《本地组策略与安全策略的自动导入-奚瑞的博客.pdf》由会员分享,可在线阅读,更多相关《本地组策略与安全策略的自动导入-奚瑞的博客.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、本地组策略与安全策略的自动导入本地组策略与安全策略的自动导入-奚瑞的博客奚瑞的博客首先,提取出需要部署的策略中能通过组策略或安全策略实施的项如表所示(部分演示):序号 要求1“密码必须符合复杂性要求”选择“已启动”2“密码最长存留期”设置为“90天”3“账户锁定阀值”设置为小于或等于 6 次4“从远端系统强制关机”设置为“只指派给Administrtors 组”5“关闭系统”设置为“只指派给Administrators 组”6“取 得 文 件 或其 它 对 象 的所 有权”设 置 为“只指 派 给Administrators 组”7 审核登录事件,设置为成功和失败都审核。8“审核策略更改”设置
2、为“成功”和“失败”都要审核9“审核对象访问”设置为“成功”和“失败”都要审核10“审核目录服务器访问”设置为“成功”和“失败”都要审核11“审核目录服务器访问”设置为“成功”和“失败”都要审核12“审核系统事件”设置为“成功”和“失败”都要审核13“审核账户管理”设置为“成功”和“失败”都要审核14“审核过程追踪”设置为“失败”需要审核15“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为 15 分钟。16 启用屏幕保护程序,设置等待时间为“5 分钟”,启用“在恢复时使用密码保护”。17 所有驱动器均“关闭自动播放”上表中前 15 项属于安全策略,第 16 项属于组策
3、略中的计算机配置策略,第 17 项属于用户配置策略。下面仅对 Windows 2003 平台的操作进行了分析与测试。一、对于安全策略,可以用以下步骤进行应用部署::在测试用机上,先使用 gpedit.msc 手工更改策略(如表中前 15面),再用以下命令导出当前策略secedit/export/cfg sec.inf:用文本编辑器编辑sec.inf文件,去除不需要调整的内容,仅保留要定制策略表中 15 条策略对应的 inf 文件内容如下:UnicodeUnicode=yesVersionsignature=$CHICAGO$Revision=1System AccessMaximumPassw
4、ordAge=90PasswordComplexity=1LockoutBadCount=6Event AuditAuditSystemEvents=3AuditLogonEvents=3AuditObjectAccess=3AuditPrivilegeUse=3AuditPolicyChange=3AuditAccountManage=3AuditProcessTracking=2AuditDSAccess=3Registry Valuesmachinesystemcurrentcontrolsetserviceslanmanserverparametersautodisconnect=4,
5、15Privilege Rightsseremoteshutdownprivilege=*S-1-5-32-544seshutdownprivilege=*S-1-5-32-544setakeownershipprivilege=*S-1-5-32-544:用命令生成一个 sdb 文件secedit/import/db sec.sdb /cfg sec.inf/overwrite:用命令把定制策略更新到目标服务器,不能用/overwrite 参数,否则除定制策略外的其它策略丢失secedit/configure/db sec.sdb:刷新组策略gpupdate/force二、其他组策略的应用以
6、前曾经研究过利用 gpcvreg 与 gpscript 命令行程序来应用组策略,并且写了 autoit3 脚本的 UDF,这次正好可以利用。使用 gpedit.msc 在测试机修改1617 两条策略,在不关闭gpedit.msc的同时用regedit查看HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects下,分析得到相应设置并存成Reg 文件machine.reg,禁用所有驱动器自动播放HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
7、PoliciesExplorerNoDriveTypeAutoRun=dword:000000FFuser.reg,定制屏幕保护设置HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsControl PanelDesktopScreenSaverIsSecure=1ScreenSaveActive=1ScreenSaveTimeOut=300SCRNSAVE.EXE=scrnsave.scr三、批量应用脚本有了 sec.sdb、machine.reg 及 user.reg 文件,然后利用以前写的 poledit.au3 UDF,只需要以下脚本就可以进行前文所列出的策略的自动应用了。#NoTrayIcon#include PolEdit.au3 IfFileExists(sec.sdb)Then RunWait(ComSpec&/c&secedit/configure/dbsec.sdb,ScriptDir,SW_HIDE)_RegWriteToPol(machine.reg,MACHINE,1)_RegWriteToPol(user.reg)_gpupdate()