Policy Analyzer ile Security Baseline yazımızda sizlere Microsoft Security Compliance Toolkit ile beraber gelen Policy Analyzer Tool nasıl kullanılmaktadır ve hangi amaçlarla kullanılmaktadır bu yazımızda sizlere anlatacağım. Policy Analyzer tool bizlere sağladığı policyleri analiz etmemize , karşılaştırma yapmamıza olanak sağlayan tooldur. Bu sayede mevcut GPO’larımızı analiz edebilmekteyiz, başka gpo’larla karşılaştırılabilmektedir ve en önemlisi Microsoft Security Baseline GPO’larla karşılaştırma yapılabilmektedir. Bu sayede mevcut policylerimizde eksik veya yanlış konfigürasyonları analiz etme şansımız olmaktadır.
Öncellikle Tool’u indirmek için aşağıdaki linki kullanabilirsiniz. Ayrıca Microsoft Security Baseline’ları versiyonlara göre indirebilirsiniz. Ben Test ortamımda 2025 Active Directory Kullanarak sizlere göstereceğim.
İndirdikten sonra Policy Analyzer’da kullanmak için policylerimizin yedeklerini alalım ve Microsoft Security Policyler’le karşılaştıralım. GPO’larımızın backuplarını alıyoruz. GPO Backuplarını manuel’de alabilirsiniz ya da Powershell yardımıyla alabilirsiniz. Örneğin Domain Controller’a uygulanan Tüm GPO’ların backup’ını powershell ile aldım.
$dcou="OU=Domain Controllers,DC=volsys,DC=com"
$gpoLinks = Get-GPInheritance -Target $dcOU
$linkedGPOs = $gpoLinks.InheritedGpoLinks | Select-Object -ExpandProperty DisplayName
foreach ($gpoName in $linkedGPOs) {
$backupPath = "C:\GPO_Backups\DomainControllers\$gponame"
New-Item -ItemType Directory -Path $backupPath -Force | Out-Null
Backup-GPO -Name $gpoName -Path $backupPath -ErrorAction SilentlyContinue
}Bu aşamadan sonra Policy Analyzer çalıştırıyoruz.
Açılan Ekranda Add butonu ile devam etmekteyiz. Bu sayede policylerimizi ekleyeceğiz.
File kısmından Add files from GPO(s) ile ekleme yapıyoruz.
Backup aldığımız klasörü seçiyoruz ve altında bulunan tüm policyleri kapsamaktadır. İstenirse tek bir policy klasörüde seçilebiliriz.
Tüm Policylerimiz ekranda gözükmektedir. Import ile Policy Rule’ları oluşturmaktayız.
Bu sayede 5 adet policy’e ait Policy Rules oluşturulmuştur.
Şimdi sırada karşılaştıracağımız Policylerimizin Rule’larını oluşturalım. Security Baseline Klasörümüzde GPO’lar bulunmaktadır. Burada Domain Controller GPO’ları bulmak için şu yöntemi izleyebilirsiniz. GPO klasöründe bulunan GPO larda bulunan HTML’lerden gp report’sdan hangi GPO olduğunu bulabilirsiniz.
Domain Controller ile ilgili olan 2 adet Policy’imizi başka bir klasöre aldık. Bu policyler ile ilgili yine yukardaki adımları kullanarak Policy Rules oluşturalım.
Şimdi geldik karşılaştırma bölümüne Policy Rule Sets bölümünü Policy Rules’larımızın bulunduğu yeri seçiyoruz.. Bizlerin set ettiği DCPolicy ve Microsoft Security Baseline Policimiz bulunmakta ikisini seçerek View/Compare seçeneği ile devam etmekteyiz.
View and Compare seçeneğimiz ile devam ettiğimizde yeni ekranımız açılır ve Policy Viewer ile tüm policy kurallarını incelenmektedir. İncelerken bazı detaylar önemlidir. Bu detayları inceleyelim.
Ekranda 2 farklı column görmekteyiz. Birisi DCPolicies bizim oluşturduğumuz diğeri ise Microsoft Policies kısmıdır. İkisine göre karşılaştırma yapar .Ekranda Sarı renkli bazı bölümler görmekteyiz. Bunlar bize conflict leri göstermektedir. Bu bizlere bazı ayarların yapılandığını fakat 2 policy rule arasında farklılık olduğunu göstermektedir.
Diğer kısım ise Gri olan bir policy’de olan diğerinde olmayan kısmı göstermektedir.
Ayrıca aşağıdaki ekranda bizler hangi policy’den geldiğinide görmekteyiz.
Yukarıdaki menüleri incelediğimizde View kısmında istenirse sadece farklılıkları(Differences) ve sadece çarpışmaları(conflicts) kısımlarını görebilme seçeneğimiz vardır. Ayrıca GPO Filter kısmında istenilen GPO’ seçilebilmektedir. Sadece onun karşılaştırılması yapılabilmektedir. Ayrıca Export kısmından bütün datayı excel’e çıkarabiliriz.
Yukarıda sizlere Policy Analyzer ile Security baseline ile nasıl karşılaştırılır bunu detaylı olarak anlatmaya çalıştım. Tabiki sadece security baseline değil 2 farklı zamanda alınan GPO backup’larda karşılaştırılabilir bu sayede farklılıklarında bulabiliriz. Diğer yazılarımı aşağıdaki kategorilerden inceleyebilirsiniz.