「セキュリティコンプライアンスマネージャー」を使用してWindowsシステムを監査する
Microsoft SCM(Security Compliance Manager)を使用してMicrosoftソフトウェアソリューションのセキュリティを監査することを提案する投稿をいくつか見つけました。
以下は、Windows 7 SP1コンピュータセキュリティの「261固有の設定」を示すSCMのサンプルスクリーンショットです。
私が得られないのは、これらの「固有の設定」が監査される方法です。つまり、SCMはWindowsに適用されているかどうかをチェック(監査)するのではなく、すべての強化オプションを報告するだけのようです。
これまでのところ、設定を(自動的に)監査する次の方法を見つけました。
- それらを(SCMの右側のパネルを使用して) [〜#〜] scap [〜#〜] XMLファイルとしてエクスポートします。
- [〜#〜] oval [〜#〜] または jOVAL などのツールを使用して、エクスポートされたXMLファイルに対してシステムを監査します。
同じように、次のアプローチを使用してベースラインを適用します。
- ベースライン(またはそのカスタマイズ)をGPOとしてエクスポートします。
- GPOを適用します。
私の質問は:
SCMは設定自体を監査できるので、XMLファイルをエクスポートしてサードパーティのツールを使用する必要はありませんか?
SCM自体は設定を監査または適用しません。 GPOバックアップをADにインポートすることで設定が適用され、SCCMにDCMをインポートすることでレポートされます(同様の略語にもかかわらずSCMとは関係ありません)。
各ベースラインの「添付ファイル」の下ですべてがどのように機能するかを説明するドキュメントがあります。