Microsoft セキュリティ コンプライアンス ツールキット - 使用方法
Security Compliance Toolkit (SCT) とは
Security Compliance Toolkit (SCT) は、企業のセキュリティ管理者が Windows および他の Microsoft 製品用に Microsoft 推奨のセキュリティ構成ベースラインをダウンロード、分析、テスト、編集、および格納するための一連のツールです。
SCT を使用すると、管理者は企業のグループ ポリシー オブジェクト (GPO) を効果的に管理できます。 このツールキットの使用により、現在の GPO を Microsoft 推奨の GPO ベースラインまたは他のベースラインと比較し、編集して、GPO バックアップ ファイル形式で保存できます。保存した GPO は、Active Directory を通じて広範に適用することも、ローカル ポリシーで個別に適用することもできます。
Security Compliance Toolkit は、次の内容で構成されています。
- セキュリティ ベースラインのWindows 11
- Windows 11 バージョン 24H2
- Windows 11 バージョン 23H2
- Windows 11、 バージョン 22H2
- Windows 11 バージョン 21H2
- Windows 10 のセキュリティ基本計画
- Windows 10 バージョン 22H2
- Windows 10 バージョン 21H2
- Windows 10 バージョン 20H2
- Windows 10 Version 1809
- Windows 10 Version 1607
- Windows 10バージョン 1507
- Windows Server のセキュリティ基本計画
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Microsoft Office セキュリティ ベースライン
- Office 2016
- エンタープライズ バージョン 2206 のMicrosoft 365 Apps
- Microsoft Edge セキュリティ ベースライン
- Microsoft Edge バージョン 128
- ツール
- Policy Analyzer
- ローカル グループ ポリシー オブジェクト (LGPO)
- オブジェクトのセキュリティを設定する
- GPO からポリシー規則
これらのツールは、関連する Windows バージョンのベースラインと共にダウンロードできます。 セキュリティ ベースラインの推奨事項の詳細については、 Microsoft セキュリティ ガイダンスのブログを参照してください。
Policy Analyzer ツールとは
Policy Analyzer は、グループ ポリシー オブジェクト (GPO) のセットを分析および比較するためのユーティリティです。 主な機能は次のとおりです。
- グループ ポリシーのセットに冗長な設定や内部的な不整合があれば、それを特定します。
- グループ ポリシーのバージョンまたはセットによって違いがあれば、それを特定します。
- GPO を現在のローカル ポリシーおよびローカル レジストリ設定と比較します。
- Microsoft Excel のスプレッドシートとして結果をエクスポートします。
Policy Analyzer では、GPO のセットを 1 つの単位として扱うことができます。 この処理により、特定の設定が GPO 間で重複しているか、競合する値に設定されているかを簡単に判断できます。 また、Policy Analyzer では、ベースラインをキャプチャしておき、後で作成したスナップショットと比較することにより、セット内の変更箇所を特定することもできます。
Policy Analyzer ツールの詳細については、 Microsoft セキュリティ ガイダンスのブログ または ツールをダウンロードして確認できます。
ローカル グループ ポリシー オブジェクト (LGPO) ツールとは
LGPO.exe
は、ローカル グループ ポリシーの管理を自動化するために設計されたコマンド ライン ユーティリティです。 ローカル ポリシーを使用することで、管理者は、グループ ポリシー設定の影響を簡単な方法で確認でき、ドメインに参加していないシステムの管理にも役立ちます。
LGPO.exe
レジストリ ポリシー (Registry.pol) ファイル、セキュリティ テンプレート、高度な監査バックアップ ファイル、およびフォーマットされた "LGPO テキスト" ファイルから設定をインポートして適用できます。 ローカル ポリシーを GPO のバックアップにエクスポートできます。 レジストリ ポリシー ファイルの内容を編集できる "LGPO テキスト" 形式にエクスポートし、LGPO テキスト ファイルからレジストリ ポリシー ファイルを作成できます。
LGPO ツールのドキュメントは、 Microsoft セキュリティ ガイダンス ブログ または ツールをダウンロードして確認できます。
オブジェクトセキュリティの設定ツールとは
SetObjectSecurity.exe
では、ファイル、ディレクトリ、レジストリ キー、イベント ログ、サービス、SMB 共有など、あらゆる種類の Windows セキュリティ保護可能なオブジェクトに対してセキュリティ記述子を設定できます。 ファイル システム オブジェクトとレジストリ オブジェクトの場合は、継承規則を適用するかどうかを選択できます。 また、REG_BINARYレジストリ値のセキュリティ記述子の .reg
ファイル互換表現にセキュリティ記述子を出力することもできます。
オブジェクト セキュリティの設定ツールのドキュメントは、 Microsoft セキュリティ ベースライン のブログ または ツールをダウンロードして確認できます。
GPO to Policy Rules ツールとは
GPO バックアップから Policy Analyzer .PolicyRules
ファイルへの変換を自動化し、GUI をスキップします。 GPO2PolicyRules は、ポリシー アナライザーのダウンロードに含まれるコマンド ライン ツールです。
GPO から PolicyRules ツールへのドキュメントは、 Microsoft セキュリティ ベースライン のブログ または ツールをダウンロードして確認できます。