Je dépreneure une machine Windows Server 2012 R2 pour servir des pages Web sécurisées et après un guide qui établit plusieurs paramètres de stratégie de groupe locaux et paramètres de registre.
Lors de la recherche sur la manière d'automatiser ce processus, je ne trouve que des moyens d'exporter et d'importer une stratégie de groupe à l'aide de PowerShell comme suit: https://technet.microsoft.com/en-us/library/ee461027.aspx
Cette machine de serveur n'est pas jointe à un domaine et n'a pas installé la console de gestion des stratégies de groupe. Malheureusement, je n'ai pas trouvé de ressource à utiliser une méthode automatique (script, code) pour modifier les paramètres de stratégie de groupe locaux tels que:
Éditeur de stratégie de groupe local -> Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Configuration de la stratégie d'audit avancée -> Politiques d'audit système -> Audit d'accès mondial d'objet -> Défini cette stratégie -> Configurer
Éditeur de stratégie de groupe local -> Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Politiques locales -> Options de sécurité -> Accès au réseau: N'autorisez pas l'énumération anonyme de comptes et d'actions anonymes
Mon objectif final est de créer un processus ou un script pouvant définir environ 100 paramètres de registre différents et paramètres de stratégie de groupe locaux sur une machine serveur afin de le verrouiller. Éviter de configurer manuellement chacun.
J'ai pu rechercher et trouver ce dont j'ai besoin sur cet objectif! La ressource que j'ai trouvée la meilleure direction de l'était comme suit:
http://www.itninja.com/blog/view/using-secedit-a-apply-Security-Templates
Les paramètres de stratégie de groupe locaux et les paramètres de sécurité peuvent être transférés dans quelques étapes:
1. Paramètres de sécurité:
Faites un clic droit sur Paramètres de sécurité dans l'éditeur de stratégie de groupe local (stratégie de groupe) et sélectionnez Exporter la stratégie ... Enregistrez le fichier .inf et transfert sur la machine que vous souhaitez utiliser les mêmes paramètres. Sur la nouvelle machine, ouvrez une invite de commande et utilisez la commande sécedit
sécedit /Configurer/DB C:\Windows\Security\local.sdb/cfg {.\chemin\to.inf}
Examinez les erreurs qui reviennent, je traitais avec des comptes d'utilisateurs qui tentent d'être définies pour des autorisations qui n'existaient pas sur la nouvelle machine.
2. Le reste de la politique du groupe local
Localisez le dossier% Systemroot%\System32\GroupPolicy\Cachée et copiez les sous-dossiers sur la machine cible située au même endroit.
Ouvrez une invite de commande et utilisez
GPUpdate /Force
3. Les restes
Pour la diverse, j'ai pu utiliser les commandes PowerShell pour ajouter ou modifier des clés de registre:
Ajouter:
nouveau-item -Path HKCU:\Software -Name -Name HSG -Force
Éditer:
PS C:> Push-Emplacement
PS C:> SET-Emplacement HKCU:\logiciel\hsg
PS HKCU:\logiciel\hsg> set-itemProperty. NEWPROPERTY "MYNEWVALUE"
Pour les machines non domestiques, vous définissez ces choses via la politique de sécurité locale, pas la politique de groupe. Et ceux-ci, vous pouvez importer et exporter à l'aide du correctif MMC (secpol.msc
)
utilisez l'outil GPOPACACK à partir de SCM pour déployer des paramètres sur des machines jointes non de domaine. Si vous avez des modifications directes de registre qui ne sont pas dans la stratégie de groupe, vous devrez ajouter des commandes Reg.exe
Ajout tardif: envisagez d'utiliser auditpol.exe pour script. Quelqu'un a écrit A exemple PowerShell en utilisant Auditpol qui vérifie la configuration contre les valeurs attendues.
réglage:
auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable
Obtenir:
PS C:\Windows\system32> auditpol /get /category:* /r
Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting
DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure,
DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing,
...
Utilisez le nouvel outil LGPO.EXE. Son documenté et téléchargeable à partir d'ici: https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-Objecte-utilité-v1-0/
Aller par certains des commentaires dans le lien qu'il n'est pas complet, et cela a répondu à mes besoins complètement.
Cela fonctionne également sur Windows Server 2016 que localgpo.exe dans l'outil SCM 3.0 aurait fait. Et en fait, localgpo.exe n'est plus expédié dans SCM 4.0, bien qu'il existe toujours un lien vers le texte de l'aide pour celui-ci dans SCM!