Security Compliance Manager はマイクロソフトから提供されている Solution Acceleratores のアプリケーションになります。
■Solution Accelerator
IT の展開、計画、および運用に関する問題を解決するのに役立つツールおよびガイダンスです。無償で提供され、完全にサポートされています
http://technet.microsoft.com/ja-jp/solutionaccelerators/bb545941
■Security Compliance Manager(SCM)
Windows Serve 2008 セキュリティガイドに則った設定を、簡単に行うことができるツール。大きな特徴としては、設定内容をGPO バックアップ形式としてエクスポートすることができるので、そのデータをADのGPOに反映することができる。
2011年10月現在の最新バージョンは2になります。
Microsoft Security Compliance Manager
■インストールの注意点
私がインストールした際の、簡単な注意点を書いておきます。
事前インストールが必要なものとしては
.NET Framework 4
Microsoft SQL Server 2008 R2 Express Service Pack1
がありました。特にSQL Expressは事前インストールをしておかないと、インストール時に勝手にダウンロードしてインストールするのですが、エラーになりますので注意が必要です。
■Microsoft Security Compliance Manager の詳細に関しては
Technetに詳しい情報があります。最新のダウンロードできるパッケージの内容が書いてあります。例えば、Windows Server 2008 R2 のベースラインとして次の設定ファイルが入っていることがわかります。
Windows Server 2008 R2 Security Guide.docx
Windows Server 2008 R2 Attack Surface Reference.xlsx
Windows Server 2008 R2 SP1 AD Certificate Services Server Baseline
Windows Server 2008 R2 SP1 DHCP Server Baseline
Windows Server 2008 R2 SP1 DNS Server Baseline
Windows Server 2008 R2 SP1 Domain Baseline
Windows Server 2008 R2 SP1 Domain Controller Baseline
Windows Server 2008 R2 SP1 File Server FCI Baseline
Windows Server 2008 R2 SP1 File Server Baseline
Windows Server 2008 R2 SP1 Hyper-V Baseline
Windows Server 2008 R2 SP1 Member Server Baseline
Windows Server 2008 R2 SP1 Network Access Services Server Baseline
Windows Server 2008 R2 SP1 Print Server Baseline
Windows Server 2008 R2 SP1 Remote Desktop Services Baseline
Windows Server 2008 R2 SP1 Web Server Baseline
■使用方法は?
SCMを起動すると、自動的に定義ファイルがダウンロードされます。画面左ペインにダウンロードされた定義ファイルが見えます。目的の定義ファイル(例えば、Windows Server 2008 のメンバーサーバーベースライン)を、操作ペイン>Baseline>Duplicateよりコピーします。
ここで名前を変更しておきます。
そして、定義内容をカスタマイズし、操作ペイン>Export>GPO Backupより書き出します。
このツールの課題は何と言っても、英語・・・設定画面も英語となり、なかなか容易ではありません。そこでとりあえず、GPO形式にバックアップして保管して、GPMC(グループポリシーの管理ツール)よりインポートして日本語環境でのカスタマイズを行うのがいいのではないでしょうか?
ここでGPMC(グループポリシーの管理ツール)を起動します。
注意点としては、GPMCのグループポリシーオブジェクトより右クリックしてバックアップの管理を起動しても、SCMよりバックアップした情報は見えません。
私はここで、ちょっとはまりました。
GPOの設定をインポートするには、予めGPOを作成しておく必要があります。
例えば、ABC DC_Security というGPOを作成しておき、右クリックして設定のインポートを選択します。
ウィザードに従って進めると、
バックアップの管理では見えなかったSCMのGPOが見えます。
これで、GPOの設定の取り込みができます。
後は、GPME(日本語)でゆっくりと編集を行えばいいですね。