Я укрепляю машину Windows Server 2012 R2 для обслуживания безопасных веб-страниц и после руководства, которое размечает несколько Локальных Настроек Групповой политики и Настроек Реестра.
При исследовании, как автоматизировать этот процесс, я только нахожу способы экспортировать и импортировать использование Групповой политики Powershell следующим образом: https://technet.microsoft.com/en-us/library/ee461027.aspx
Эта машина сервера не соединена с доменом и не установила Консоль управления Групповой политикой. К сожалению, я не нашел, что ресурс использует автоматический метод (сценарий, код) для изменения Локальных настроек Group Policy, таких как:
Локальный Редактор Групповой политики-> Конфигурация компьютера-> Windows Settings-> Настройки безопасности-> Усовершенствованная Конфигурация Политики аудита-> Системная Политика аудита-> Контроль за доступом Глобального объекта-> Определенный эта политика-> Настраивает
Локальный Редактор Групповой политики-> Конфигурация компьютера-> Windows Settings-> Настройки безопасности-> Локальные политики-> Параметры безопасности-> Доступ к сети: не позволяйте анонимное перечисление учетных записей SAM и долей
Моя конечная цель должна создать процесс или сценарий, который может установить приблизительно 100 различных Настроек Реестра и Локальные Настройки Групповой политики на машине сервера для блокировки его вниз. Предотвращение вручную настраивающий каждого.
Я смог исследовать и найти то, что мне нужно для этой цели! Ресурс, из которого я нашел лучшее направление, был следующим:
http://www.itninja.com/blog/view/using-secedit-to-apply-security-templates
Параметры локальной групповой политики и безопасности настройки можно перенести за пару шагов:
1. Параметры безопасности:
Щелкните правой кнопкой мыши "Параметры безопасности" в редакторе локальной групповой политики ("Изменить групповую политику") и выберите "Экспорт политики ..." Сохраните файл .inf и перенесите его на машину, на которой хотите использовать те же настройки. На новом компьютере откройте командную строку и используйте команду secedit
secedit / configure / db c: \ windows \ security \ local.sdb / cfg {. \ Path \ to.inf}
. любые возникающие ошибки я имел дело с учетными записями пользователей, которые пытались установить для разрешений, которых не было на новой машине.
2. Остальная часть локальной групповой политики
Найдите скрытую папку% systemroot% \ system32 \ grouppolicy \ и скопируйте подпапки на целевой компьютер в том же месте.
Откройте командную строку и используйте
gpupdate ] / force
3. Остатки
Для разного я смог использовать команды PowerShell для добавления или редактирования ключей реестра:
Добавить:
New-Item -Path HKCU: \ Software -Name hsg –Force
Изменить:
PS C:> Push-Location
PS C:> Set-Location HKCU: \ Software \ hsg
PS HKCU: \ Software \ hsg> Set-ItemProperty. newproperty "mynewvalue"
используйте инструмент GPOpack из SCM для развертывания настроек на машинах, не присоединенных к домену. Если у вас есть прямые правки реестра, которых нет в групповой политике, вам придется добавить команды reg.exe
Для компьютеров, не относящихся к домену, вы устанавливаете эти параметры с помощью локальной политики безопасности, а не групповой политики. Их можно импортировать и экспортировать с помощью соответствующей MMC ( secpol.msc
)
Воспользуйтесь новым инструментом LGPO.EXE. Это задокументировано и доступно для загрузки отсюда: https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/
По некоторым комментариям в ссылке он не является исчерпывающим и полностью удовлетворил мои потребности.
Он также работает на Windows Server 2016, которого, как сообщается, не поддерживает LocalGPO.Exe в инструменте SCM 3.0. Фактически LocalGPO.EXE больше не входит в состав SCM 4.0, хотя в SCM все еще есть ссылка на текст справки!
Позднее добавление: рассмотрите возможность использования auditpol.exe для написания сценариев. Кто-то написал пример PowerShell с использованием auditpol, который проверяет конфигурацию на соответствие ожидаемым значениям.
Параметр :
auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable
Получение :
PS C:\Windows\system32> auditpol /get /category:* /r
Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting
DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure,
DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing,
...