web-dev-qa-db-ja.com

スクリプトを使用してローカルグループポリシーを編集するWindows Server 2012

安全なWebページを提供するためにWindows Server 2012 R2マシンを強化し、複数のローカルグループポリシー設定とレジストリ設定を配置するガイドに従っています。

このプロセスを自動化する方法を調べるとき、Powershellを使用してグループポリシーをエクスポートおよびインポートする方法は次のようにしかわかりません: https://technet.Microsoft.com/en-us/library/ee461027.aspx

このサーバーマシンはドメインに参加しておらず、グループポリシー管理コンソールがインストールされていません。残念ながら、次のようなローカルグループポリシー設定を変更するための自動方法(スクリプト、コード)を使用するリソースは見つかりませんでした。

ローカルグループポリシーエディター->コンピューターの構成-> Windows設定->セキュリティ設定->詳細監査ポリシー構成->システム監査ポリシー->グローバルオブジェクトアクセス監査->このポリシーの定義->構成

ローカルグループポリシーエディター->コンピューターの構成-> Windows設定->セキュリティ設定->ローカルポリシー->セキュリティオプション->ネットワークアクセス:SAMアカウントと共有の匿名の列挙を許可しない

私の最終目標は、サーバーマシンをロックダウンするために、サーバーマシンで約100種類のレジストリ設定とローカルグループポリシー設定を設定できるプロセスまたはスクリプトを作成することです。それぞれを手動で構成することを避けます。

group-policywindows-server-2012-r2automationlocalhardening
4
ibsk8in31

私はこの目標に必要なものを研究して見つけることができました!私が最良の方向性を見つけたリソースは次のとおりです。

http://www.itninja.com/blog/view/using-secedit-to-apply-security-templates

ローカルグループポリシー設定とセキュリティ設定は、いくつかの手順で転送できます。

1。セキュリティ設定:

ローカルグループポリシーエディター(グループポリシーの編集)で[セキュリティ設定]を右クリックし、[ポリシーのエクスポート...]を選択します。infファイルを保存し、同じ設定を使用するマシンに転送します。新しいマシンで、コマンドプロンプトを開き、seceditコマンドを使用します。

secedit/ configure/db c:\ windows\security\local.sdb/cfg {。\ path\to.inf}

返されたエラーを確認します。私は、新しいマシンに存在しないアクセス許可を設定しようとしているユーザーアカウントを処理していました。

2。ローカルグループポリシーの残りの部分

%systemroot%\ system32\grouppolicy \隠しフォルダーを見つけ、サブフォルダーを同じ場所のターゲットマシンにコピーします。

コマンドプロンプトを開いて使用する

gpupdate/ force

3。遺跡

その他については、Powershellコマンドを使用してレジストリキーを追加または編集できました。

追加:

New-Item-Path HKCU:\ Software -Name hsg –Force

編集:

PS C:>プッシュロケーション

PS C:> Set-Location HKCU:\ Software\hsg

PS HKCU:\ Software\hsg> Set-ItemProperty。 newproperty "mynewvalue"

2
ibsk8in31

非ドメインマシンの場合は、グループポリシーではなくローカルセキュリティポリシーを使用してこれらを設定します。そして、適切なMMC(secpol.msc

1
mfinni

sCMのGPOpackツールを使用して、ドメインに参加していないコンピューターに設定を展開します。グループポリシーにないレジストリを直接編集している場合は、reg.exeコマンドを追加する必要があります。

0
Jim B

後から追加:スクリプトにauditpol.exeを使用することを検討してください。誰かが powershellの例 を設定して、予想値に対して構成をチェックするauditpolを使用しています。

設定

auditpol /set /category:Logon/Logoff /subcategory:"Account Lockout" /Success:enable /failure:disable

取得

PS C:\Windows\system32> auditpol /get /category:* /r 
Machine Name,Policy Target,Subcategory,Subcategory GUID,Inclusion Setting,Exclusion Setting

DESKTOP-7Q0D9I7,System,Logon,{0CCE9215-69AE-11D9-BED3-505054503030},Success and Failure,
DESKTOP-7Q0D9I7,System,User / Device Claims,{0CCE9247-69AE-11D9-BED3-505054503030},No Auditing,
...
0
Alex M

新しいLGPO.EXEツールを使用します。文書化されており、ここからダウンロードできます: https://blogs.technet.Microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/

リンクのコメントの一部を参照すると、包括的ではなく、私のニーズを完全に満たしています。

また、SCMツール3.0のLocalGPO.Exeが報告していないWindows Server 2016でも機能します。そして実際には、LocalGPO.EXEはSCM 4.0には同梱されていませんが、SCMにはそのヘルプテキストへのリンクがあります。

0
RobG