司开星的博客

Microsoft Security Compliance Toolkit 入门

因工作需要最近调研了Microsoft Security Compliance Toolkit 和Inspect Chef两款支持Windows的安全基线扫描工具。本文记录一下Microsoft Security Compliance Toolkit的一些基础知识。

简介

Security Compliance Toolkit (SCT) 是一组用于检查Windows系统组策略配置是否符合安全要求,并支持导入导出组策略的工具集。此处的符合安全要求的组策略配置被称为Windows系统的安全基线。

Microsoft Baseline Security Analyzer 2.1.1 (MBSA)的区别

MBSA支持如下系统:

Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista, Windows XP, Windows XP Embedded

SCT支持如下系统:

Windows 10, Windows 7, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019

即MBSA支持Windows7、Windows Server 2008 R2及之前的老系统,SCT支持Windows 7、Windows Server 2008及之后的新系统。

下载

https://www.microsoft.com/en-us/download/details.aspx?id=55319

除了策略分析器工具(PolicyAnalyzer)和本地组策略对象工具(LGPO)外,其他策略包可按需下载。

用法

策略分析器工具

官方说明:

策略分析器是一款用于分析和比较组策略对象 (GPO) 集的实用程序。 它的主要功能包括:

  • 当一组组策略具有冗余设置或内部不一致时突出显示
  • 突出显示版本或组策略集之间的差异
  • 将 GPO 与当前的本地策略和本地注册表设置比较
  • 将结果导出为 Microsoft Excel 电子表格

借助策略分析器,你可以将一组 GPO 作为单个单元处理。 这使得可以轻松确定是否要在 GPO 中复制特定设置或者设为冲突值。 借助策略分析器,你还可以捕获基线,然后将其与后续时间拍摄的快照进行对比,以识别集合中任何位置的更改。

它是一款用于对比不同安全基线之间以及与本地组策略差别的工具,要确定本地的组策略是否符合某组安全基线就用这个。

详细文档可以参考PolicyAnalyzer.zip解压目录下Policy Analyzer.pdf。

本地组策略对象工具

官方说明:

LGPO.exe 是旨在帮助自动化管理本地群组策略的命令行实用工具。 使用本地策略为管理员提供了一种简单的方法来验证群组策略设置的效果,并且对于管理非域加入的系统也很有用。 LGPO.exe 可以导入并应用注册表策略 (Registry.pol) 文件、安全模板、高级审计备份文件以及格式化的“LGPO 文本”文件中的设置。 它可以将本地策略导出到 GPO 备份。 它可以将注册表策略文件的内容导出为可以编辑的“LGPO 文本”格式,并可以根据 LGPO 文本文件构建注册表策略文件。

它是方便用于多台设备组策略导入导出的工具。详细文档可以参考LGPO.zip解压目录下LGPO.pdf。

缺点

参考资料

  1. Windows 安全基线
  2. Microsoft Security Compliance Toolkit 1.0
  3. Microsoft Security Compliance Toolkit Introduction
  4. Introduction to Microsoft Policy Analyzer
  5. HOWTO: Export and Compare Security Policies between 2 different Windows Machines