簡化的 Microsoft 安全性規範管理員： 安全性設定

即將進行的版本的安全性規範管理員是更可存取、 有彈性且可。

Paul Schnackenburg

原始的安全性規範管理員 (SCM) 整合安全性設定 Microsoft 的最佳實務範例。 它提供詳細的說明每個建議的設定，並可讓您廣泛散佈匯出為群組原則物件 (Gpo) 的自訂比較基準。 它可協助您套用正確的安全性設定，而不必行經的文件 reams。

不過，沒有任何方法可以與 Microsoft 建議的比較基準時，除了從手動設定中逐一尋找比較目前的設定。 SCM 的新版本會關閉此間隔。 在這個新版本的改進根據實際的客戶意見，讓 SCM 得更易於存取與平均值 IT 專業人員。 它還新增了數個新功能。

"我們在 SCM 第 2 版的所有項目是以直接的客戶的意見回應 」 顯示 Jeff Sigman，在 Microsoft 的資深軟體設計工程師。 會導致焦點的三個主要區域。 「 客戶需要將 SCM 最佳化工具的匯入現有的組態情報 」。這項需求會導致新的 GPO 匯入功能。 他們需要 SCM 能容易使用，這會導致新的使用者經驗增強功能。 它們也需要 SCM 為基礎的 SQL 資料庫以方面更有彈性。

設定 SCM 保持簡單都能運用。 第 1 版執行它自己的 SQL Server Express 安裝所需的而第二版可讓您指向本機的 SQL Server 或 SQL Server 用來表示。 Beta 版也包含 10 個預先設定的基準。 當您在此時安裝 beta 版時，安裝就會自動升級，同時保留任何先前的資料 (請參閱圖 1)。

圖 1 時執行 SCM 第 2 版 beta 版，它會更新任何先前的安裝。

完整的主控台

歡迎使用] 畫面中包含六種資訊類型，您可以展開的進一步連結 (請參閱圖 2)。

圖 2 的輔助線和所提供的其他資訊將協助您開始在短順序。

比較基準的文件庫是在 [主要] 主控台的左邊。 這會列出所有可用的比較基準，在樹狀結構階層中，依產品分組。 簽署您所下載任何比較基準，您無法變更它們。 您必須建立一個副本來進行修改您自己的自訂比較基準。 當您選取了比較基準時，中間窗格會顯示您的選取範圍的相關資訊，並在右邊的 [動作] 窗格包含所選物件的即時線上選項。

目前的 beta 版包含新的比較基準，作為封裝的一部份。 如果您需要下載其他人，請移至工具 |檢查有比較基準，然後選擇，然後按一下 [下載]。 另外還有一個選項來建立您要匯入，您可以啟動立即修改每一基準線的複本。

最主要的差異，在使用 SCM 版本相較於其前置任務 2] 是新 「 設定方格。"每個區段是由水平列，您可以展開或摺疊群組。 這可讓更加容易使用的設定較長的清單。 Sigman 指出設定格線版面配置的外觀及操作的 Windows Intune 當場就迫不及待，而且設計來按需要修改設定的最小化。

另一個新的功能，可讓更輕易地巡覽的混淆世界的安全性設定是 「 階層連結列 」。這類似於 [Windows 檔案總管] 的運作。 您可以瀏覽向上和向下 GPO 階層架構，以及篩選掉不需要的資訊。 若要啟用這種情況，只需按一下 [進階檢視]。 使用 [小] 按鈕，巡覽至適當的層級。 按一下要跳到階層頂端紅色的 X (請參閱圖 3)。

圖 3 瀏覽方式的設定就能輕鬆使用階層連結列。

SCM 也就是建立在傑出的教學工具。 每個最佳作法設定包括不僅描述設定功能，也應該使用它的原因，潛在威脅及此設定會如何降低風險的相關詳細資料的完整描述。

匯入您的 Gpo

您可以從你的 Gpo 匯入目前的設定，並比較這些 Microsoft 建議的最佳作法。 您通常會建立群組原則管理主控台 (GPMC) 中的 GPO 備份的開頭。 記下要儲存備份的資料夾。 Scm，選取 GPO 備份]，再瀏覽至 GPO 資料夾的全域唯一識別項 (GUID) 並選取 GPO 的名稱，當匯入]。

SCM 將會保留任何 ADM 檔案 」 和 「 GP 喜好設定檔案 (其使用 SCM 未剖析的非安全性設定]) 您要存放 GPO 備份。 它會儲存這些使用者的公用資料夾內的子資料夾中。 當一次 gpo 匯出的比較基準時，它也會還原所有相關的檔案。

比較基準的誕生

Sigman 概述開發了比較基準所需的多個步驟。 所有的同時也會以一組的專家建立草稿指南。 透過這份文件然後 pores Microsoft 內部的 [產品] 群組。 然後，它會釋放社群是測試網站。

如果是 SCM，社群包含機構內美國 國防部、 Microsoft 顧問服務、 北大西洋公約組織與世界各地的政府。 進一步測試之後，Microsoft 就會建立比較基準。 然後此比較基準是維護和更新每個新的 service pack，以及威脅環境中的變更。

新增設定

SCM 的第一個版本中的一個常見的問題擴充了比較基準與您自己的設定。 沒有"設定套件 」 具有一項產品，而非的 Microsoft 有最佳的所有設定。 然後，您必須要合併這些比較基準並移除任何多餘的設定。

SCM 第 2 版，使得這種情況下更容易。 在右邊的 [動作] 窗格中，沒有新加入的設定。 這時會出現一個對話方塊，可讓您選取的產品，表示的群組的新設定值應該加入，然後選擇 [從可用的設定，您可以使用相同的階層連結按鈕來篩選清單 (請參閱圖 4)。

圖 4 很容易就能將設定加入至第 2 版 SCM 在比較基準。

這些設定會顯示在包含 SCM 知道每個設定，並了解 (包括 Windows 7; 到 Windows XP SP3 的每個產品的新設定程式庫 Windows Server 2003 SP2 至 Windows Server 2008 R2; Office 2007 Office 2010; 和 Internet Explorer 7 到 Internet Explorer 9)。 此文件庫是在 [比較基準的相同方式維護。 隨著每次 SP 發行加入新的設定值，您可以檢查您在 [關於] 對話方塊中的程式庫版本。

LocalGPO

沒有名為 LocalGPO，可讓您匯入和匯出 Gpo 直接從電腦的設定命令列工具。 安裝程式會包含在 SCM，但它分開安裝。 執行 Windows XP 與更新版本。

SCM 並非取決於本機 GPO，而且本機 GPO 不依賴 SCM]。 LocalGPO 發揮功效的地方是非網域聯結系統，然後在與 Microsoft 部署工具組 (MDT) 一起使用。

您必須以系統管理員身分執行 LocalGPO 命令列。 若要匯出從參照電腦的本機設定只要輸入：

LocalGPO.wsf /Path:c:\GPOBackup /Export

然後要套用的設定，請輸入 (紅色文字中的 GUID 是識別您要套用的 GPO)：

LocalGPO.wsf /Path:c:\GPOBackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}

此程序可讓您很容易強制執行公司原則，您不能在集中式的群組原則的獨立或工作群組電腦上。

沒有新的 [GPOPack] 選項在 [封裝成一個自我解壓縮的檔案套用安全性基準所需的一切的 LocalGPO。 您可以將它套用不需要先安裝 LocalGPO。 好處是如果您使用 MDT 來設定用戶端電腦，您只可以新增一行到安裝指令碼，直接在安裝作業系統之後，才能套用 GPO 備份。

命名的 GPOPack 是選擇性的。 它會阻止您能夠匯入 GPO 在 GPMC，但是可以輕鬆地進行鍵入指令碼中，因為您不需要輸入長的 GUID。 若要使用 GPOPack，只是您的 GPOPack.wsf 檔案的指令碼產生的 [GPOPack] 選項的點會像這樣：

C:\GPObackup\{12345678-9ABC-DEFG-1234-56789ABCDEFG}\GPOPack.wsf /path:C:\GPOBackups\{12345678-9ABC-DEFG-1234-56789ABCDEFG} /silent

您也可以使用 LocalGPO 稽核電腦上的組態積雪超出您的網域]、 [匯出目前的設定值]、 [匯入到 SCM 那些] 及 [比較基準。

EC 和 SSLF？

與第一個 SCM 將比較基準是兩個層面： 企業用戶端和 SSLF Specialized 安全、 有限功能的 EC。 新的基準線的第 2 版採用四個層級嚴重性系統。 每個項目進行排名，因此您可以篩選來選取您需要哪一種設定比較基準:

• 重要設定系統安全性很大的影響。 您應該將這些設定套用至幾乎任何系統。 先前的 EC 基準中大部分的設定會此處包含。
• 重要設定有重大影響的系統和資料。 大部分的設定值，具有此分級符合較舊的 SSLF 基準。
• 選擇性設定有幾乎沒有任何安全性影響。 定義安全性基準時，您可以忽略這些。
• 無是項目還沒有被包含在先前的比較基準的預設安全性層級。 您可以忽略這些也。

Sigman 指出比較基準的變更是自然的進度。 企業變得越來越著重在 IT 控管、 風險和規範 (GRC) 計劃。 此外，這也已導致重新組織成改善報告 GRC 群組基準線設定。

比較與合併

您可以使用比較功能，來檢視兩個基準線之間的差異。 [摘要] 索引標籤會顯示多少項設定而有所差異比較基準，並且如果清單中其中一個比較基準的任何唯一設定。 [值] 索引標籤會告訴您完全相同的設定值是不同，如何設定每條基準線中。

您可以使用合併列印功能來組合也比較基準。 開始來源比較基準]，選取 [動作] 窗格中的 [合併列印]。 然後選取目標比較基準。 它會顯示您的項目將會變更。 您可以取消選取不想要變更的設定。 它也會顯示只存在來源中的項目項目只呈現目標和兩個具有相同設定的比較基準中的項目。 您可以從一次，也就是明確的改進透過 SCM 的第一個版本比較基準，來刪除多個設定。

SCM 在安全性內容的自動化通訊協定 (SCAP) xml 格式，由美國國家標準及技術研究院 (NIST)，也可以建立比較基準。 對於那些在美國 政府組織而言，這是較為強固的美國政府設定基準版本。

您無法拒絕 Microsoft 的安全性指南的自動。 不過了很容易比較目前的新建議的設定，並建立新的 Gpo 來鎖定您的系統。 新的匯入 GPO 功能、 本機 GPO 的增強功能，以及更容易使用的介面應該出發這項工具從相對隱匿來實現..

**Paul Schnackenburg**於 IT 286 的電腦的日期之後。 他在澳洲黃金海岸經營自己的事業 Expert IT Solutions，同時從事兼職 IT 教師。 他擁有 MCSE、MCT、MCTS 和 MCITP 認證，專精於 Windows Server、Hyper-V 和 Exchange 企業解決方案。 到達他在 paul@expertitsolutions.com.au ，並遵循他的部落格，在 TellITasITis.com.au。

相關內容

• 安全性內容自動化通訊協定 (SCAP)
• 美國政府設定比較基準 (USGCB)
• Microsoft 解決方案加速器安全性與 相容性的部落格