Сценарий: я провожу аудит конфигурации на сервере, который присоединен к домену. Для обязательных параметров конфигурации безопасности определены групповые политики, которые передаются членам домена, но не все параметры. Остальные настройки должны быть определены локально на сервере через один из множества интерфейсов конфигурации. Некоторые параметры легко проверить, поскольку в них создаются ключи реестра. Остальные ... не очень.
Например, если я хочу проверить, правильно ли настроены параметры «Доступ к сети: разрешить анонимный перевод SID / имени», я должен использовать вызов RSOP (через Powershell или другой инструмент, например BigFix / TEM). Проблема в том, что настройки, определенные локальным GPE, не отражаются в RSOP.
Итак, в конечном итоге возникает вопрос: есть ли в реестре скрытый куст, в котором хранятся этот параметр и другие подобные ему?
В соответствии с эта статья TechNet похоже, что ключ к рассматриваемой политике HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
Я не могу придумать никаких настроек GPO, которые не выталкивают ключи реестра, поэтому вы можете просто сделать что-то вроде:
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
Нет никакой "скрытой" ветки или чего-то подобного. Я не понимаю, о чем вы там говорите. Если ключ не существует, это значит, что он не настроен.
ОБНОВИТЬ: здесь доступен более новый инструмент: http://blogs.technet.com/b/secguide/archive/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0.aspx
Кроме того, я обнаружил, что не все элементы перечисляются путем получения объектов групповой политики на основе реестра, и вместо этого требуется использование secedit для аудита и очень специфического и сложного синтаксического анализа реестра для обнаружения изменений с релевантностью BigFix.
Вы можете проверить локальный объект групповой политики, установленный в системе, с помощью инструмента, предоставленного кем-то из Microsoft под названием "LGPO_Utilities"
Подробнее здесь: http://blogs.technet.com/b/fdcc/archive/2008/05/07/lgpo-utilities.aspx
Этот инструмент можно использовать для установки Локальный GPO, но его также можно использовать для экспорт все текущие локальные объекты групповой политики в текстовый файл.
Я использую этот инструмент, чтобы установить локальный объект групповой политики для многих вещей, которые либо требуют установки параметров через локальный объект групповой политики, либо параметров, которые я хочу применить к пользователям, использующим локальный объект групповой политики, но развернутым через BigFix / IBM Endpoint Manager.
См. Этот пример: http://bigfix.me/fixlet/details/3827
У меня есть еще несколько примеров, опубликованных в BigFix.me
Этот вопрос дает мне идею создать задачу, которая будет запускаться каждые несколько дней, которая будет экспортировать все настройки локального GPO, чтобы их можно было проверять с помощью анализа BigFix.
Я знаю, что опаздываю на вечеринку, но я сегодня немного потратил на это время.
Вот как я смог получить значение для настроек Доступ к сети: Разрешить анонимный перевод SID / имени
$null = secedit /export /cfg $env:temp/secexport.cfg
$(gc $env:temp/secexport.cfg | Select-String "LSAAnonymousNameLookup").ToString().Split('=')[1].Trim()
Это должно вернуться 0
если отключен и 1
если включено.
Похоже, что для этого параметра не создается рег-ключ, по крайней мере, я не мог отследить его с помощью procmon
.
Официальный список GPO и ключа реестра находится здесь: Справочник по параметрам групповой политики для Windows и Windows Server
Это дает большой файл Excel с такой информацией, как:
МАШИНА
Административные шаблоны \ Система \ Профили пользователей Добавить группу безопасности «Администраторы» в перемещаемые профили пользователей По крайней мере, семейство Microsoft Windows XP Professional или Windows Server 2003. Этот параметр добавляет группу безопасности «Администратор» в общую папку перемещаемых профилей пользователей. После того как администратор настроил перемещаемый профиль пользователя, он будет создан при следующем входе пользователя в систему. Профиль создается в месте, указанном администратором. Для операционных систем Windows 2000 Professional и Windows XP Professional разрешения по умолчанию для файла для вновь созданного профиля - это полный контроль или доступ для чтения и записи для пользователя, а не для доступа к файлам для группы администраторов. Настроив этот параметр, вы можете изменить это поведение. Если вы включите этот параметр, группа администраторов также получит полный контроль над папкой профиля пользователя. Если вы отключите или не настроите его, только пользователю предоставляется полный контроль над своим профилем пользователя, а группа администраторов не имеет доступа к этой папке файловой системы. Примечание. Если параметр включен после создания профиля, он не действует. Примечание. Этот параметр должен быть настроен на клиентском компьютере, а не на сервере, чтобы он имел какой-либо эффект, поскольку клиентский компьютер устанавливает разрешения общего доступа к файлу для перемещаемого профиля во время создания. Примечание. По умолчанию администраторы не имеют доступа к файлам профиля пользователя, но они все равно могут стать владельцем этой папки, чтобы предоставить себе права доступа к файлам. Примечание. Поведение при включении этого параметра в точности такое же, как в Windows NT 4.0.
HKLM \ Software \ Policies \ Microsoft \ Windows \ System! AddAdminGroupToRUP
Итак, найдите в этом документе ключ, который вы хотите проверить.