Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
政府組態基準(GCB)實作研習活動 (部署教學)
行政院國家資通安全會報 技術服務中心
1
大綱
●群組原則說明
●GCB導入流程
●恢復原始設定之方式
● SCM操作說明
●調整GCB設定值
● RHEL 5組態設定方式
●問題與討論
2
群組原則說明
3
群組原則的基本說明(1/2)
●目的
–管理使用者和電腦的一般性功能與安全性管理
–軟體部署
Service Pack
修正程式
應用程式
–強制實施安全性的設定
–確保有相同的操作介面
4
群組原則的基本說明(2/2)
●種類
–本機
–站台 (Site)
–網域 (Domain)
–組織單位 (OU)
●對象
–電腦
–使用者
●來源
–群組原則物件(GPO)
資料來源:微軟網站
5
群組原則的套用時機
●電腦設定
–電腦開機時
●使用者設定
–使用者登入時
●群組原則衝突處理
–電腦設定優於使用者設定 (以電腦設定為主)
●更新的頻率
–90~120分鐘
●手動立即更新群組原則
–gpupdate /force
6
電腦設定與使用者設定
●Active Directory使用者和電腦
–組織單位
–電腦
–使用者
●群組原則管理
–組織單位群組原則連結
–電腦電腦原則
–使用者使用者原則
7
群組原則的套用順序
8
群組原則的繼承型態
●繼承群組原則
–繼承上層的原則
●「禁止」繼承原則
–不繼承上層的原則
●禁止覆蓋
–不允許下層的原則覆蓋上層的原則
–應用在強制性的原則
–GCB群組原則建議使用強制避免被下層原則覆蓋
9
範例1
●互動式登入:在密碼到期前提示使用者變更密碼
–本機:20天
–網域:19天
–技術服務中心:16天
主任室:無
檢測評鑑組:10天
10
範例2
●互動式登入:在密碼到期前提示使用者變更密碼
–本機:20天
–網域:19天(強制)
–技術服務中心:16天
主任室:無
檢測評鑑組:10天(強制)
11
GCB導入流程
12
導入流程
結束
GPO檔
開始
安裝LocalGPO程式
是否透過AD進行導入
匯入GPO至AD
使用LocalGPO程式匯入GPO
將已匯入GPO的群組原則物件連結至組織單位(OU)
使用者電腦登入網域,套用群組原則
LocalGPO程式
GPO檔
使用者電腦重新開機,套用群組原則
是 否
13
GPO檔說明
●Windows Server 2008 R2
–Domain Security(網域帳戶原則)
–Domain Controller Security(網域主控站電腦設定原則)
● IE 11
– Internet Explorer 11 Computer Settings (電腦設定管
理)
– Internet Explorer 11 User Settings (使用者設定管理)
14
使用AD導入GCB方式
結束
GPO檔
開始
安裝LocalGPO程式
是否透過AD進行導入
匯入GPO至AD
使用LocalGPO程式匯入GPO
將已匯入GPO的群組原則物件連結至組織單位(OU)
使用者電腦登入網域,套用群組原則
LocalGPO程式
GPO檔
使用者電腦重新開機,套用群組原則
是 否
15
匯入GPO至AD(1/10)
●點擊開始所有程式系統管理工具群組原則
管理
16
匯入GPO至AD(2/10)
●在群組原則物件節點按滑鼠右鍵選擇「新增」
●在「名稱」欄位中輸入群組原則物件的名稱
17
匯入GPO至AD(3/10)
●點選此新建的群組原則物件選擇「匯入設定值」
18
匯入GPO至AD(4/10)
●在歡迎使用【匯入設定精靈】頁面,點選「下一
步」
19
匯入GPO至AD(5/10)
●在備份GPO頁面,點選「下一步」
20
匯入GPO至AD(6/10)
●在備份位置頁面,選取放置GPO的資料夾,然後
點選「下一步」
21
匯入GPO至AD(7/10)
●在來源GPO頁面中選取欲匯入的GPO, 然後點
選「下一步」
22
匯入GPO至AD(8/10)
●在掃描備份頁面點選「下一步」
23
匯入GPO至AD(9/10)
●在正在完成匯入設定頁面,點選「完成」
24
匯入GPO至AD(10/10)
●在匯入進度的頁面,點選「確定」完成匯入GPO
至群組原則物件中
25
將群組原則物件連結至OU
●將已匯入GPO的群組原則物件連結至組織單位(OU),完成部署作業
●使用者電腦登入網域後,即可套用GCB設定
26
本機逐台導入GCB方式
結束
GPO檔
開始
安裝LocalGPO程式
是否透過AD進行導入
匯入GPO至AD
使用LocalGPO程式匯入GPO
將已匯入GPO的群組原則物件連結至組織單位(OU)
使用者電腦登入網域,套用群組原則
LocalGPO程式
GPO檔
使用者電腦重新開機,套用群組原則
是 否
27
安裝LocalGPO程式(1/8)
●執行「LocalGPO」安裝檔
28
安裝LocalGPO程式(2/8)
●點選「Next」
29
安裝LocalGPO程式(3/8)
●接受授權協議後,點選「Next」
30
安裝LocalGPO程式(4/8)
●確認安裝路徑後,點選「Next」
31
安裝LocalGPO程式(5/8)
●點選「Install」開始進行安裝
32
安裝LocalGPO程式(6/8)
●點選「是」,允許安裝LocalGPO在這部電腦上
33
安裝LocalGPO程式(7/8)
●點選「Finish」完成安裝作業
34
安裝LocalGPO程式(8/8)
●安裝檔案放置於C:\Program Files\LocalGPO
35
使用LocalGPO程式匯入GPO(1/3)
●複製放置GPO的完整目錄路徑
36
使用LocalGPO程式匯入GPO(2/3)
●點選「 LocalGPO Command-line」,點選右鍵
選擇「以系統管理員身分執行」
37
使用LocalGPO程式匯入GPO(3/3)
●在LocalGPO工具的目錄下
●執行cscript LocalGPO.wsf /path:
●重複上一步驟,匯完所有的GPO後,必須重新開機
38
檢查GPO套用狀況之方式
39
使用RSOP檢查群組原則
●在AD環境下,以系統管理員身分執行命令提示
字元,在本機使用Rsop.msc指令
40
使用Gpresult檢查群組原則
●在AD環境下,以系統管理員身分執行命令提示
字元,在本機使用Gpresult指令
41
使用Gpedit.msc檢查群組原則
●在單機環境下, 以系統管理員身分執行命令提示
字元,在本機使用Gpedit.msc指令
42
恢復原始設定之方式
43
AD環境下恢復原始設定方式
●在欲取消連結的 GPO 上按一下滑鼠右鍵,再點
選 [刪除],即可將群組原則物件自OU中移除
●使用者電腦重新登入網域後,即可恢復原始設定
按一下滑鼠右鍵,再點選 [刪除]
44
本機恢復原始設定之方式(1/2)
●點選「 LocalGPO Command-line」,點選右鍵
選擇「以系統管理員身分執行」
45
本機恢復原始設定之方式(2/2)
●在LocalGPO工具的目錄下
–執行cscript LocalGPO.wsf /Restore
–重新開機後即可恢復原始設定
46
SCM安裝及操作說明
47
安裝SCM(1/10)
●需先安裝Microsoft .NET Framework 4
●下載網址:http://www.microsoft.com/zh-
tw/download/details.aspx?id=17718
48
安裝SCM(2/10)
●下載SCM(目前版本為3.0):
http://gallery.technet.microsoft.com/LocalGP
Omsi-Excellent-MS-2593b2eb
49
安裝SCM(3/10)
●按滑鼠右鍵選擇「以系統管理員身分執行」
Security_Compliance_Manager_Setup.exe
50
安裝SCM(4/10)
●在「Welcome to the Security Compliance
Manager Setup」頁面,點選「Next」
51
安裝SCM(5/10)
●在License Agreement頁面選取「I accept the
terms of the license agreement」並點選
「Next」
52
安裝SCM(6/10)
●在Installation Folder頁面,選擇要安裝的
Folder,然後點選「Next」
53
安裝SCM(7/10)
●接下來會開始安裝SQL Server 2008 Express,
請點選「Next」
54
安裝SCM(8/10)
●在License Agreement頁面選取「I accept the
terms of the license agreement」並點選
「Next」
55
安裝SCM(9/10)
● SQL Server 2008 Express安裝完成後,在Read
to Install頁面,點選「Install」後進行SCM的安
裝
56
安裝SCM(10/10)
●在Installation Successful的頁面點選「Finish」
57
SCM的基本功能
●匯入/匯出GPO檔
●比較/合併GPO檔
●複製/刪除GPO檔
●搜尋/新增/修改/刪除 GPO設定值內容
58
匯入GPO檔(1/2)
●在行動窗格中選擇ImportGPO Backup
(folder)
59
匯入GPO檔(2/2)
●在瀏覽資料夾中選擇要匯入的GPO 目錄下之機
碼資料夾,並點選「確定」
● SCM會自動帶出GPO名稱,點選「OK」即可匯
入
60
匯出GPO檔(1/2)
●在SCM中點選欲匯出的GPO
●在行動窗格中選擇ExportGPO Backup folder
61
匯出GPO檔(2/2)
●建立一個新資料夾存放GPO
●按「確定」後,會將所選擇的GPO匯出至指定的
資料夾
62
合併2個GPO檔(1/4)
●選取第1個GPO檔,在行動窗格中選擇
BaselineCompare/Merge
63
合併2個GPO檔(2/4)
●選取要合併的GPO檔,並點選「OK」
64
合併2個GPO檔(3/4)
●在Compare Baselines的視窗中,會列出2個
GPO異同之處,確認無誤後請點選「Merge
Baselines」
65
合併2個GPO檔(4/4)
●最後請填入合併後的GPO名稱,並點選「OK」
完成合併
66
複製GPO檔(1/2)
●選取1個SCM原生GPO檔,在行動窗格中選擇
BaselineDuplicate
67
複製GPO檔(2/2)
●對GPO檔重新命名與修改描述內容,選取Save儲
存
68
刪除GPO檔(1/2)
●選取1個GPO檔,在行動窗格中選擇
BaselineDelete
69
刪除GPO檔(2/2)
●在確認視窗選取「是」刪除GPO檔
70
修改GPO設定值(1/2)
●由左視窗選擇GPO檔,並在中間視窗的
Advanced View以欄位或關鍵字尋找要修改的群
組原則
71
修改GPO設定值(2/2)
●點選要修改的群組原則,依需要調整設定值
72
調整GCB設定值
73
使用時機
●套用GCB後,若發生系統異常或無法使用導致影
響日常公務,則可以視需求調整設定值並進行例
外管理
●已知可能影響系統運作的群組原則:
–ActiveX
可透過「將網站加入信任網站」或調整「ActiveX控制項與外掛
程式」等例外管理方式處理
–密碼模組
可透過調整GPO設定值並以例外管理方式處理
74
GCB設定值調整步驟
●找出影響系統運作的群組原則
●變更群組原則設定值
●測試新設定值並確認障礙已排除
●部署調整後的GPO
–使用AD
–使用SCM+LocalGPO
●將調整的群組原則納入例外管理
75
調整與測試GCB設定值
●使用gpedit.msc在本機調整GCB設定值
●使用gpupdate /force 立即更新群組原則
●測試新設定值是否可排除障礙
76
使用AD調整GCB
77
使用SCM+LocalGPO調整GCB
78
新增網站至信任的網站
79
執行步驟(1/5)
●執行gpedit.msc,啟動本機群組原則編輯器
80
執行步驟(2/5)
●電腦設定 系統管理範本 Windows元件
Internet Explorer 網際網路控制台 安全性
網頁 指派網站到區域清單,按右鍵,點選「編
輯」
按右鍵,點選「編輯」
81
執行步驟(3/5)
●確認狀態為「已啟用」
●點選「顯示」按鈕
1
2
82
執行步驟(4/5)
●「值名稱」欄位:輸入欲加入到信任的網站的網
址(例如:member.nat.gov.tw)
●「值」欄位:輸入2後,按「確定」,並關閉本
機群組原則編輯器
1 2
3
83
執行步驟(5/5)
●啟用cmd.exe,執行gpupdate /force,更新群
組原則設定後,即完成將網站新增至信任的網站
作業
84
RHEL 5組態設定方式
85
RHEL 5組態設定方式
●依照RHEL 5 GCB文件「設定方法」欄位進行設
定
86
RHEL 5組態設定實作(1/2)
● /etc/group檔案權限、擁有者及群組
●依照技服中心公告文件「設定方法」欄位進行組
態設定
87
RHEL 5組態設定實作(2/2)
●依照技服中心公告文件「檢測方法」欄位進行組
態設定檢查
88
問題與討論
報告完畢 敬請指教