View
7
Download
0
Category
Preview:
Citation preview
政府組態基準(GCB)實作研習活動
(部署實務)
國家資通安全會報 技術服務中心
1
大綱
●群組原則說明
● GCB導入流程
●恢復原始設定之方式
● SCM操作說明
●調整GCB設定值
●問題與討論
群組原則說明
3
群組原則的基本說明(1/2)
●目的
–管理使用者和電腦的一般性功能與安全性管理
–軟體部署
Service Pack
修正程式
應用程式
–強制實施安全性的設定
–確保有相同的操作介面
4
群組原則的基本說明(2/2)
●種類
–本機
–站台 (Site)
–網域 (Domain)
–組織單位 (OU)
●對象
–電腦
–使用者
●來源
–群組原則物件(GPO)
資料來源:微軟網站
5
群組原則的套用時機
●電腦設定
–電腦開機時
●使用者設定
–使用者登入時
●群組原則衝突處理
–電腦設定優於使用者設定 (以電腦設定為主)
●更新的頻率
–90~120分鐘
●手動立即更新群組原則
–gpupdate /force
6
群組原則的套用順序
7
群組原則的繼承型態
●繼承群組原則
–繼承上層的原則
●「禁止」繼承原則
–不繼承上層的原則
●禁止強制覆蓋
–不允許下層的原則覆蓋上層的原則
–應用在強制性的原則
–GCB群組原則建議使用強制避免被下層原則覆蓋
GCB導入流程
9
導入流程
結束
GPO檔
開始
安裝LocalGPO程式
是否透過AD
進行導入
匯入GPO至AD
使用LocalGPO程式匯入GPO
將已匯入GPO的群組原則物件連結至組織單位(OU)
使用者電腦登入網域,套用群組原則
LocalGPO
程式
GPO檔
使用者電腦重新開機,套用群組原則
是 否
10
取得GPO檔(1/2)
11
取得GPO檔(2/2)
12
GPO檔說明
● Windows 7
–USGCB Account Policy (帳號管理)
–USGCB Windows 7 Computer Energy Policy (電源管理)
–USGCB Windows 7 Computer Settings (電腦設定管理)
–USGCB Windows 7 User Settings (使用者設定管理)
● Windows 7 Firewall
–USGCB Windows 7 Firewall Settings (防火牆設定管理)
● IE 8
–USGCB Internet Explorer 8 Computer Settings (電腦設定管理)
–USGCB Internet Explorer 8 User Settings (使用者設定管理)
13
使用AD導入GCB方式
結束
GPO檔
開始
安裝LocalGPO程式
是否透過AD
進行導入
匯入GPO至AD
使用LocalGPO程式匯入GPO
將已匯入GPO的群組原則物件連結至組織單位(OU)
使用者電腦登入網域,套用群組原則
LocalGPO
程式
GPO檔
使用者電腦重新開機,套用群組原則
是 否
14
匯入GPO至AD (1/10)
●點擊開始所有程式系統管理工具群組原則管理
15
匯入GPO至AD (2/10)
●在群組原則物件節點按滑鼠右鍵選擇「新增」
●在「名稱」欄位中輸入群組原則物件的名稱
16
匯入GPO至AD (3/10)
●點選此新建的群組原則物件選擇「匯入設定值」
17
匯入GPO至AD (4/10)
●在歡迎使用【匯入設定精靈】頁面,按「下一步」
18
匯入GPO至AD (5/10)
●在備份GPO頁面,按「下一步」
19
匯入GPO至AD (6/10)
●在備份位置頁面,選取放置GPO的資料夾
20
匯入GPO至AD (7/10)
●在來源GPO頁面中選取欲匯入的GPO
21
匯入GPO至AD (8/10)
●在掃描備份頁面按「下一步」
22
匯入GPO至AD (9/10)
●在正在完成匯入設定頁面,按「完成」
23
匯入GPO至AD (10/10)
●在匯入進度的頁面,按「確定」完成匯入GPO至
群組原則物件中
24
將群組原則物件連結至OU
●將已匯入GPO的群組原則物件連結至組織單位
(OU),完成部署作業
●使用者電腦登入網域後,即可套用GCB設定
Demo
使用AD導入GCB
26
本機逐台導入GCB方式
結束
GPO檔
開始
安裝LocalGPO程式
是否透過AD
進行導入
匯入GPO至AD
使用LocalGPO程式匯入GPO
將已匯入GPO的群組原則物件連結至組織單位(OU)
使用者電腦登入網域,套用群組原則
LocalGPO
程式
GPO檔
使用者電腦重新開機,套用群組原則
是 否
27
下載LocalGPO安裝程式
28
使用LocalGPO程式匯入GPO(1/3)
●複製放置GPO的完整目錄路徑
29
使用LocalGPO程式匯入GPO(2/3)
●點選「LocalGPO Command-line」,按右鍵選
擇「以系統管理員身分執行」
30
使用LocalGPO程式匯入GPO(3/3)
●在LocalGPO工具的目錄下
–執行cscript LocalGPO.wsf /path:<放置GPO的完整目錄
路徑>
–重複上一步驟,匯完所有的GPO後,必須重新開機
31
恢復原始設定之方式
32
AD環境下恢復原始設定方式
●在欲取消連結的 GPO 上按一下滑鼠右鍵,再點
選 [刪除],即可將群組原則物件自OU中移除
●使用者電腦重新登入網域後,即可恢復原始設定
按一下滑鼠右鍵,再點選 [刪除]
33
本機恢復原始設定之方式(1/2)
●以「系統管理員身分」啟動命令提示字元(cmd)
34
本機恢復原始設定之方式(2/2)
●在LocalGPO工具的目錄下
–執行cscript LocalGPO.wsf /Restore
–重新開機後即可恢復原始設定
實作練習
使用LocalGPO導入GCB
GCB組態設定例外管理實務
37
組態設定管理工具
●網域環境
–群組原則管理
–內建於AD Server
●單機環境
–Microsoft Security Compliance Manager (SCM)
–安裝於Windows 7
–僅管理人員安裝即可,不須每一台使用者安裝
38
GCB組態設定例外管理建議方式
●網域環境
–部署GCB的原始GPO,並設定為「強制」
–建立新的GPO,並設定例外管理的組態項目
–部署例外管理的GPO,將優先性設為最高,並設定為
「強制」
●單機環境
–備份GCB的原始GPO
–使用SCM修改GPO內容,設定例外管理的組態項目,並
以文件記錄修改過的組態項目
–匯出修改後的GPO,並以LocalGPO部署
AD組態例外管理方式 Demo
40
安裝SCM(1/10)
●需先安裝Microsoft .NET Framework 4
●下載網址:http://www.microsoft.com/zh-
tw/download/details.aspx?id=17718
41
安裝SCM(2/10)
●下載SCM(目前版本為3.0):
http://gallery.technet.microsoft.com/LocalGPOmsi-
Excellent-MS-2593b2eb
42
安裝SCM(3/10)
●按滑鼠右鍵選擇「以系統管理員身分執行」
Security_Compliance_Manager_Setup.exe
43
安裝SCM(4/10)
●在「Welcome to the Security Compliance Manager
Setup」頁面,按「Next」
44
安裝SCM(5/10)
●在License Agreement頁面選取「I accept the terms
of the license agreement」並按「Next」
45
安裝SCM(6/10)
●在Installation Folder頁面,選擇要安裝的Folder,
然後按「Next」
46
安裝SCM(7/10)
●接下來會開始安裝SQL Server 2008 Express,請
按「Next」
47
安裝SCM(8/10)
●在License Agreement頁面選取「I accept the terms
of the license agreement」並按「Next」
48
安裝SCM(9/10)
● SQL Server 2008 Express安裝完成後,在Read to
Install頁面,按「Install」後進行SCM的安裝
49
安裝SCM(10/10)
●在Installation Successful的頁面按「Finish」
SCM操作說明
51
SCM的基本功能
●匯入/匯出GPO檔
●比較/合併GPO檔
●複製/刪除GPO檔
●搜尋/新增/修改/刪除 GPO設定值內容
52
匯入GPO檔(1/2)
●在行動窗格中選擇ImportGPO Backup (folder)
53
匯入GPO檔(2/2)
●在瀏覽資料夾中選擇要匯入的GPO 目錄下之機碼
資料夾,並按「確定」
● SCM會自動帶出GPO名稱,按「OK」即可匯入
54
匯出GPO檔(1/2)
●在SCM中點選欲匯出的GPO
●在行動窗格中選擇ExportGPO Backup folder
55
匯出GPO檔(2/2)
●建立一個新資料夾存放GPO
●按「確定」後,會將所選擇的GPO匯出至指定的
資料夾
56
合併2個GPO檔(1/4)
●選取第1個GPO檔,在行動窗格中選擇
BaselineCompare/Merge
57
合併2個GPO檔(2/4)
●選取要合併的GPO檔,並按「OK」
58
合併2個GPO檔(3/4)
●在Compare Baselines的視窗中,會列出2個GPO異
同之處,確認無誤後請按「Merge Baselines」
59
合併2個GPO檔(4/4)
●最後請填入合併後的GPO名稱,並按「OK」完
成合併
60
修改GPO設定值(1/2)
●由左視窗選擇GPO檔,並在中間視窗的Advanced
View以欄位或關鍵字尋找要修改的群組原則
61
修改GPO設定值(2/2)
●點選要修改的群組原則,依需要調整設定值
新增網站至信任的網站
63
執行步驟(1/5)
執行gpedit.msc,啟動本機群組原則編輯器
64
執行步驟(2/5)
電腦設定系統管理範本Windows元件
Internet Explorer網際網路控制台安全性網
頁指派網站到區域清單,按右鍵,點選「編輯」
按右鍵,點選「編輯」
65
執行步驟(3/5)
確認狀態為「已啟用」
點選「顯示」按鈕
1
2
66
執行步驟(4/5)
「值名稱」欄位:輸入欲加入到信任的網站的網
址(例如:member.nat.gov.tw)
「值」欄位:輸入2後,按「確定」,並關閉本
機群組原則編輯器
1 2
3
67
執行步驟(5/5)
啟用cmd.exe,執行gpupdate /force,更新群組原
則設定後,即完成將網站新增至新任的網站作業
新增信任網站
Demo與實作練習
69
政府組態基準常見問題
問題與討論
71
報告完畢
敬請指教
Recommended