Microsoft Security Compliance Toolkit 1.0 - Come usare

Che cos'è Security Compliance Toolkit (SCT)?

Security Compliance Toolkit (SCT) è un set di strumenti che consente agli amministratori della sicurezza dell'azienda di scaricare, analizzare, testare, modificare e memorizzare baseline di configurazione consigliate da Microsoft per Windows e altri prodotti Microsoft.

SCT consente agli amministratori di gestire in modo efficace gli oggetti Criteri di gruppo (GPO) dell'azienda. Grazie a questo toolkit, gli amministratori possono confrontare gli oggetti Criteri di gruppo attuali con le baseline di oggetti Criteri di gruppo consigliate da Microsoft o con altre baseline. Possono modificarli, memorizzarli nel formato di file di backup di oggetti Criteri di gruppo e applicarli diffusamente attraverso Active Directory o individualmente tramite i criteri locali.

Security Compliance Toolkit è costituito dagli elementi seguenti:

  • Windows 11 baseline di sicurezza

  • Elementi di base della sicurezza di Windows10

    • Windows 10 versione 21H2
    • Windows 10 versione 21H1
    • Windows 10 versione 20H2
    • Windows 10 versione 1809
    • Windows 10 versione 1607
    • Windows 10 versione 1507
  • Elementi di base della sicurezza di WindowsServer

    • Windows Server 2022
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 R2
  • baseline di sicurezza Microsoft Office

    • Office 2016
    • Microsoft 365 Apps per Enterprise versione 2206
  • baseline di sicurezza Microsoft Edge

    • Edge versione 98
  • Strumenti

    • Analizzatore criteri
    • Oggetto Criteri di gruppo locale (LGPO)
    • Impostare la sicurezza degli oggetti
    • Da oggetto Criteri di gruppo a regole dei criteri

Puoi scaricare gli strumenti insieme alle baseline per le versioni di Windows pertinenti. Per altre informazioni sulle raccomandazioni di base per la sicurezza, vedere il blog Microsoft Security Guidance.

Che cos'è lo strumento Policy Analyzer?

Policy Analyzer è un'utilità per l'analisi e la comparazione di set di oggetti Criteri di gruppo. Le funzionalità principali includono:

  • Segnalazione di eventuali impostazioni ridondanti o di incoerenze interne in un set di Criteri di gruppo
  • Segnalazione delle differenze tra versioni o set di Criteri di gruppo
  • Confronto di oggetti Criteri di gruppo rispetto alle impostazioni dei criteri locali e del Registro di sistema locale
  • Esportazione dei risultati in un foglio di calcolo di Microsoft Excel

Policy Analyzer consente di gestire un set di oggetti Criteri di gruppo come un'unica unità. Questo rende facile determinare la presenza di impostazioni specifiche duplicate tra oggetti Criteri di gruppo o di conflitti tra i valori delle impostazioni. Policy Analyzer consente inoltre di acquisire una baseline e di confrontarla con uno snapshot acquisito in un momento successivo per identificare le eventuali modifiche nel set.

Altre informazioni sullo strumento Analizzatore criteri sono disponibili nel blog di Microsoft Security Guidance o scaricando lo strumento.

Che cos'è lo strumento LGPO (Local Group Policy Object)?

LGPO.exe è un'utilità della riga di comando che è progettata per automatizzare la gestione dei criteri di gruppo locali. L'uso dei criteri locali offre agli amministratori un modo semplice per verificare gli effetti delle impostazioni di criteri di gruppo ed è utile anche per la gestione dei sistemi non appartenenti a un dominio. LGPO.exe può importare e applicare le impostazioni da file dei criteri del Registro di sistema (Registry.pol) , da file di modelli di sicurezza, da file di backup di modifica avanzata, oltre che da file "testo LGPO" formattati. Può esportare i criteri locali in un backup oggetto Criteri di gruppo. Può esportare il contenuto di un file di criteri del Registro di sistema nel formato "Testo LGPO" che può quindi essere modificato e può creare un file di criteri del Registro di sistema da un file di testo LGPO.

La documentazione per lo strumento LGPO è disponibile nel blog di Microsoft Security Guidance o scaricando lo strumento.

Che cos'è lo strumento Imposta sicurezza oggetti?

SetObjectSecurity.exe consente di impostare il descrittore di sicurezza per qualsiasi tipo di oggetto a protezione diretta Windows, ad esempio file, directory, chiavi del Registro di sistema, registri eventi, servizi e condivisioni SMB. Per gli oggetti del file system e del Registro di sistema, è possibile scegliere se applicare le regole di ereditarietà. È anche possibile scegliere di restituire il descrittore di sicurezza in una rappresentazione con estensione reg-file compatibile con il descrittore di sicurezza per un valore del Registro di sistema REG_BINARY.

La documentazione per lo strumento Imposta sicurezza oggetti è disponibile nel blog Microsoft Security Baselines o scaricando lo strumento.

Che cos'è lo strumento Criteri di gruppo per le regole dei criteri?

Automatizzare la conversione dei backup degli oggetti Criteri di gruppo in Policy Analyzer . PolicyRules file e ignorare la GUI. GPO2PolicyRules è uno strumento da riga di comando incluso nel download di Policy Analyzer.

La documentazione per lo strumento Da oggetto Criteri di gruppo a PolicyRules è disponibile nel blog Microsoft Security Baselines o scaricando lo strumento.