Neue und aktualisierte Tools im Microsoft Security Compliance Toolkit 1.0
Mittwoch, 09. September 2020
Mit dem Microsoft Security Compliance Toolkit können Security-Admins empfohlene Sicherheitskonfigurationen für Windows und andere Microsoft-Produkte herunterladen, analysieren, testen, bearbeiten und speichern und sie mit anderen Sicherheitskonfigurationen vergleichen.
In Version 1.0 wurde das Toolkit um neue Versionen von LGPO und Policy Analyzer aktualisiert und um die beiden Tools GPO2PolicyRules und SetObjectSecurity ergänzt. Das Wichtigste in Kürze:
- LGPO.exe wurde um zwei neue Optionen ergänzt: /ef ermöglicht Gruppenrichtlinienerweiterungen, auf die in der backup.xml verwiesen wird, /p ermöglicht den Import von Einstellungen direkt aus einer PolicyRules-Datei. Darüber hinaus erfassen LGPO.exe /b und /g jetzt lokal konfigurierte clientseitige Extensions (CSEs), und /b erfasst jetzt auch alle Zuweisungen von Benutzerrechten korrekt, wodurch ein Fehler in der zugrunde liegenden "secedit.exe /export" behoben wird.
- Im Policy Analyzer 4.0 wurden die Checkboxes "Compare local registry" und "Local Policy" im Hauptfenster durch den Button "Compare to Effective State" ersetzt. Mit ihm lassen sich die ausgewählten Baselines mit dem aktuellen Systemzustand vergleichen.
- Beim Import von GPO-Backups erfasst der Policy Analyzer jetzt Informationen über Client-seitige Extensions bei Gruppenrichtlinien. Und um Namen vollständiger und genauer anzuzeigen, bildet Policy Analyzer Einstellungen und Sub-Einstellungen jetzt genauer ab.
- Mit dem neuen Befehlszeilen-Tool GPO2PolicyRules kann die GUI übersprungen werden, indem die Konvertierung von GPO-Backups in .PolicyRules-Dateien automatisiert wird. Dafür verwendet GPO2PolicyRules zwei Befehlszeilenparameter: das Root-Verzeichnis des GPO-Backup, aus dem eine .PolicyRules-Datei erstellt und den Pfad zu der neuen .PolicyRules-Datei, die erstellt werden soll.
- Mit der neuen SetObjectSecurity.exe wird es möglich, den Security Descriptor für so gut wie jeden Typ von Windows-Sicherheitsobjekt festzulegen (Dateien, Verzeichnisse, Registry-Schlüssel, Ereignisprotokolle, Dienste, SMB-Shares usw.). Für Dateisystem- und Registry-Objekte lassen sich dabei Vererbungsregeln anwenden. Außerdem kann der Security Descriptor für einen REG_BINARY-Registry-Wert in eine .reg-Datei-kompatible Form des Security Descriptor ausgegeben werden.
Das aktualisierte Security Compliance Toolkit 1.0 kann aus dem Microsoft Download Center heruntergeladen werden.