使用脚本编辑本地组策略Windows 2012
我正在加固一个Windows 2012 R2机器,用于提供安全的网页,并遵循列出多个本地组策略设置和注册表设置的指南。
在研究如何自动化此过程时,我只找到使用Powershell导出和导入组策略的方法,如下所示:https://technet.microsoft.com/en-us/library/ee461027.aspx
此服务器计算机没有连接到域,也没有安装组策略管理控制台。不幸的是,我没有找到可以使用自动方法(脚本、代码)来更改本地组策略设置的资源,例如:
本地组策略编辑器->计算机配置-> Windows设置->安全设置->高级审核策略配置->系统审计策略->全局对象访问审核->定义了此策略->配置本地组策略编辑器->计算机设置-> Windows设置->本地策略->安全选项->网络访问:不允许匿名枚举SAM帐户和共享
我的最终目标是创建一个可以在服务器机器上设置大约100个不同注册表设置和本地组策略设置的进程或脚本,以便锁定它。避免手动配置每一个。
回答 5
Server Fault用户
发布于 2015-03-25 21:26:19
我已经能够研究,并找到了我需要在这个目标!我找到的最佳方向如下:
http://www.itninja.com/blog/view/using-secedit-to-apply-security-templates
本地组策略设置和安全设置可以通过以下几个步骤传输:
1.安全设置:
右键单击“本地组策略编辑器”中的“安全设置”(编辑组策略)并选择“导出策略”。保存.inf文件并将其传输到希望使用相同设置的计算机。在新机器上,打开命令提示符并使用secedit命令。
/configure /db c:\windows\security\local.sdb /cfg {.\path\to.inf}
检查返回的任何错误,我处理的用户帐户试图设置为新机器上不存在的权限。
2.本地组策略
的其余部分
找到%systemroot%\system32 32\grouppolicy\隐藏文件夹,并将子文件夹复制到同一位置的目标计算机。
打开命令提示符并使用
木偶/force
3.遗骸
对于混合类,我能够使用powershell命令添加或编辑注册表项:
添加:
新产品-Path HKCU:\ -Name hsg -Force
编辑:
PS C:> Push-Location PS C:> Set-Location HKCU:\Software\hsg HKCU:\Software\hsg> Set-ItemProperty。新属性“我的新价值”
Server Fault用户
发布于 2015-03-25 14:01:33
对于非域计算机,您可以通过本地安全策略而不是组策略设置这些内容。而且,您可以使用适当的MMC (secpol.msc)导入和导出
Server Fault用户
发布于 2015-03-25 16:55:20
使用SCM中的GPOpack工具将设置部署到非域连接机器。如果您有未在组策略中的直接注册表编辑,则必须添加reg.exe命令
https://serverfault.com/questions/678149
复制相似问题
腾讯云开发者
