Я усиливаю систему Windows Server 2012 R2 для обслуживания защищенных веб-страниц и следую руководству, в котором изложены несколько параметров локальной групповой политики и параметров реестра.
Изучая, как автоматизировать этот процесс, я нахожу только следующие способы экспорта и импорта групповой политики с помощью Powershell: https://technet.microsoft.com/en-us/library/ee461027.aspx
Этот серверный компьютер не присоединен к домену и на нем не установлена консоль управления групповой политикой. К сожалению, я не нашел ресурса для использования автоматического метода (скрипта, кода) для изменения параметров локальной групповой политики, таких как:
Редактор локальной групповой политики -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита системы -> Аудит доступа к глобальным объектам -> Определил эту политику -> Настроить
Редактор локальной групповой политики -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности -> Доступ к сети: не разрешать анонимное перечисление учетных записей и общих ресурсов SAM
Моя конечная цель - создать процесс или сценарий, который может установить около 100 различных параметров реестра и параметров локальной групповой политики на сервере, чтобы заблокировать его. Избегайте ручной настройки каждого из них.
Я смог исследовать и найти то, что мне нужно для этой цели! Ресурс, на котором я нашел лучшее направление, был следующим:
http://www.itninja.com/blog/view/using-secedit-to-apply-security-templates
Параметры локальной групповой политики и параметры безопасности можно перенести за пару шагов:
1. Настройки безопасности:
Щелкните правой кнопкой мыши «Параметры безопасности» в редакторе локальной групповой политики («Изменить групповую политику») и выберите «Экспорт политики» ... Сохраните файл .inf и перенесите его на компьютер, на котором вы хотите использовать те же параметры. На новом компьютере откройте командную строку и используйте команду secedit.
secedit / configure / db c: \ windows \ security \ local.sdb / cfg {. \ path \ to.inf}
Просмотрите все возникающие ошибки. Я имел дело с учетными записями пользователей, которые пытались установить для разрешений, которых не было на новом компьютере.
2. Остальная часть локальной групповой политики
Найдите папку% systemroot% \ system32 \ grouppolicy \ hidden и скопируйте подпапки на целевой компьютер в том же месте.
Откройте командную строку и используйте
gpupdate / сила
3. Остатки
Для разного я смог использовать команды PowerShell для добавления или редактирования ключей реестра:
Добавить:
Новый предмет -Path HKCU: \ Software -Name hsg –Force
Редактировать:
PS C:> Push-Location
PS C:> Установить местоположение HKCU: \ Software \ hsg
PS HKCU: \ Software \ hsg> Set-ItemProperty. новое свойство "mynewvalue"
Для компьютеров, не относящихся к домену, вы устанавливаете эти параметры с помощью локальной политики безопасности, а не групповой политики. И те, которые вы можете импортировать и экспортировать, используя соответствующую MMC (secpol.msc)
Позднее добавление: рассмотрите возможность использования auditpol.exe для написания сценариев. Кто-то написал пример PowerShell с помощью auditpol, который проверяет конфигурацию на соответствие ожидаемым значениям.
Настройка:
auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable
Получение:
PS C:\Windows\system32> auditpol /get /category:* /r
Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting
DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure,
DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing,
...
Используйте новый инструмент LGPO.EXE. Это задокументировано и доступно для загрузки отсюда: https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/
Судя по некоторым комментариям в ссылке, он не является исчерпывающим и полностью удовлетворил мои потребности.
Он также работает на Windows Server 2016, которого, как сообщается, не поддерживает LocalGPO.Exe в инструменте SCM 3.0. Фактически, LocalGPO.EXE больше не входит в состав SCM 4.0, хотя в SCM по-прежнему есть ссылка на текст справки по нему!
используйте инструмент GPOpack из SCM для развертывания настроек на машинах, не присоединенных к домену. Если у вас есть прямые правки реестра, которых нет в групповой политике, вам нужно будет добавить команды reg.exe