Использование сценария для редактирования локальной групповой политики Windows Server 2012
Я защищаю компьютер под управлением Windows Server 2012 R2 для обслуживания защищенных веб-страниц и следую руководству, в котором изложены несколько параметров локальной групповой политики и параметров реестра.
При изучении того, как автоматизировать этот процесс, я нахожу способы экспорта и импорта групповой политики с помощью Powershell следующим образом: https://technet.microsoft.com/en-us/library/ee461027.aspx
Этот серверный компьютер не присоединен к домену и на нем не установлена консоль управления групповыми политиками. К сожалению, я не нашел ресурса для использования автоматического метода (скрипт, код) для изменения параметров локальной групповой политики, таких как:
Редактор локальной групповой политики -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита системы -> Аудит доступа к глобальным объектам -> Определил эту политику -> Настроить
Редактор локальной групповой политики -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности -> Доступ к сети: не разрешать анонимное перечисление учетных записей и общих ресурсов SAM.
Моя конечная цель - создать процесс или сценарий, который может установить около 100 различных параметров реестра и параметров локальной групповой политики на сервере, чтобы заблокировать его. Избегайте ручной настройки каждого из них.
5 ответов
Я смог исследовать и найти то, что мне нужно для этой цели! Ресурс, из которого я нашел лучшее направление, был следующим:
http://www.itninja.com/blog/view/using-secedit-to-apply-security-templates
Параметры локальной групповой политики и параметры безопасности могут быть переданы в несколько шагов:
1. Настройки безопасности:
Щелкните правой кнопкой мыши Параметры безопасности в Редакторе локальной групповой политики (Изменить групповую политику) и выберите Экспорт политики... Сохраните INF-файл и перенесите на компьютер, на котором вы хотите использовать те же параметры. На новом компьютере откройте командную строку и используйте команду secedit.
secedit / configure / db c: \ windows \ security \ local.sdb / cfg {. \ path \ to.inf}
Просмотрите все ошибки, которые возникли, я имел дело с учетными записями пользователей, пытаясь установить разрешения, которых не было на новом компьютере.
2. Остальная часть локальной групповой политики
Найдите папку%systemroot%\system32\grouppolicy\ hidden и скопируйте вложенные папки на целевой компьютер в том же месте.
Откройте командную строку и используйте
gpupdate / force
3. Остатки
Для разнообразия я смог использовать команды powershell для добавления или редактирования ключей реестра:
Добавлять:
Новый элемент -Path HKCU:\Software -Name hsg –Force
Редактировать:
PS C:> Push-Location
PS C:> Set-Location HKCU: \ Software \ hsg
PS HKCU: \ Software \ hsg> Set-ItemProperty. newproperty "mynewvalue"
Для компьютеров, не входящих в домен, вы устанавливаете эти вещи с помощью локальной политики безопасности, а не групповой политики. И те, вы можете импортировать и экспортировать, используя соответствующую MMC (secpol.msc)
Используйте инструмент GPOpack из SCM для развертывания настроек на компьютерах, не входящих в домен. Если у вас есть прямые изменения реестра, которых нет в групповой политике, вам придется добавить команды reg.exe
Позднее добавление: рассмотрите возможность использования audpol.exe для сценариев. Кто-то написал пример powershell, используя audit, который проверяет конфигурацию на соответствие ожидаемым значениям.
Установка:
auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable
Получение:
PS C:\Windows\system32> auditpol /get /category:* /r
Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting
DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure,
DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing,
...
Используйте новый инструмент LGPO.EXE. Его документировано и доступно для скачивания здесь: https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/
Судя по некоторым комментариям в ссылке, он не является исчерпывающим, и он полностью удовлетворил мои потребности.
Он также работает на Windows Server 2016, чего, как сообщается, LocalGPO.Exe в инструменте SCM 3.0 нет. И фактически LocalGPO.EXE больше не поставляется в SCM 4.0, хотя в SCM все еще есть ссылка на текст справки!