详细了解微软安全合规工具包(SCT)
实话实说,微软安全合规工具包,即Microsoft Security Compliance Toolkit (以下简称SCT),包含的几个工具软件都是面向有一定网络安全管理经验、Windows系统管理经验的计算机管理员用的。要真正用起来,可以先参考我编写的《Windows 系统安全基线及软件工具介绍》(点击这里打开微信公众号链接)文章的内容,把涉及到的概念都搞明白,并且通过本文了解清楚SCT具体包括了什么。
笔者:国际认证信息系统审计师、软考系统分析师
首先我们去下载这个套件工具包。网址是:
https://www.microsoft.com/en-us/download/details.aspx?id=55319
需要注意的是这个套件工具包并不是一个完整的压缩包,而是在下载页面提供了分散的安全基线包、软件工具包的下载。可以一次性全部选择下载,也可以只下载需要的内容。
另外,这个工具包更新了好几年,但版本还是1.0没有变化。所以要看发布时间,即Date Published。
要了解有无更新,可以收藏下载页面,不时上来刷新看看发布时间是否有变更。但更好的做法是收藏 Microsoft Security Baselines Blog:
以及订阅其RSS信息聚合发布:
需要注意的是,SCT的下载并不包含被微软认为已经过时的安全基线包。比如Edge浏览器更新比较频繁,SCT下载就只提供最新版本Edge浏览器的安全基线包。
如果管理员需要收集旧版本,就务必要通过订阅Microsoft Security Baselines Blog的RSS信息源,及时了解更新和下载保存。
整体下载后得到的内容包括如下这些文件:
每一个安全基线ZIP包中,基本都包括了文档、组策略报告、组策略对象、执行脚本(PowerShell脚本)、管理模版admx文件等。
如果需要详细了解基线包的内容,应先详细阅读文档。
比如Windows 10 Version 20H2 and Windows Server Version 20H2 Security Baseline.zip 这个面向 Windows 10 及基于Windows 10实现的服务器系统的安全基线包,所包含的文档有:
其中:
第一个文件是 Announcement.pdf,对本基线包的概括介绍
第二个文件是 FINAL-MS Security Baseline Windows 10 and Windows Server v20H2.xlsx,给出了所有的组策略设置,在本例中面向Windows 10和Windows Server v2004。同时还给出了对其它受控管理的企业系统的建议配置。
除了LAPS、MS Security Guide和MSS传统模式三种情况外,这里列出的配置都可以通过Windows组策略和安全模版编辑器去处理。
LAPS 可通过:
https://www.microsoft.com/en-us/download/details.aspx?id=46899
下载到 LAPS 解决方案。另外两者可以通过在这个安全基线包中带有的客制化的ADMX模版去实现。
表格内容通过蓝色去区分成员服务器和域控制器,通过浅橙色表示对于没有加入域的系统需要排除的设置。
第三个文件是New Settings in Windows 10 and Windows Server v20H2.xlsx,集中列出新的设置项目。
第四个文件是 MSFT-Win10-WS-v20H2-FINAL.PolicyRules,是具体的策略规则文件,类似XML格式。
对于GP Reorts目录,其中的组策略报告,包含了如下内容:
解压后用IE打开(其它浏览器打开可能会有显示不完全正确的问题),可以看到很详细的安全设置信息(如下):
每一级都可以继续展开到最详细内容。
SCT除了带有的安全基线包之外,还包括了我在《Windows 系统安全基线及软件工具介绍》(点击这里打开微信公众号链接)中介绍的三个软件工具的压缩包,分别是:
- LGPO.zip,本地组策略对象管理工具,包含了LGPO.exe及使用说明。
- PolicyAnalyzer.zip,组策略分析器,包含了PolicyAnalyzer.exe等多个程序。
- SetObjectSecurity.zip,本地安全描述符工具,包含了SetObjectSecurity.exe及使用说明。
作为了解SCT的目的和基本构成,到这里就差不多了。
本页网址二维码: