ibs*_*n31 5 automation group-policy hardening local windows-server-2012-r2
我正在强化 Windows Server 2012 R2 计算机以提供安全网页,并遵循列出多个本地组策略设置和注册表设置的指南。
在研究如何自动化此过程时,我只找到使用 Powershell 导出和导入组策略的方法,如下所示: https ://technet.microsoft.com/en-us/library/ee461027.aspx
该服务器计算机未加入域,也未安装组策略管理控制台。不幸的是,我还没有找到使用自动方法(脚本、代码)来更改本地组策略设置的资源,例如:
本地组策略编辑器 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 系统审核策略 -> 全局对象访问审核 -> 定义此策略 -> 配置
本地组策略编辑器 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络访问:不允许匿名枚举 SAM 帐户和共享
我的最终目标是创建一个进程或脚本,可以在服务器计算机上设置大约 100 个不同的注册表设置和本地组策略设置,以便锁定它。避免手动配置每一项。
我已经能够研究并找到实现这个目标所需的东西!我找到的最佳方向的资源如下:
\nhttp://www.itninja.com/blog/view/using-secedit-to-apply-security-templates
\n本地组策略设置和安全设置可以通过几个步骤进行传输:
\n1.安全设置:
\n右键单击本地组策略编辑器(编辑组策略)中的安全设置,然后选择导出策略...\n保存 .inf 文件并传输到您希望使用相同设置的计算机。\n在新计算机上,打开命令提示符并使用 secedit 命令
\n\n\nsecedit /configure /db c:\\windows\\security\\local.sdb /cfg {.\\path\\to.inf}
\n
检查返回的任何错误,我正在处理尝试为新计算机上不存在的权限设置的用户帐户。
\n2. 本地组策略的其余部分
\n找到%systemroot%\\system32\\grouppolicy\\隐藏文件夹并将子文件夹复制到目标计算机的同一位置。
\n打开命令提示符并使用
\n\n\ngp更新/强制
\n
3. 遗骸
\n对于杂项,我可以使用 powershell 命令来添加或编辑注册表项:
\n添加:
\n\n\n新项目-路径 HKCU:\\软件-名称 hsg \xe2\x80\x93Force
\n
编辑:
\n\n\nPS C:> 推送位置
\nPS C:> 设置位置 HKCU:\\Software\\hsg
\nPS HKCU:\\Software\\hsg> Set-ItemProperty 。新属性“mynewvalue”
\n
| 归档时间: |
|
| 查看次数: |
54773 次 |
| 最近记录: |