政府組態基準 (GCB) 實作研習活動 ( 部署教學 ) 行政院國家資通安全會報技術服務中心
大綱 群組原則說明 GCB 導入流程 恢復原始設定之方式 SCM 操作說明 調整 GCB 設定值 RHEL 5 組態設定方式 問題與討論 1
群組原則說明 2
目的 群組原則的基本說明 (1/2) 管理使用者和電腦的一般性功能與安全性管理 軟體部署 Service Pack 修正程式 應用程式 強制實施安全性的設定 確保有相同的操作介面 3
種類 群組原則的基本說明 (2/2) 本機 站台 (Site) 網域 (Domain) 組織單位 (OU) 對象 電腦 使用者 來源 群組原則物件 (GPO) 資料來源 : 微軟網站 4
群組原則的套用時機 電腦設定 電腦開機時 使用者設定 使用者登入時 群組原則衝突處理 電腦設定優於使用者設定 ( 以電腦設定為主 ) 更新的頻率 90~120 分鐘 手動立即更新群組原則 gpupdate /force 5
電腦設定與使用者設定 Active Directory 使用者和電腦 組織單位 電腦 使用者 群組原則管理 組織單位 群組原則連結 電腦 電腦原則 使用者 使用者原則 6
群組原則的套用順序 7
群組原則的繼承型態 繼承群組原則 繼承上層的原則 禁止 繼承原則 不繼承上層的原則 禁止覆蓋 不允許下層的原則覆蓋上層的原則 應用在強制性的原則 GCB 群組原則建議使用強制避免被下層原則覆蓋 8
範例 1 互動式登入 : 在密碼到期前提示使用者變更密碼 本機 :20 天 網域 :19 天 技術服務中心 :16 天 主任室 : 無 檢測評鑑組 :10 天 9
範例 2 互動式登入 : 在密碼到期前提示使用者變更密碼 本機 :20 天 網域 :19 天 ( 強制 ) 技術服務中心 :16 天 主任室 : 無 檢測評鑑組 :10 天 ( 強制 ) 10
GCB 導入流程 11
導入流程 開始 是 是否透過 AD 進行導入 否 GPO 檔 匯入 GPO 至 AD 安裝 LocalGPO 程式 LocalGP O 程式 將已匯入 GPO 的群組原則物件連結至組織單位 (OU) 使用 LocalGPO 程式匯入 GPO GPO 檔 使用者電腦登入網域, 套用群組原則 使用者電腦重新開機, 套用群組原則 結束 12
GPO 檔說明 Windows Server 2008 R2 Domain Security( 網域帳戶原則 ) Domain Controller Security( 網域主控站電腦設定原則 ) IE 11 Internet Explorer 11 Computer Settings ( 電腦設定管理 ) Internet Explorer 11 User Settings ( 使用者設定管理 ) 13
使用 AD 導入 GCB 方式 開始 是 是否透過 AD 進行導入 否 GPO 檔 匯入 GPO 至 AD 安裝 LocalGPO 程式 LocalGP O 程式 將已匯入 GPO 的群組原則物件連結至組織單位 (OU) 使用 LocalGPO 程式匯入 GPO GPO 檔 使用者電腦登入網域, 套用群組原則 使用者電腦重新開機, 套用群組原則 結束 14
匯入 GPO 至 AD(1/10) 點擊開始 所有程式 系統管理工具 群組原則 管理 15
匯入 GPO 至 AD(2/10) 在群組原則物件節點按滑鼠右鍵 選擇 新增 在 名稱 欄位中輸入群組原則物件的名稱 16
匯入 GPO 至 AD(3/10) 點選此新建的群組原則物件 選擇 匯入設定值 17
匯入 GPO 至 AD(4/10) 在歡迎使用 匯入設定精靈 頁面, 點選 下一 步 18
匯入 GPO 至 AD(5/10) 在備份 GPO 頁面, 點選 下一步 19
匯入 GPO 至 AD(6/10) 在備份位置頁面, 選取放置 GPO 的資料夾, 然後 點選 下一步 20
匯入 GPO 至 AD(7/10) 在來源 GPO 頁面中選取欲匯入的 GPO, 然後點 選 下一步 21
匯入 GPO 至 AD(8/10) 在掃描備份頁面點選 下一步 22
匯入 GPO 至 AD(9/10) 在正在完成匯入設定頁面, 點選 完成 23
匯入 GPO 至 AD(10/10) 在匯入進度的頁面, 點選 確定 完成匯入 GPO 至群組原則物件中 24
將群組原則物件連結至 OU 將已匯入 GPO 的群組原則物件連結至組織單位 (OU), 完成部署作業 使用者電腦登入網域後, 即可套用 GCB 設定 25
本機逐台導入 GCB 方式 開始 是 是否透過 AD 進行導入 否 GPO 檔 匯入 GPO 至 AD 安裝 LocalGPO 程式 LocalGP O 程式 將已匯入 GPO 的群組原則物件連結至組織單位 (OU) 使用 LocalGPO 程式匯入 GPO GPO 檔 使用者電腦登入網域, 套用群組原則 使用者電腦重新開機, 套用群組原則 結束 26
安裝 LocalGPO 程式 (1/8) 執行 LocalGPO 安裝檔 27
安裝 LocalGPO 程式 (2/8) 點選 Next 28
安裝 LocalGPO 程式 (3/8) 接受授權協議後, 點選 Next 29
安裝 LocalGPO 程式 (4/8) 確認安裝路徑後, 點選 Next 30
安裝 LocalGPO 程式 (5/8) 點選 Install 開始進行安裝 31
安裝 LocalGPO 程式 (6/8) 點選 是, 允許安裝 LocalGPO 在這部電腦上 32
安裝 LocalGPO 程式 (7/8) 點選 Finish 完成安裝作業 33
安裝 LocalGPO 程式 (8/8) 安裝檔案放置於 C:\Program Files\LocalGPO 34
使用 LocalGPO 程式匯入 GPO(1/3) 複製放置 GPO 的完整目錄路徑 35
使用 LocalGPO 程式匯入 GPO(2/3) 點選 LocalGPO Command-line, 點選右鍵 選擇 以系統管理員身分執行 36
使用 LocalGPO 程式匯入 GPO(3/3) 在 LocalGPO 工具的目錄下 執行 cscript LocalGPO.wsf /path:< 放置 GPO 的完整目錄路徑 > 重複上一步驟, 匯完所有的 GPO 後, 必須重新開機 37
檢查 GPO 套用狀況之方式 38
使用 RSOP 檢查群組原則 在 AD 環境下, 以系統管理員身分執行命令提示 字元, 在本機使用 Rsop.msc 指令 39
使用 Gpresult 檢查群組原則 在 AD 環境下, 以系統管理員身分執行命令提示 字元, 在本機使用 Gpresult 指令 40
使用 Gpedit.msc 檢查群組原則 在單機環境下, 以系統管理員身分執行命令提示 字元, 在本機使用 Gpedit.msc 指令 41
恢復原始設定之方式 42
AD 環境下恢復原始設定方式 在欲取消連結的 GPO 上按一下滑鼠右鍵, 再點選 [ 刪除 ], 即可將群組原則物件自 OU 中移除 使用者電腦重新登入網域後, 即可恢復原始設定 按一下滑鼠右鍵, 再點選 [ 刪除 ] 43
本機恢復原始設定之方式 (1/2) 點選 LocalGPO Command-line, 點選右鍵 選擇 以系統管理員身分執行 44
本機恢復原始設定之方式 (2/2) 在 LocalGPO 工具的目錄下 執行 cscript LocalGPO.wsf /Restore 重新開機後即可恢復原始設定 45
SCM 安裝及操作說明 46
安裝 SCM(1/10) 需先安裝 Microsoft.NET Framework 4 下載網址 :http://www.microsoft.com/zhtw/download/details.aspx?id=17718 47
安裝 SCM(2/10) 下載 SCM( 目前版本為 3.0): http://gallery.technet.microsoft.com/localgp Omsi-Excellent-MS-2593b2eb 48
安裝 SCM(3/10) 按滑鼠右鍵選擇 以系統管理員身分執行 Security_Compliance_Manager_Setup.exe 49
安裝 SCM(4/10) 在 Welcome to the Security Compliance Manager Setup 頁面, 點選 Next 50
安裝 SCM(5/10) 在 License Agreement 頁面選取 I accept the terms of the license agreement 並點選 Next 51
安裝 SCM(6/10) 在 Installation Folder 頁面, 選擇要安裝的 Folder, 然後點選 Next 52
安裝 SCM(7/10) 接下來會開始安裝 SQL Server 2008 Express, 請點選 Next 53
安裝 SCM(8/10) 在 License Agreement 頁面選取 I accept the terms of the license agreement 並點選 Next 54
安裝 SCM(9/10) SQL Server 2008 Express 安裝完成後, 在 Read to Install 頁面, 點選 Install 後進行 SCM 的安裝 55
安裝 SCM(10/10) 在 Installation Successful 的頁面點選 Finish 56
SCM 的基本功能 匯入 / 匯出 GPO 檔 比較 / 合併 GPO 檔 複製 / 刪除 GPO 檔 搜尋 / 新增 / 修改 / 刪除 GPO 設定值內容 57
匯入 GPO 檔 (1/2) 在行動窗格中選擇 Import GPO Backup (folder) 58
匯入 GPO 檔 (2/2) 在瀏覽資料夾中選擇要匯入的 GPO 目錄下之機碼資料夾, 並點選 確定 SCM 會自動帶出 GPO 名稱, 點選 OK 即可匯入 59
匯出 GPO 檔 (1/2) 在 SCM 中點選欲匯出的 GPO 在行動窗格中選擇 Export GPO Backup folder 60
匯出 GPO 檔 (2/2) 建立一個新資料夾存放 GPO 按 確定 後, 會將所選擇的 GPO 匯出至指定的資料夾 61
合併 2 個 GPO 檔 (1/4) 選取第 1 個 GPO 檔, 在行動窗格中選擇 Baseline Compare/Merge 62
合併 2 個 GPO 檔 (2/4) 選取要合併的 GPO 檔, 並點選 OK 63
合併 2 個 GPO 檔 (3/4) 在 Compare Baselines 的視窗中, 會列出 2 個 GPO 異同之處, 確認無誤後請點選 Merge Baselines 64
合併 2 個 GPO 檔 (4/4) 最後請填入合併後的 GPO 名稱, 並點選 OK 完成合併 65
複製 GPO 檔 (1/2) 選取 1 個 SCM 原生 GPO 檔, 在行動窗格中選擇 Baseline Duplicate 66
複製 GPO 檔 (2/2) 對 GPO 檔重新命名與修改描述內容, 選取 Save 儲 存 67
刪除 GPO 檔 (1/2) 選取 1 個 GPO 檔, 在行動窗格中選擇 Baseline Delete 68
刪除 GPO 檔 (2/2) 在確認視窗選取 是 刪除 GPO 檔 69
修改 GPO 設定值 (1/2) 由左視窗選擇 GPO 檔, 並在中間視窗的 Advanced View 以欄位或關鍵字尋找要修改的群組原則 70
修改 GPO 設定值 (2/2) 點選要修改的群組原則, 依需要調整設定值 71
調整 GCB 設定值 72
使用時機 套用 GCB 後, 若發生系統異常或無法使用導致影響日常公務, 則可以視需求調整設定值並進行例外管理 已知可能影響系統運作的群組原則 : ActiveX 可透過 將網站加入信任網站 或調整 ActiveX 控制項與外掛程式 等例外管理方式處理 密碼模組 可透過調整 GPO 設定值並以例外管理方式處理 73
GCB 設定值調整步驟 找出影響系統運作的群組原則 變更群組原則設定值 測試新設定值並確認障礙已排除 部署調整後的 GPO 使用 AD 使用 SCM+LocalGPO 將調整的群組原則納入例外管理 74
調整與測試 GCB 設定值 使用 gpedit.msc 在本機調整 GCB 設定值 使用 gpupdate /force 立即更新群組原則 測試新設定值是否可排除障礙 75
使用 AD 調整 GCB 76
使用 SCM+LocalGPO 調整 GCB 77
新增網站至信任的網站 78
執行步驟 (1/5) 執行 gpedit.msc, 啟動本機群組原則編輯器 79
執行步驟 (2/5) 電腦設定系統管理範本 Windows 元件 Internet Explorer 網際網路控制台安全性網頁指派網站到區域清單, 按右鍵, 點選 編輯 按右鍵, 點選 編輯 80
執行步驟 (3/5) 確認狀態為 已啟用 點選 顯示 按鈕 1 2 81
執行步驟 (4/5) 值名稱 欄位: 輸入欲加入到信任的網站的網址 ( 例如 :member.nat.gov.tw) 值 欄位: 輸入 2 後, 按 確定, 並關閉本機群組原則編輯器 1 2 3 82
執行步驟 (5/5) 啟用 cmd.exe, 執行 gpupdate /force, 更新群組原則設定後, 即完成將網站新增至信任的網站作業 83
RHEL 5 組態設定方式 84
RHEL 5 組態設定方式 依照 RHEL 5 GCB 文件 設定方法 欄位進行設 定 85
RHEL 5 組態設定實作 (1/2) /etc/group 檔案權限 擁有者及群組 依照技服中心公告文件 設定方法 欄位進行組 態設定 86
RHEL 5 組態設定實作 (2/2) 依照技服中心公告文件 檢測方法 欄位進行組 態設定檢查 87
問題與討論 88
報告完畢 敬請指教