Windowsの運用管理を快適にする10の裏ワザ/表ワザ
[ テクニカルライター 山市 良 ]

テクニック.5 - 現在のセキュリティ設定を推奨基準と比較する

2021年11月08日配信

yamaichi_tec005_top_1800x540

 

 WindowsおよびWindows Serverのシステム設定は、パフォーマンスやネットワークスループットを最適化するため、セキュリティを強化するため、効率化するためなど、さまざまにカスタマイズすることができます。しかし、不適切なシステム設定や、意図せず設定が重複してしまい上書きされてしまったりすることがあります。特にセキュリティに関連する設定が不適切であると、たとえOSやアプリが最新状態に更新されていたとしても、自ら作り出してしまった脆弱性を突かれセキュリティ侵害されてしまうリスクもあります。ここでは、マイクロソフトが無料提供するMicrosoft Security Compliance Toolkit(SCT)1.0を利用したセキュリティ設定の評価と実装について紹介します。

 

■ Microsoft Security Compliance Toolkit(SCT)の入手と準備

 Microsoft Security Compliance Toolkit(SCT)1.0は、企業のセキュリティ管理者がWindows、Windows Server、およびその他のマイクロソフト製品用の、マイクロソフト推奨のセキュリティ設定のベースラインをダウンロードし、現在の設定との比較評価、および実装するのに役立つ一連のツールです。

 SCTを使用すると、Active Directoryドメインで展開している現在のグループポリシーとマイクロソフト推奨のベースラインを効率的に比較したり、マイクロソフト推奨のベースラインからグループポリシーオブジェクト(GPO)を作成して展開したりできます。また、ローカルコンピューターの現在のシステム設定とベースラインを比較したり、現在のシステム設定にベースラインの設定を上書きしたりすることもできます。

Microsoft Security Compliance Toolkit 1.0のダウンロード
🌏https://www.microsoft.com/en-us/download/details.aspx?id=55319

Microsoft Security Compliance Toolkit 1.0のドキュメント
🌏https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-security-configuration-framework/security-compliance-toolkit-10

 SCTのダウンロードサイトからは以下の表1のツールをダウンロードすることができます。SCTのバージョンは1.0のまま変わらなくても、ダウンロードコンテンツは不定期に更新されます。必ず最新版を入手して使用するようにしてください。なぜなら、マイクロソフト推奨のセキュリティ設定は変更される場合があります。以前の推奨設定が、現在では推奨されない設定になっていることもあるからです。

表1 SCT 1.0として提供されているツール群(2021年3月16日公開版)

ダウンロードファイル名 説明
PolicyAnalyzer.zip Policy Analyzer v4.0(PolicyAnalyzer.exe)
LGPO.zip LGPO v3.0(LGPO.exe)
SetObjectSecurity.zip SetObjectSecurity v1.0(SetObjectSecurity.exe)
Windows Server 2012 R2 Security Baseline.zip WindowsおよびWindows Serverの各バージョンに対応したセキュリティベースライン
Windows 10 Version 1507 Security Baseline.zip
Windows 10 Version 1607 and Windows Server 2016 Security Baseline.zip
Windows 10 Version 1803 Security Baseline.zip
Windows 10 Version 1809 and Windows Server 2019 Security Baseline.zip
Windows 10 Version 1903 and Windows Server Version 1903 Security Baseline - Sept2019Update.zip
Windows 10 Version 1909 and Windows Server Version 1909 Security Baseline.zip
Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline.zip
Windows 10 Version 20H2 and Windows Server Version 20H2 Security Baseline.zip
Windows 10 Update Baseline.zip Windows 10のWindows Updateのベースライン
Microsoft Edge v88 Security Baseline.zip Chromium版Microsoft Edge Stableバージョン88のセキュリティベースライン
Office365-ProPlus-Sept2019-FINAL.zip Microsoft 365 Apps(旧称、Office 365 ProPlus)のセキュリティベースライン

 各ツールの機能については以下の公式ブログを参照してください。

New & Update Security Tools
🌏https://techcommunity.microsoft.com/t5/microsoft-security-baselines/new-amp-updated-security-tools/ba-p/1631613

 

 セキュリティベースラインとの比較を行う場合は、Policy Analyzer.zipと、評価したいWindowsやWindows Server、その他のマイクロソフト製品のベースラインの.zipファイルをダウンロードして任意の場所に展開します。Policy Analyzer(PolicyAnalyzer.exe)は、1つ以上のセキュリティベースラインとGPO、またはローカルコンピューターの現在の設定を比較するための分析ツールです(画面1)。

 

001

画面1 SCT 1.0の分析ツールであるPolicy Analyzer(PolicyAnalyzer.exe)

 

 推奨のベースラインからGPOを作成したり、ローカルコンピューターを設定する場合はLGPO.zipをダウンロードして展開し、LGPO.exeを各セキュリティベースラインのスクリプト用ディレクトリのToolsに格納しておきます(Scripts\ToolsまたはLocal_Scripts\Toolsディレクトリが存在する場合、画面2)。GPOの作成や設定のインストールには、スクリプト用ディレクトリにあるスクリプト(.ps1)またはバッチ(.cmd)を使用します。ベースラインの評価目的だけであれば、この準備作業は不要です。

 

002

画面2 ベースラインのScripts\ToolsディレクトリにLGPO.exeをコピーしておく

 

■ 続きを読むためには・・・

 ホワイトペーパーでこちらのページの続きをご覧いただけます。以下のフォームよりお申込みください。

続きの主な内容

  • SCTによる現在のローカル設定の評価
  • SCTによるグループポリシー設定の評価
  • ベースラインからのGPOの作成
  • ベースラインのローカルインストール(非推奨)

 

■ ホワイトペーパーをダウンロードする

 

最新記事