Machine Translated by Google
PolicyAnalyzer.exe v4.0
Utilidad del analizador de políticas de grupo
Descripción general
Policy Analyzer es una utilidad liviana para analizar y comparar conjuntos de objetos de política de grupo (GPO). Puede resaltar
cuando un conjunto de Políticas de grupo tiene configuraciones redundantes o inconsistencias internas y puede resaltar las
diferencias entre versiones o conjuntos de Políticas de grupo. También puede comparar uno o más GPO con el estado
efectivo local. Puede exportar todos sus hallazgos a una hoja de cálculo de Microsoft Excel.
Policy Analyzer le permite tratar un conjunto de GPO como una sola unidad y representa todas las configuraciones en uno o
más GPO en un único archivo XML ".PolicyRules". También puede usar archivos .PolicyRules con LGPO.exe v3.0 para aplicar
esos GPO a la política local de una computadora, en lugar de tener que copiar copias de seguridad de GPO.
Tratar un conjunto de GPO como una sola unidad también facilita determinar si configuraciones particulares están duplicadas
en todos los GPO o están configuradas con valores conflictivos. Puede capturar un conjunto inicial y luego compararlo
con una instantánea tomada más adelante para identificar cambios en cualquier parte del conjunto.
Por ejemplo, la línea base recomendada por Microsoft para Windows 10 versión 1909 incluye ocho GPO separados.
Policy Analyzer puede tratarlos como un conjunto único, mostrar todas las diferencias entre ese conjunto
y las líneas base recomendadas por Microsoft para Windows Server versión 1909 con una única comparación.
También puede usarlo para verificar los cambios realizados en sus GPO de producción.
La siguiente captura de pantalla muestra tres líneas de base comparadas entre sí. El panel inferior muestra la configuración
de la Política de grupo, la ubicación y otra información asociada con la fila seleccionada. Las configuraciones en conflicto se
resaltan en amarillo; Las configuraciones ausentes se muestran como una celda gris. Policy Analyzer también ofrece
opciones para mostrar solo filas que contienen conflictos u otras diferencias, y para mostrar el texto de ayuda de la
configuración en el panel inferior.
La siguiente captura de pantalla muestra la salida de Excel de Policy Analyzer. Policy Analyzer clasifica los resultados principalmente por la ruta
de la política de grupo y las columnas de nombre de configuración, que son las columnas situadas más a la izquierda.
�Machine Translated by Google
Policy Analyzer es una aplicación independiente liviana que no requiere instalación y no requiere derechos administrativos
(excepto la función "Comparar con el estado efectivo", que se describe más adelante).
Novedades de la versión 4.0
El botón "Comparar con el estado efectivo" reemplazó las casillas de verificación "Comparar registro local" y "Política local" que
solían estar en la ventana principal del Analizador de políticas. Presiónelo para comparar las líneas base seleccionadas con
el estado actual del sistema. Si las líneas base seleccionadas contienen alguna configuración de usuario, se comparan con
la configuración del usuario actual. "Comparar con el estado efectivo" requiere derechos administrativos si las líneas base
seleccionadas incluyen alguna configuración de plantilla de seguridad o configuración de auditoría avanzada. El estado
efectivo correspondiente a la configuración de las líneas base seleccionadas se guarda en un nuevo conjunto de reglas de políticas.
El Analizador de políticas ahora captura información sobre las extensiones del lado del cliente (CSE) de políticas de grupo cuando
importa copias de seguridad de GPO. Desde una ventana del Visor de políticas, elija Ver \ Extensiones del lado del cliente (CSE)
para ver los CSE de la máquina y del usuario para cada línea base en el Visor. (Tenga en cuenta que el soporte mejorado de
LGPO.exe para CSE incluye la capacidad de aplicar configuraciones de CSE desde los archivos .PolicyRules de Policy Analyzer).
�Machine Translated by Google
Policy Analyzer ahora asigna configuraciones y subconfiguraciones para mostrar nombres de manera más completa y precisa, incluida
la asignación de GUID para reglas de reducción de superficie de ataque (ASR) a sus nombres para mostrar y una localización mejorada.
Reglas de política de GPO2
Ahora puede automatizar la conversión de copias de seguridad de GPO a archivos .PolicyRules de Policy Analyzer y omitir la GUI. GPO2PolicyRules
es una nueva herramienta de línea de comandos que se incluye con la descarga de Policy Analyzer. Se necesitan dos parámetros de línea de
comandos: el directorio raíz de la copia de seguridad de GPO desde la que desea crear un archivo .PolicyRules y la ruta al nuevo
archivo .PolicyRules que desea crear. Por ejemplo:
GPO2PolicyRules.exe C:\BaselinePkg\GPOs C:\Users\Analyst\Documents\PolicyAnalyzer\baseline.PolicyRules
Condiciones de uso
Los términos de uso se han incluido en la descarga.
Agregar conjuntos de reglas de políticas
Un conjunto de reglas de políticas de Policy Analyzer es un único archivo XML con una extensión de archivo *.PolicyRules, que contiene datos
recopilados de los archivos GPO que usted identifica. Un único conjunto de reglas de política puede contener datos de cualquier número de
archivos GPO de cualquier número de GPO.
Policy Analyzer proporciona dos formas de crear archivos .PolicyRules. La nueva utilidad de línea de comandos GPO2PolicyRules.exe es la
forma más sencilla. La GUI del Analizador de políticas es un poco más compleja pero le brinda la mayor flexibilidad.
Crear un archivo PolicyRules con la GUI del Analizador de políticas
Ejecute PolicyAnalyzer.exe. El cuadro de lista muestra conjuntos de reglas de políticas en el directorio denominado por la etiqueta "Conjuntos
de reglas de políticas en" (ver captura de pantalla). Inicialmente este directorio estará vacío. (Puede completarlo previamente con los archivos
PolicyRules de muestra incluidos en el archivo zip). Al iniciar, este será un subdirectorio PolicyAnalyzer de su directorio de Documentos. Haga clic
en el nombre del directorio para cambiar a un directorio diferente. Haga clic en el botón Restablecer al lado para restablecerlo al directorio
predeterminado.
�Machine Translated by Google
Para agregar un conjunto de reglas de políticas a la colección del Analizador de políticas, haga clic en el botón Agregar… en la ventana principal
para abrir el cuadro de diálogo Importador de archivos de políticas. Agregue archivos para incluirlos en el conjunto de reglas usando el
menú Archivo del Importador, que se muestra en la captura de pantalla siguiente. La forma más rápida de agregar archivos al conjunto es
elegir Agregar archivos desde GPO(s)… y seleccionar un directorio que contenga una o más copias de seguridad de GPO. Policy Analyzer identifica
las copias de seguridad y agrega archivos al conjunto, y los nombres de las políticas también se toman de la copia de seguridad. También
puede agregar archivos de políticas uno a la vez usando las otras opciones "Agregar".
Policy Analyzer puede ingerir cuatro tipos de archivos GPO: archivos de políticas de registro, plantillas de seguridad, archivos de copia de
seguridad de políticas de auditoría y archivos backup.xml que hacen referencia a las extensiones del lado del cliente (CSE) de políticas de grupo
requeridas por la configuración del GPO. El formato de los archivos de políticas de registro (normalmente “registry.pol”) es un formato de archivo
binario documentado, normalmente producido por editores de políticas de grupo como GpEdit.msc. Los archivos de políticas de registro
contienen comandos de registro relativos a una clave raíz no especificada y no contienen información que indique explícitamente si
están destinados a la Configuración de computadora (HKLM) o a la Configuración de usuario (HKCU).
La clave raíz de destino se deriva de que el archivo registro.pol se encuentra en un directorio de "Máquina" o "Usuario". Los archivos de políticas
de registro contienen configuraciones de varias secciones de los editores de GPO, en particular las secciones Plantillas administrativas de
computadora y usuario, Firewall de Windows con seguridad avanzada y Políticas de control de aplicaciones (AppLocker). Si agrega un archivo
de política de registro individualmente, debe especificar si debe tratarse como un archivo de configuración de computadora o de usuario.
�Machine Translated by Google
Los archivos de plantilla de seguridad (normalmente “GptTmpl.inf”) son archivos de texto en el antiguo formato de archivo “.ini” de Windows 3.x.
Los archivos de plantilla de seguridad normalmente contienen configuraciones de las secciones Políticas de cuenta y Políticas locales en
Configuración del equipo\Configuración de Windows\Configuración de seguridad en el editor de GPO. Estas configuraciones incluyen política de
contraseñas, política de bloqueo de cuentas, política de auditoría heredada, asignaciones de derechos de usuario y opciones de seguridad.
Los archivos de copia de seguridad de políticas de auditoría (normalmente “audit.csv”) son archivos de texto con valores separados por comas
(CSV). Contienen datos que representan la configuración en la carpeta Configuración de política de auditoría avanzada en Configuración de seguridad.
Las copias de seguridad de la política de grupo incluyen un archivo backup.xml que, entre otras cosas, hace referencia a las extensiones del
lado del cliente (CSE) de la política de grupo requeridas por la configuración del GPO. Un CSE es una DLL registrada con el motor de políticas de
grupo en una computadora administrada y que realiza acciones adicionales más allá de la simple configuración de un valor de registro. Numerosos
entornos de médicos de cabecera requieren que se invoque un CSE para implementar plenamente el efecto previsto de la política.
Si agrega archivos usando Agregar archivos desde GPO(s)…, Policy Analyzer identifica los nombres de GPO de los archivos en la copia de seguridad
o las copias de seguridad de GPO. Si selecciona archivos usando las otras opciones, Policy Analyzer establece el nombre de la política del archivo
en un valor de marcador de posición. Puede cambiar el nombre de la política asociada con un archivo seleccionando la fila y presionando F2 o
haciendo doble clic en el nombre y luego escribiendo el nombre de su elección. (Tenga en cuenta que editar las entradas CSE del valor
"Nombre de la política" no tiene ningún efecto sobre lo que se guarda). Para eliminar un archivo del conjunto antes de importarlo, seleccione la fila y
presione la tecla Supr o elija Eliminar en el menú Editar.
Una vez que haya seleccionado todos los archivos que desea incluir, haya eliminado las entradas que no desee y esté satisfecho con los
nombres de las políticas asociadas con esos archivos, haga clic en el botón Importar e ingrese un nombre de archivo en el que guardar el conjunto.
Policy Analyzer ingiere el contenido de los archivos especificados, lo canonicaliza y lo guarda como un archivo XML con una extensión de
archivo .PolicyRules. Cuando agrega un archivo a la colección, Policy Analyzer marca automáticamente la casilla junto al archivo en la lista para
que pueda verlo inmediatamente (opcionalmente con otros conjuntos de reglas de políticas) haciendo clic en el botón Ver/Comparar.
Puede incluir tantos GPO como desee en un único conjunto de GPO. Normalmente puede tener sentido tratar los GPO que se aplican juntos como un
solo conjunto. Tenga en cuenta que si incluye varios GPO en un conjunto de GPO, Policy Analyzer no intenta determinar el orden de prioridad
entre los GPO. Policy Analyzer puede mostrar cuándo un conjunto de GPO contiene configuraciones contradictorias, pero no predecirá qué
configuración "ganará".
�Machine Translated by Google
Uso del Visor de políticas de Policy Analyzer para ver y comparar líneas de base
Habilite una o más de las casillas de verificación de los conjuntos de reglas de políticas y haga clic en Ver/Comparar para
abrir el Visor de políticas que se mostró anteriormente. El Visor de políticas enumera todos los valores configurados por los
conjuntos de políticas y los valores configurados por cada conjunto de políticas en su propia columna. El fondo de la celda
es amarillo si dos conjuntos de políticas configuran el valor de forma diferente. Un fondo gris sin texto indica que la política
establecida en esa columna no configura la configuración. Un fondo blanco indica que el conjunto de políticas configura el valor
y que ningún otro conjunto de políticas configura ese valor con un valor diferente. Un fondo gris claro en una celda indica que el
conjunto de políticas define la misma configuración varias veces, normalmente en diferentes GPO.
El panel de detalles en la sección inferior de la ventana identifica la ruta (o rutas) en el editor de objetos de política de grupo
que pueden configurar la configuración seleccionada, la opción u opciones de GPO asociadas con los valores seleccionados,
el tipo de datos subyacente y cualquier otro disponible. información. Como ejemplo de "otra información disponible", si los valores
representan descriptores de seguridad o identificadores de seguridad, Policy Analyzer los traduce a un formato legible por humanos
(o en un formato legible por nerds, de todos modos ☺). Tenga en cuenta que si dos políticas configuran el mismo valor de registro
en "5", pero una lo establece como un valor numérico y la otra como un valor de cadena de texto, Policy Analyzer marcará esta
diferencia (REG_DWORD vs. REG_SZ). Puede ver información adicional sobre los GPO asociados con cada configuración
habilitando Mostrar nombres de GPO [y archivos] en el panel Detalles y Mostrar texto explicativo de las configuraciones en el
menú Opciones.
Habilite una o más de las casillas de verificación de los conjuntos de reglas de políticas y haga clic en "Comparar con el
estado efectivo" para comparar las líneas base seleccionadas con el estado configurado actual de la computadora local. La
operación requerirá la elevación de UAC si alguna de las líneas base seleccionadas incluye una plantilla de seguridad o
configuraciones de auditoría avanzadas que requieren elevación para recuperarse. El Visor de políticas mostrará la configuración
combinada de todos los conjuntos de reglas de políticas seleccionados en una columna bajo el título "Líneas de base" y las
configuraciones actuales correspondientes en la computadora local y el usuario que inició sesión en una columna separada bajo
el título “Estado efectivo”. La configuración del estado efectivo también se guarda en un nuevo archivo .PolicyRules con
un nombre que combina "EffectiveState_", el nombre actual de la computadora y la fecha y hora actuales en el formato
"yyyyMMddHHmmss". Por ejemplo, "EffectiveState_WKS51279_20200210183947.PolicyRules".
Todas las columnas de la lista del Analizador de políticas se pueden ordenar haciendo clic en sus encabezados y se pueden
reordenar arrastrando los encabezados a nuevas posiciones. Puede ocultar el panel de detalles alternando Mostrar panel de detalles
opción en el menú Ver.
Debido a que uno de los propósitos principales del Analizador de políticas es identificar diferencias entre conjuntos de políticas,
el menú Ver le permite ocultar configuraciones que son iguales. Habilite Mostrar solo diferencias para ocultar todas las filas que
tienen el mismo valor en todos los conjuntos de políticas. Habilite Mostrar solo conflictos para mostrar solo aquellas filas en las
que se configuran diferentes valores. Dicho de otra manera, Mostrar sólo diferencias muestra filas que tienen celdas grises o
amarillas; Mostrar solo conflictos muestra solo filas que tienen celdas de fondo amarillo.
�Machine Translated by Google
Seleccione el filtro de GPO en el menú Ver para ver un subconjunto de los GPO en una columna seleccionada. En la
captura de pantalla siguiente, el conjunto de políticas “Win10IE11BaselinesDRAFT” está seleccionado en el menú
desplegable Conjunto de reglas de políticas y muestra que consta de 7 GPO. Seleccione conjuntos de reglas de políticas en el
menú desplegable y desmarque los GPO que no desee incluir en la lista del Visor de políticas. Esto le permite centrarse en GPO
específicos en la comparación. Haga clic en Copiar lista para copiar la lista de GPO mostrada al portapapeles como texto.
Seleccione Extensiones del lado del cliente (CSE) en el menú Ver para revisar una lista de los CSE asociados con las copias de
seguridad de GPO en cada columna. Haga clic en Copiar lista para copiar la lista mostrada de CSE al portapapeles como texto.
(Tenga en cuenta que las versiones anteriores de Policy Analyzer no capturaban información sobre los CSE, por lo que los archivos
PolicyRules que crearon no informarán ningún CSE).
Puede buscar entradas usando el menú del icono de binoculares, o Ctrl+F y F3, e ingresando un término de búsqueda en el
cuadro de diálogo Buscar. El Visor de políticas comenzará o reanudará la búsqueda desde la fila actualmente seleccionada y
buscará el texto en la lista mostrada, así como en las rutas de política de grupo y los nombres asociados con la
entradas.
El menú Exportar le permite exportar datos desde el Visor de políticas a una hoja de cálculo de Excel. Exportar tabla a Excel
exporta solo los datos en la vista de tabla. Exportar todos los datos a Excel incluye los datos que se muestran en el Panel de
detalles, incluidas las rutas de GPO, los nombres de las opciones y los tipos de datos, así como la información seleccionada en el
menú Opciones.
Para traducir valores de registro a rutas y nombres de GPO de plantillas administrativas, Policy Analyzer lee todos los archivos
ADMX del directorio identificado por la etiqueta "Definiciones de políticas en" en la parte inferior de la ventana principal de Policy
Analyzer, y los archivos ADML correspondientes específicos del idioma de sus subdirectorios. . El
�Machine Translated by Google
El directorio local %windir%\PolicyDefinitions está seleccionado de forma predeterminada. Puede elegir un conjunto diferente de
archivos ADMX haciendo clic en el nombre del directorio y seleccionando una ruta diferente, que puede ser un recurso compartido de
red, como un almacén central. Tenga en cuenta que esto afectará sólo a las nuevas operaciones Ver/Comparar, no a los
resultados que ya se muestran.
Policy Analyzer hace todo lo posible para utilizar los archivos ADML desde el idioma de interfaz de usuario preferido del usuario. Si
Policy Analyzer no puede encontrar un archivo ADML en el subdirectorio de idioma del usuario, Policy Analyzer busca en ENUS y
finalmente en el subdirectorio EN. Policy Analyzer también intenta utilizar el idioma principal del sistema operativo cuando muestra
otras configuraciones, pero parte del texto está codificado en inglés.
El Visor de políticas muestra ***CONFLICTO*** en una celda para indicar que el conjunto de GPO tiene varias definiciones para la
configuración que no son todas iguales. Informa [[[eliminar]]] para indicar que el GPO incluye un comando para eliminar el valor del
registro si existe, y [[[Eliminar todos los valores]]] para indicar que el GPO incluye un comando para eliminar todos los valores
dentro de un llave. Varios GPO que administran listas de configuraciones eliminarán todos los valores dentro de una clave antes
de establecer los valores en la lista.
Dividir y fusionar archivos de políticas
Policy Analyzer viene con dos scripts de PowerShell, SplitPolicyRules.ps1 y MergePolicyRules.ps1.
SplitPolicyRules.ps1 divide el contenido de un archivo "PolicyRules" que representa varios GPO en archivos separados, uno
para cada GPO. El parámetro basename se convierte en el nombre base de los nuevos archivos, con los nombres de GPO agregados
a ese nombre base.
Por ejemplo, el archivo de muestra MSFTWin10v1607RS1Srv2016.PolicyRules combina configuraciones de once GPO
diferentes, por lo que SplitPolicyRules.ps1 genera once archivos a partir de él, como se muestra aquí. Tenga en cuenta que el
El parámetro basename puede incluir una ruta absoluta o parcial, así como un nombre.
PS C:\demo> SplitPolicyRules.ps1 .\MSFTWin10v1607RS1Srv2016.PolicyRules .\targetDir\Win10v1607WS2016
.\targetDir\Win10v1607WS2016SCM Internet Explorer 11 Usuario.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows Server 2016: controlador de dominio Baseline.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows 10 y Server 2016 Credential Guard.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows 10 RS1 Usuario.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows Server 2016: línea base del servidor miembro: Computer.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows 10 RS1 BitLocker.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows 10 RS1 Computer.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows 10 y Server 2016 Seguridad de dominio.PolicyRules
.\targetDir\Win10v1607WS2016SCM Internet Explorer 11 Computer.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows Server 2016: línea base del servidor miembro: User.PolicyRules
.\targetDir\Win10v1607WS2016SCM Windows 10 y Server 2016 Defender.PolicyRules
MergePolicyRules.ps1 combina el contenido de dos archivos PolicyRules en un conjunto de PolicyRules, que se escribe en la
canalización. Redirija esa salida a un archivo usando el operador > o el cmdlet OutFile. Por ejemplo:
.\MergePolicyRules.ps1 .\RuleSetOne.PolicyRules .\RuleSetTwo.PolicyRules > .\RuleSetOneTwo.PolicyRules
Notas técnicas
Policy Analyzer consta de un ejecutable principal, PolicyAnalyzer.exe, y dos archivos de programas auxiliares,
PolicyRulesFileBuilder.exe y PolicyAnalyzer_GetLocalPolicy.exe. (Es de esperar que algún día todo esté empaquetado en un único
ejecutable, al estilo Sysinternals). Los tres deberían copiarse en el mismo directorio.
�Machine Translated by Google
PolicyAnalyzer.exe y PolicyAnalyzer_GetLocalPolicy.exe requieren .NET Framework v4.6. Ejecute sólo PolicyAnalyzer.exe.
Debido a que la mayoría de las configuraciones de valores múltiples son independientes del orden, Policy Analyzer canonicaliza las
configuraciones de valores múltiples ordenándolas alfabéticamente. Esto trata las configuraciones como idénticas cuando solo el orden es diferente.
Por ejemplo, si SeSystemTimePrivilege está configurado en “*S1519, *S1532544” en una plantilla y “*S15
32544, *S1519” en otro, producen el mismo resultado final, pero una comparación directa del texto mostraría una diferencia. Hay casos
raros en los que las configuraciones de valores múltiples dependen del orden (como "Orden de la curva ECC") y, como resultado, las
diferencias reales pueden quedar enmascaradas.
La versión actual de Policy Analyzer cubre la mayoría de las áreas de la Política de grupo, pero aún no incluye soporte para el análisis
de las Preferencias de la Política de grupo, ni de scripts de inicio, apagado, inicio o cierre de sesión.
