Condividi tramite


Microsoft Security Compliance Toolkit - Come usare

Che cos'è Security Compliance Toolkit (SCT)?

Security Compliance Toolkit (SCT) è un set di strumenti che consente agli amministratori della sicurezza dell'azienda di scaricare, analizzare, testare, modificare e memorizzare baseline di configurazione consigliate da Microsoft per Windows e altri prodotti Microsoft.

SCT consente agli amministratori di gestire in modo efficace gli oggetti Criteri di gruppo dell'organizzazione. Grazie a questo toolkit, gli amministratori possono confrontare gli oggetti Criteri di gruppo attuali con le baseline di oggetti Criteri di gruppo consigliate da Microsoft o con altre baseline. Possono modificarli, memorizzarli nel formato di file di backup di oggetti Criteri di gruppo e applicarli diffusamente attraverso Active Directory o individualmente tramite i criteri locali.

Security Compliance Toolkit è costituito dagli elementi seguenti:

  • Windows 11 baseline di sicurezza
    • Windows 11, versione 24H2
    • Windows 11, versione 23H2
    • Windows 11, versione 22H2
    • Windows 11, versione 21H2
  • Elementi di base della sicurezza di Windows 10
    • Windows 10, versione 22H2
    • Windows 10, versione 21H2
    • Windows 10, versione 20H2
    • Windows 10, versione 1809
    • Windows 10 versione 1607
    • Windows 10, versione 1507
  • Elementi di base della sicurezza di Windows Server
    • Windows Server 2022
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 R2
  • Baseline di sicurezza di Microsoft Office
    • Office 2016
    • Microsoft 365 Apps per Enterprise versione 2206
  • Baseline di sicurezza di Microsoft Edge
    • Microsoft Edge versione 128
  • Strumenti
    • Analizzatore criteri
    • Oggetto Criteri di gruppo locale (LGPO)
    • Impostare la sicurezza degli oggetti
    • Da oggetto Criteri di gruppo a regole dei criteri

Puoi scaricare gli strumenti insieme alle baseline per le versioni di Windows pertinenti. Per altre informazioni sulle raccomandazioni relative alle baseline di sicurezza, vedere il blog Microsoft Security Guidance .For more information about security baseline recommendations, see the Microsoft Security Guidance blog.

Che cos'è lo strumento Policy Analyzer?

Policy Analyzer è un'utilità per l'analisi e la comparazione di set di oggetti Criteri di gruppo. Le funzionalità principali includono:

  • Segnalazione di eventuali impostazioni ridondanti o di incoerenze interne in un set di Criteri di gruppo
  • Segnalazione delle differenze tra versioni o set di Criteri di gruppo
  • Confronto di oggetti Criteri di gruppo rispetto alle impostazioni dei criteri locali e del Registro di sistema locale
  • Esportazione dei risultati in un foglio di calcolo di Microsoft Excel

Policy Analyzer consente di gestire un set di oggetti Criteri di gruppo come un'unica unità. Questo trattamento consente di determinare facilmente se determinate impostazioni vengono duplicate tra gli oggetti Criteri di gruppo o se sono impostate su valori in conflitto. Policy Analyzer consente inoltre di acquisire una baseline e di confrontarla con uno snapshot acquisito in un momento successivo per identificare le eventuali modifiche nel set.

Altre informazioni sullo strumento Analizzatore criteri sono disponibili nel blog di Microsoft Security Guidance o scaricando lo strumento.

Che cos'è lo strumento LGPO (Local Group Policy Object)?

LGPO.exeè un'utilità da riga di comando progettata per automatizzare la gestione delle Criteri di gruppo locali. L'uso dei criteri locali offre agli amministratori un modo semplice per verificare gli effetti delle impostazioni di criteri di gruppo ed è utile anche per la gestione dei sistemi non appartenenti a un dominio. LGPO.exe può importare e applicare le impostazioni da file di Criteri del Registro di sistema (Registry.pol), modelli di sicurezza, file di backup di controllo avanzato e da file formattati "testo LGPO". Può esportare i criteri locali in un backup oggetto Criteri di gruppo. Può esportare il contenuto di un file di criteri del Registro di sistema nel formato "testo LGPO" che può quindi essere modificato e può compilare un file di criteri del Registro di sistema da un file di testo LGPO.

La documentazione per lo strumento LGPO è disponibile nel blog di Microsoft Security Guidance o scaricando lo strumento.

Che cos'è lo strumento Imposta sicurezza oggetti?

SetObjectSecurity.exe consente di impostare il descrittore di sicurezza per qualsiasi tipo di oggetto a protezione diretta di Windows, ad esempio file, directory, chiavi del Registro di sistema, registri eventi, servizi e condivisioni SMB. Per gli oggetti del file system e del Registro di sistema, è possibile scegliere se applicare le regole di ereditarietà. È anche possibile scegliere di restituire il descrittore di sicurezza in una .reg rappresentazione compatibile con file del descrittore di sicurezza per un valore del Registro di sistema REG_BINARY.

La documentazione per lo strumento Imposta sicurezza oggetti è disponibile nel blog Microsoft Security Baselines o scaricando lo strumento.

Che cos'è lo strumento Criteri di gruppo per le regole dei criteri?

Automatizzare la conversione dei backup degli oggetti Criteri di gruppo in file di Policy Analyzer .PolicyRules e ignorare l'interfaccia utente grafica. GPO2PolicyRules è uno strumento da riga di comando incluso nel download di Policy Analyzer.

La documentazione per lo strumento Da oggetto Criteri di gruppo a PolicyRules è disponibile nel blog Microsoft Security Baselines o scaricando lo strumento.