如何保持最新的 Windows 安全指南

Windows 安全是一个麻烦的问题。因为有数不清的可选特性和设置会引入安全漏洞，而其中的很多设置又是默认启用的。在 MSDN 和 TechNet 上散布着很多关于这些设置的文档，混合着最新的文章和过时的内容。

Microsoft Security Compliance Manager 为此提供了一个解决方案。该工具当前处于第三个主修订版，它为很多关键的 Microsoft 技术提供了丰富的信息，包括 Windows (XP 及最新版本)、Windows Server (2003 及最新版本)、Internet Explorer (8 到 10)、Office (2007/2010) 和 Exchange Server (2007/2010)。

每一种技术都有最新的文档和指南，同时该工具还能自动地更新这些内容。但是，这些指南仅仅是一个开始。它的真正强大之处在于基线策略工具。

通过基线策略工具能够查看每个特性默认的和推荐的设置。

该工具真正的闪光点在详细信息面板中。正如你所看到的，它不仅给出了设置的描述，还会提示在配置不合理的情况下可能发生的漏洞。

IT 部门能够自由地创建他们自己的基线配置。为此，首先复制一份想要使用的 Microsoft 基线作为起点，然后对其进行修改，修改后的结果会出现在“customized”列。

还可以将公司特定的文档添加到自定义基线中，添加之后它们会出现在 Microsoft 提供的指南旁边。

在一个基线被完全评估之后，可以将之导出为多种格式。为了让他人在不必安装 Security Compliance Manager 的情况下就能够复查推荐的设置，提供了 Excel 格式。策略一旦被批准，就会创建一个 GPO 备份并通过活动目录（Active Directory）进行应用。

Microsoft Security Compliance Manager 可以通过 Microsoft 下载免费获取 ，除了提出的要求之外还需要 SQL Server Express。

查看英文原文： How to Keep Up to Date with Windows Security Guidelines