Kit de ressources de conformité de sécurité Microsoft - Comment utiliser

Qu'est-ce que le kit de ressources de conformité de la sécurité (SCT) ?

Le kit de ressources de conformité de la sécurité (SCT) est un ensemble d’outils qui permet aux administrateurs de sécurité d'entreprise de télécharger, d'analyser, de tester, de modifier et de stocker des lignes de base de configuration de sécurité recommandées par Microsoft pour Windows et d’autres produits Microsoft.

Le SCT permet aux administrateurs de gérer efficacement les objets stratégie de groupe (GPO) de leur entreprise. À l’aide du kit de ressources, les administrateurs peuvent comparer leurs objets de stratégie de groupe actuels avec les lignes de base de stratégie de groupe recommandées par Microsoft ou d’autres lignes de base, les modifier, les stocker dans un format de fichier de sauvegarde d'objet de stratégie de groupe et les appliquer à grande échelle via Active Directory ou individuellement via la stratégie locale.

Le kit de ressources de conformité de la sécurité se compose des éléments suivants :

  • base de référence de sécurité Windows 11
    • Préversion de Windows 11, version 22H2 désormais disponible
    • Windows 11, version 21H2
  • Bases de référence de sécurité de Windows 10
    • Windows 10, version 22H2
    • Windows 10, version 21H2
    • Windows 10, version 20H2
    • Windows 10, version 1809
    • Windows 10, version 1607
    • Windows 10, version 1507
  • Bases de référence de sécurité de Windows Server
    • Windows Server 2022
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 R2
  • Base de référence de sécurité Microsoft Office
    • Office 2016
    • Microsoft 365 应用版 pour Enterprise Version 2206
  • Base de référence de sécurité Microsoft Edge
    • Edge version 114
  • Outils
    • Analyseur de stratégie
    • Objet stratégie de groupe local (LGPO)
    • Définir la sécurité des objets
    • Règles de stratégie de stratégie de groupe

Vous pouvez télécharger les outils ainsi que les lignes de base pour les versions de Windows pertinentes. Pour plus d’informations sur les recommandations de base de sécurité, consultez le blog Conseils de sécurité Microsoft.

Qu’est-ce que l'analyseur de stratégie ?

L’analyseur de stratégie est un utilitaire permettant d’analyser et de comparer des ensembles d’objets de stratégie de groupe (GPO). Ses fonctionnalités principales consistent notamment :

  • à mettre en évidence un ensemble de stratégies de groupe avec des paramètres redondants ou des incohérences internes ;
  • à mettre en évidence les différences entre les versions ou les ensembles de stratégies de groupe ;
  • à comparer les GPO par rapport à la stratégie locale actuelle et aux paramètres de registre local ;
  • à exporter les résultats dans une feuille de calcul Microsoft Excel.

L'analyseur de stratégie vous permet de traiter un ensemble d’objets de stratégie de groupe comme une seule unité. Ce traitement permet de déterminer facilement si des paramètres particuliers sont dupliqués entre les objets de stratégie de groupe ou s’ils sont définis sur des valeurs en conflit. L'analyseur de stratégie vous permet également de capturer une ligne de base, puis de la comparer à une capture instantanée prise à un moment ultérieur pour identifier les modifications au sein de l'ensemble.

Pour plus d’informations sur l’outil Policy Analyzer, consultez le blog Microsoft Security Guidance ou en téléchargeant l’outil.

Qu'est-ce que l'objet de stratégie de groupe local (LGPO) ?

LGPO.exeest un utilitaire de ligne de commande conçu pour automatiser la gestion des stratégie de groupe locales. L’utilisation de la stratégie locale donne aux administrateurs un moyen simple de vérifier les effets des paramètres de stratégie de groupe et est également utile pour la gestion des systèmes non joints à des domaine. LGPO.exe peut importer et appliquer des paramètres à partir de fichiers de stratégie de Registre (Registry.pol), de modèles de sécurité, de fichiers de sauvegarde d’audit avancé et de fichiers « texte LGPO » mis en forme. Il permet d’exporter la stratégie locale vers une sauvegarde d’objet stratégie de groupe. Il peut exporter le contenu d’un fichier de stratégie de Registre au format « texte LGPO » qui peut ensuite être modifié, et peut générer un fichier de stratégie de Registre à partir d’un fichier texte LGPO.

Vous trouverez la documentation de l’outil LGPO sur le blog Microsoft Security Guidance ou en téléchargeant l’outil.

Qu’est-ce que l’outil Set Object Security ?

SetObjectSecurity.exe vous permet de définir le descripteur de sécurité pour n’importe quel type d’objet sécurisable Windows, comme les fichiers, les répertoires, les clés de Registre, les journaux des événements, les services et les partages SMB. Pour les objets de système de fichiers et de Registre, vous pouvez choisir d’appliquer ou non des règles d’héritage. Vous pouvez également choisir de générer le descripteur de sécurité dans une représentation compatible avec le fichier .reg du descripteur de sécurité pour une valeur de Registre REG_BINARY.

La documentation de l’outil Set Object Security est disponible sur le blog Bases de référence de sécurité Microsoft ou en téléchargeant l’outil.

Qu’est-ce que l’outil GPO to Policy Rules ?

Automatisez la conversion des sauvegardes d’objets de stratégie de groupe en Analyseur de stratégie . Fichiers PolicyRules et ignorer l’interface graphique utilisateur. GPO2PolicyRules est un outil en ligne de commande inclus dans le téléchargement de l’Analyseur de stratégie.

La documentation de l’outil GPO to PolicyRules est disponible sur le blog Bases de référence de sécurité Microsoft ou en téléchargeant l’outil.