MSSグループポリシー設定Windows Server 2012を有効にする方法はありますか
過去に、PCIコンプライアンスのためにWindows Server 2008 Webサーバーのサーバー強化チェックリストを実施しました。基本的に、セキュリティ、暗号化などの業界のベストプラクティスに準拠する必要のある多くのグループポリシー、レジストリ、およびその他の設定があります。特定のセクションを見ると、次のように述べられています。
システムは、IPソースルーティング、ICMPリダイレクト、およびインターネットルーター発見プロトコルを許可しないように構成する必要があります。さらに、SYNフラッドが検出された場合に接続がより早くタイムアウトするようにシステムを構成します。
以前は、「MSS:」で始まるグループポリシー設定を使用して、ローカルコンピュータポリシー->コンピュータの構成-> Windows設定->セキュリティ設定->ローカルポリシー->セキュリティオプションでこれらの制限を設定できました。
メモを振り返ると、%SystemRoot%\ infにsceregvl.infという名前の編集するファイルがありましたが、その方法を再現するのに十分な詳細情報がありませんでした。
Windows Server 2012 R2でこれらのMSSグループポリシー設定を表示および編集するにはどうすればよいですか?
公式にはできません。 (この執筆時点でのServer 2012 R2)。
非公式?多分...
「MSS」グループポリシー設定は、Active Directoryのデフォルトのすぐに使えるインストールには含まれておらず、決して含まれていません。これらは現場のコンサルティンググループによって開発されたアドオンであり、設定は非常に有用であると見なされ、セキュリティコンプライアンスマネージャーとして知られる「ソリューションアクセラレータ」に含まれていました。 (これは、「Windows 7 Security Compliance Management Toolkit」など、以前にさまざまな類似の名前で知られていました。)
問題は、セキュリティコンプライアンスマネージャーには、SQL Expressインスタンスなど、不要な大量のジャンクが付属していることです。ドメインコントローラーにインストールしたくない迷惑メール。そこから、必要な部分( "LocalGPO.msi"パッケージ)のみを抽出します。
次の問題は、Security Compliance Managerが2012 R2用に更新されなかったことです。 2012年、そうです。 2012 R2、いいえ。
そうは言っても、2012 R2でも動作する可能性はありますが、注意してください。そうすると、サーバーがサポートされない状態になる可能性があります。
Security Compliance Managerのインストール をダウンロードします。サーバーで実行します。
.exeを実行しますが、インストールは続行しないでください。インストーラーは、C:\a1b2c3d4e5f6a0b1c2やD:\a1b2c3d4e5f6a0b1c2などの一部のファイルをハードドライブの一時ディレクトリにデフレートします。そのディレクトリにdata.cabファイルがあります。そのファイルを開き、GPOMSIという名前のファイルを抽出し、そのファイルの名前をLocalGPO.msiに変更します。 SCMインストーラーをキャンセルすると、一時ファイルが削除されます。
サーバーにLocalGPO.msiをインストールします。次に、スタート画面に表示される新しい「LocalGPOコマンドライン」ショートカットを起動します。管理者として実行します。 cscript LocalGPO.wsf /ConfigSCEと入力します。
サポートされているオペレーティングシステムを実行していないというエラーが表示されます。
LocalGPO.wsfをメモ帳で開き、スクリプトのChkOSVerプロシージャをコメント化して、バージョンをチェックしないようにします。上記のコマンドをもう一度実行します。
私はこれが他の人々のために働くという複数の報告を見ました、しかしそれは私のために働かなかった。それでも、スクリプトの2245行目のWriteLineステートメントでVBscriptエラーが発生しました。 2012 R2用に更新されていないという事実に自分を辞任して、さらに深くデバッグすることに煩わされていません。
Edit 4/11/2016:Aaron Margosisによって作成された このMicrosoftブログ でホストされているバージョン含まれている ダウンロードリンク 「ハッキング」を必要とせずに2012 R2で動作するMSS拡張機能のバージョン。これはZipファイルへのリンクです。 Zipファイル内に、「Local_Script」という名前のディレクトリがあります。そのフォルダー内に、「MSS_Extension」という名前のサブフォルダーがあります。そのMSS_Extensionディレクトリを2012 R2ドメインコントローラーに転送するだけです。次に、コマンドプロンプトを開き、そのディレクトリを参照します。次に実行します:
Cscript LocalGPO.wsf /ConfigSCE
MSSセキュリティ設定は Microsoft Security Compliance Manager で復元できます。
これは実際にはServer 2012にインストールされますが、MS SQL ExpressとVisual C++ 2010ランタイムライブラリがインストールされている必要があります。また、プログラムの互換性についても問題があり、セットアップルーチンを再度実行する必要がある場合があります。
インストールすると、LocalGPO.msiというファイルがC:\ Program Files(x86)\ Microsoft Security Complianceに見つかりますManager\LGPO(またはインストールした場所Security Compliance Managerに。
このMSIファイルをサーバーで実行します。これはC:\ Program Files(x86)\ LocalGPO(または他の場所にインストールすることを選択した場所)にインストールされます。
実行中:cscript LocalGPO.wsf /?は、このスクリプトで使用できるさまざまなオプションを表示します。
/ConfigSCE : Configures Security Configuration Editor (SCE) to display MSS settings.
したがって、次のコマンドを実行します。
C:\Program Files (x86)\LocalGPO>cscript LocalGPO.wsf /configsce
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.
Modifying the Security Configuration Editor to the include MSS settings...
Updating the registry
89 subkeys found.
Subkeys deleted successfully
Subkeys added successfully
Registering SceCli.dll to complete SCE modification
The Security Configuration Editor is updated.
Security Configuration Editor has been modified successfully!
The Security Configuration Editor is updated.
これで、Server 2012マシンでgpedit.mscを実行すると、すべてのMSS設定が再び使用できるようになります。
すべてのマシンにこれを行うには、LocalGPO.MSIファイルを取得してそれらにインストールし、LocalGPO.wsfスクリプトを使用して、設定を表示します。
すべてのソリューションはRyanResと同じですが、次のとおりです。
2012R2で実行するには、ChkOSVerプロシージャをコメント化せずに編集する必要があります。
「ChkOSVersion」と呼ばれるルーチンを検索し、下にスクロールすると、ifステートメントの束が見つかります。次のようになります。
If(Left(strOpVer,3) = "6.3") and (strProductType <> "1") then
strOs = "WS12"
ElseIf(Left(strOpVer,3) = "6.2") and (strProductType <> "1") then
strOS = "WS12"
ElseIf(Left(strOpVer,3) = "6.2") and (strProductType = "1") then
strOS = "Win8"
ElseIf(Left(strOpVer,3) = "6.1") and (strProductType <> "1") then
strOS = "WS08R2"
ElseIf(Left(strOpVer,3) = "6.1") and (strProductType = "1") then
strOS = "Win7"
ElseIf(Left(strOpVer,3) = "6.0") and (strProductType <> "1") then
strOS = "WS08"
ElseIf(Left(strOpVer,3) = "6.0") and (strProductType = "1") then
strOS = "Vista"
ElseIf(Left(strOpVer,3) = "5.2") and (strProductType <> "1") then
strOS = "WS03"
ElseIf(Left(strOpVer,3) = "5.2") and (strProductType = "1") then
strOS = "XP"
ElseIf(Left(strOpVer,3) = "5.1") and (strProductType = "1") then
strOS = "XP"
Else
strMessage = DisplayMessage(conLABEL_CODE002)
Call MsgBox(strMessage, vbOKOnly + vbCritical, strTitle)
Call CleanupandExit
End If
最初のステートメントに注意してください。 UTF-8エンコードを使用してファイルを保存していること、および他のファイルへの依存関係があるため、同じフォルダーに存在していることを確認してください。
次に、「LocalGPOコマンドライン」アイコンを右クリックし、「管理者として実行」を選択します
コマンドプロンプトで「cscript LocalGPO.wsf/ConfigSCE」と入力し、Enterキーを押します。
それで全部です。 GPMCにMSS GP設定があります
以下の写真に示すように、2012 R2 Policesを含むアップデートがあります。
SCMのバージョン4を入手してください。
Win10とServer2K12R2の両方で発見したのは、LocalGPO.WSFを変更して、INFファイルを開いてエントリを更新するために開く必要があり、UpdateSCEwithMSSValuesサブにUnicodeとして保存する必要があることです。 INFファイルは確かにWindows/Infで更新されています。しかし、コンピュータ/でGPEDIT.MSCを実行しているとき、MSSの非表示のエントリはまだ確認できていません。 Win7に表示されるWindows設定/セキュリティ設定/ローカルポリシー/セキュリティオプション。実際にエントリにアクセスするには、ADMXおよびADMLテンプレートをWindows/PolicyDefinitionsにコピーする必要があります。MSSエントリは、コンピュータ/管理用テンプレートの下に表示されます。 $ .02