使用“安全遵从管理器”审计Windows系统

Question

我发现了一些建议使用Microsoft SCM (安全法规管理器)审计Microsoft软件解决方案安全性的帖子：

• Windows安全策略分析工具
• Windows2008Windows R2？
• IIS和SQLServer硬化

这里是SCM的一个示例屏幕截图，显示了Windows7 SP1计算机安全的"261个唯一设置“：

我不明白的是这些“独特的设置”是如何被审计的。我的意思是，SCM似乎只是简单地报告所有强化选项，而不是检查(审核)它们是否适用于Windows。

到目前为止，我发现了以下(自动)审计设置的方法：

1. 将它们作为斯卡普 XML文件导出(使用该面板到SCM的右侧)。
2. 使用椭圆形或jOVAL等工具对导出的XML文件进行系统审核。

按照同样的思路，我使用以下方法应用基线：

1. 将基准(或其自定义)导出为GPO。
2. 应用GPO。

我的问题是：

SCM可以审计设置本身，这样我就不必导出XML文件，然后使用第三方工具了吗？

Answer 1

SCM本身不审核或应用设置。设置是通过将GPO备份导入AD并通过将DCM导入SCCM来实现的(尽管有类似的缩写，但与SCM无关)。

有一些文档描述了每个基线在“附件”下是如何工作的。