits Microsoft.

Le SCT permet aux administrateurs de gérer efficacement les objets de stratégie de groupe (GPO) de leur entreprise. À l’aide du kit de ressources, les administrateurs peuvent comparer leurs objets de stratégie de groupe actuels avec les lignes de base de stratégie de groupe recommandées par Microsoft ou d’autres lignes de base, les modifier, les stocker dans un format de fichier de sauvegarde d'objet de stratégie de groupe et les appliquer à grande échelle via ActiveDirectory ou individuellement via la stratégie locale.

Le kit de ressources de conformité de la sécurité se compose des éléments suivants:

  • base de référence de sécurité Windows 11

  • Bases de référence de sécurité de Windows10

    • Windows 10 version 21H2
    • Windows 10 version 21H1
    • Windows 10 version 20H2
    • Windows 10 version 1809
    • Windows 10 version 1607
    • Windows10version1507
  • Bases de référence de sécurité de WindowsServer

    • WindowsServer2022
    • Windows Server 2019
    • Windows Server 2016
    • WindowsServer2012R2
  • base de référence de sécurité Microsoft Office

    • Office2016
    • Microsoft 365 Apps pour Enterprise version 2206
  • base de référence de sécurité Microsoft Edge

    • Edge version 98
  • Outils

    • Analyseur de stratégie
    • Local stratégie de groupe Object (LGPO)
    • Définir la sécurité des objets
    • Règles de stratégie de stratégie d’objet de stratégie de groupe

Vous pouvez télécharger les outils ainsi que les lignes de base pour les versions de Windows pertinentes. Pour plus d’informations sur les recommandations de base de référence de sécurité, consultez le blog Microsoft Security Guidance.

Qu’est-ce que l'analyseur de stratégie?

L’analyseur de stratégie est un utilitaire permettant d’analyser et de comparer des ensembles d’objets de stratégie de groupe (GPO). Ses fonctionnalités principales consistent notamment:

  • à mettre en évidence un ensemble de stratégies de groupe avec des paramètres redondants ou des incohérences internes;
  • à mettre en évidence les différences entre les versions ou les ensembles de stratégies de groupe;
  • à comparer les GPO par rapport à la stratégie locale actuelle et aux paramètres de registre local;
  • à exporter les résultats dans une feuille de calcul MicrosoftExcel.

L'analyseur de stratégie vous permet de traiter un ensemble d’objets de stratégie de groupe comme une seule unité. Il est alors aisé de déterminer si certains paramètres sont dupliqués parmi les objets de stratégie de groupe ou sont définis sur des valeurs en conflit. L'analyseur de stratégie vous permet également de capturer une ligne de base, puis de la comparer à une capture instantanée prise à un moment ultérieur pour identifier les modifications au sein de l'ensemble.

Pour plus d’informations sur l’outil Analyseur de stratégie, consultez le blog Microsoft Security Guidance ou téléchargez l’outil.

Qu'est-ce que l'objet de stratégie de groupe local (LGPO)?

LGPO.exe est un utilitaire de ligne de commande conçu pour aider à automatiser la gestion de stratégie de groupe locale. L’utilisation de la stratégie locale donne aux administrateurs un moyen simple de vérifier les effets des paramètres de stratégie de groupe et est également utile pour la gestion des systèmes non joints à des domaine. LGPO.exe permet d’importer et d’appliquer des paramètres à partir de fichiers de stratégie de registre (Registry.pol), de modèles de sécurité, de fichiers de sauvegarde d’audit avancé, ainsi que de fichiers «texte LGPO» mis en forme. Il permet d’exporter la stratégie locale vers une sauvegarde d’objet stratégie de groupe. Il est capable d'exporter le contenu d’un fichier de stratégie de registre au format «texte LGPO» qui peut ensuite être modifié, et peut créer un fichier de stratégie de registre à partir d’un fichier texte LGPO.

Vous trouverez de la documentation sur l’outil LGPO sur le blog Microsoft Security Guidance ou en téléchargeant l’outil.

Qu’est-ce que l’outil Set Object Security ?

SetObjectSecurity.exe vous permet de définir le descripteur de sécurité pour n’importe quel type d’objet sécurisable Windows, tel que les fichiers, les répertoires, les clés de Registre, les journaux des événements, les services et les partages SMB. Pour le système de fichiers et les objets de Registre, vous pouvez choisir d’appliquer des règles d’héritage. Vous pouvez également choisir de générer le descripteur de sécurité dans une représentation compatible avec le fichier .reg du descripteur de sécurité pour une valeur de Registre REG_BINARY.

Vous trouverez de la documentation sur l’outil Définir la sécurité des objets sur le blog Bases de référence de sécurité Microsoft ou en téléchargeant l’outil.

Qu’est-ce que l’outil GPO to Policy Rules ?

Automatiser la conversion des sauvegardes d’objets de stratégie de groupe en Analyseur de stratégie. PolicyRules fichiers et ignorer l’interface graphique utilisateur. GPO2PolicyRules est un outil en ligne de commande inclus dans le téléchargement de Policy Analyzer.

Vous trouverez de la documentation sur l’outil GPO to PolicyRules sur le blog Microsoft Security Baselines ou en téléchargeant l’outil.