本機群組策略與安全性原則的自動匯入

標籤：

本機群組策略與安全性原則的自動匯入

http://blog.csdn.net/wzsy/article/details/5754894

   昨天接到一個需求，由於公司要求伺服器要部署必需的一些安全性原則，但是對於未加入域的伺服器希望能有一個便捷的部署辦法。

    首先，提取出需要部署的策略中能通過組策略或安全性原則實施的項如表所示（部分示範）：

序號	要求
1	“密碼必須符合複雜性要求”選擇“已啟動”
2	“密碼最長存留期”設定為“90天”
3	“賬戶鎖定閥值”設定為小於或等於 6次
4	“從遠端系統強制關機”設定為“只指派給Administrtors組”
5	“關閉系統”設定為“只指派給Administrators組”
6	“取得檔案或其它對象的所有權”設定為“只指派給Administrators組”
7	審核登入事件，設定為成功和失敗都審核。
8	“稽核原則更改”設定為“成功” 和“失敗”都要審核
9	“審核對象訪問”設定為“成功”和“失敗”都要審核
10	“審核目錄伺服器訪問”設定為“成功” 和“失敗”都要審核
11	“審核目錄伺服器訪問”設定為“成功” 和“失敗”都要審核
12	“審核系統事件”設定為“成功” 和“失敗”都要審核
13	“審核賬戶管理”設定為“成功” 和“失敗”都要審核
14	“審核過程追蹤”設定為 “失敗”需要審核
15	“Microsoft網路伺服器”設定為“在掛起會話之前所需的空閑時間”為15分鐘。
16	啟用螢幕保護裝置程式，設定等待時間為“5分鐘”，啟用“在恢複時使用密碼保護”。
17	所有磁碟機均“關閉自動播放”

    上表中前15項屬於安全性原則，第16項屬於組策略中的電腦配置策略，第17項屬於使用者配置策略。下面僅對Windows 2003平台的操作進行了分析與測試。

    一、 對於安全性原則，可以用以下步驟進行應用部署：

::在測試用機上，先使用gpedit.msc手工更改策略（如表中前15面），再用以下命令匯出當前策略

secedit /export /cfg sec.inf

::用文字編輯器編輯sec.inf檔案，去除不需要調整的內容，僅保留要定製策略

表中15條策略對應的inf檔案內容如下：

[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1 [System Access] MaximumPasswordAge = 90 PasswordComplexity = 1 LockoutBadCount = 6 [Event Audit] AuditSystemEvents = 3 AuditLogonEvents = 3 AuditObjectAccess = 3 AuditPrivilegeUse = 3 AuditPolicyChange = 3 AuditAccountManage = 3 AuditProcessTracking = 2 AuditDSAccess = 3 [Registry Values] machine/system/currentcontrolset/services/lanmanserver/parameters/autodisconnect=4,15 [Privilege Rights] seremoteshutdownprivilege = *S-1-5-32-544 seshutdownprivilege = *S-1-5-32-544 setakeownershipprivilege = *S-1-5-32-544

::用命令產生一個sdb檔案

secedit /configure /db  sec.sdb  /cfg sec.inf

::用命令把定製策略更新到目標伺服器，不能用/overwrite參數，否則除定製策略外的其它策略丟失

secedit /configure /db sec.sdb

::重新整理組策略

gpupdate /force

    二、其他組策略的應用

    以前曾經研究過利用gpcvreg與gpscript命令列程式來應用組策略，並且寫了autoit3指令碼的UDF，這次正好可以利用。
     使用gpedit.msc在測試機修改16/17兩條策略，在不關閉gpedit.msc的同時用regedit查看HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects下，分析得到相應設定並存成Reg檔案

machine.reg, 禁用所有磁碟機自動播放

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer] "NoDriveTypeAutoRun"=dword:000000FF

user.reg，定製螢幕保護裝置設定

[HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/Control Panel/Desktop] "ScreenSaverIsSecure"="1" "ScreenSaveActive"="1" "ScreenSaveTimeOut"="300" "SCRNSAVE.EXE"="scrnsave.scr"

    三、批量應用指令碼

    有了sec.sdb、machine.reg及user.reg檔案，然後利用以前寫的poledit.au3 UDF ，只需要以下指令碼就可以進行前文所列出的策略的自動應用了。

#RequireAdmin

#NoTrayIcon

#include "PolEdit.au3"

If FileExists("sec.sdb") Then  RunWait(@ComSpec & " /c " & "secedit /configure /db sec.sdb", @ScriptDir, @SW_HIDE)

_RegWriteToPol("machine.reg", "MACHINE", 1)

_RegWriteToPol("user.reg")

_gpupdate()

本機群組策略與安全性原則的自動匯入