Windowsセキュリティは難しい問題である。数えきれない程のオプションのあるフィーチャや設定がセキュリティの脆弱性を招くことになり、その多くがデフォルトで有効になっている。これらの設定に関するドキュメントはMSDN や TechNetに散在しており、最新の記事が古いバージョンと本当に混ざっている。
これに対する1つの解決がMicrosoft Security Compliance Managerである。このツールは、現在3番目の大きな改定がなされ、Windows (XP とその後のOS), Windows Server (2003とその後)、Internet Explorer (8 ~10), Office (2007/2010)、Exchange Server (2007/2010)を含んだ、多くの重要なMicrosoft技術に関する豊富な情報を提供している。
各技術には、最近のドキュメントとガイドが含まれており、ツールによって自動的にアップデートされる。しかし、これらのガイドは、単なる出発点に過ぎない。本当のパワーは、ベースラインポリシーツールから生まれる。
このツールによって、各フィーチャのデフォルトと推奨の設定を見ることができる。
しかし、ツールの本当の価値は、詳細ペインにある。見るとわかるが、それは設定の記述があるだけでなく、もし設定が不適切な場合に起こりえる脆弱性について書かれている。
IT部門は自由に自分達のベースライン設定を作成できる。そのためには、まず出発点として使いたいと思うMicrosoftのベースラインをコピーする。次に変更すると、それが「カスタマイズ版」列に現れる。
会社固有の文書をカスタムなベースラインに追加でき、それはMicrosoftによって提供されたガイドラインと一緒に現れる。
一度、ベースラインが充分に評価されたら、幾つものフォーマットで出力できる。他の人が Security Compliance Managerをインストールせずに推奨をレビューできるように、Excelが提供されている。一旦、ポリシーが承認されれば、GPOバックアップが生成され、次に Active Directoryを介して適用される。
Microsoft Security Compliance Managerは、Microsoftダウンロードから無料で入手でき、記載されている要件に加えて、SQL Server expressが必要である。