政府組態基準 (GCB) 實作研習活動 ( 部署實務 ) 國家資通安全會報技術服務中心
大綱 群組原則說明 GCB 導入流程 恢復原始設定之方式 SCM 操作說明 調整 GCB 設定值 問題與討論 1
群組原則說明
目的 群組原則的基本說明 (1/2) 管理使用者和電腦的一般性功能與安全性管理 軟體部署 Service Pack 修正程式 應用程式 強制實施安全性的設定 確保有相同的操作介面 3
種類 群組原則的基本說明 (2/2) 本機 站台 (Site) 網域 (Domain) 組織單位 (OU) 對象 電腦 使用者 來源 群組原則物件 (GPO) 資料來源 : 微軟網站 4
群組原則的套用時機 電腦設定 電腦開機時 使用者設定 使用者登入時 群組原則衝突處理 電腦設定優於使用者設定 ( 以電腦設定為主 ) 更新的頻率 90~120 分鐘 手動立即更新群組原則 gpupdate /force 5
群組原則的套用順序 6
群組原則的繼承型態 繼承群組原則 繼承上層的原則 禁止 繼承原則 不繼承上層的原則 禁止強制覆蓋 不允許下層的原則覆蓋上層的原則 應用在強制性的原則 GCB 群組原則建議使用強制避免被下層原則覆蓋 7
GCB 導入流程
導入流程 開始 是 是否透過 AD 進行導入 否 GPO 檔 匯入 GPO 至 AD 安裝 LocalGPO 程式 LocalGPO 程式 將已匯入 GPO 的群組原則物件連結至網域 (Domain) 或組織單位 (OU) 使用 LocalGPO 程式匯入 GPO GPO 檔 使用者電腦登入網域, 套用群組原則 使用者電腦重新開機, 套用群組原則 結束 9
取得 GPO 檔 (1/2) 10
取得 GPO 檔 (2/2) 11
GPO 檔說明 Windows 7 USGCB Account Policy ( 帳號管理 ) USGCB Windows 7 Computer Energy Policy ( 電源管理 ) USGCB Windows 7 Computer Settings ( 電腦設定管理 ) USGCB Windows 7 User Settings ( 使用者設定管理 ) Windows 7 Firewall USGCB Windows 7 Firewall Settings ( 防火牆設定管理 ) IE 8 USGCB Internet Explorer 8 Computer Settings ( 電腦設定管理 ) USGCB Internet Explorer 8 User Settings ( 使用者設定管理 ) 12
使用 AD 導入 GCB 方式 開始 是 是否透過 AD 進行導入 否 GPO 檔 匯入 GPO 至 AD 安裝 LocalGPO 程式 LocalGPO 程式 將已匯入 GPO 的群組原則物件連結至網域 (Domain) 或組織單位 (OU) 使用 LocalGPO 程式匯入 GPO GPO 檔 使用者電腦登入網域, 套用群組原則 使用者電腦重新開機, 套用群組原則 結束 13
匯入 GPO 至 AD (1/10) 點擊開始 所有程式 系統管理工具 群組原則管理 14
匯入 GPO 至 AD (2/10) 在群組原則物件節點按滑鼠右鍵 選擇 新增 在 名稱 欄位中輸入群組原則物件的名稱 15
匯入 GPO 至 AD (3/10) 點選此新建的群組原則物件 選擇 匯入設定值 16
匯入 GPO 至 AD (4/10) 在歡迎使用 匯入設定精靈 頁面, 按 下一步 17
匯入 GPO 至 AD (5/10) 在備份 GPO 頁面, 按 下一步 18
匯入 GPO 至 AD (6/10) 在備份位置頁面, 選取放置 GPO 的資料夾 19
匯入 GPO 至 AD (7/10) 在來源 GPO 頁面中選取欲匯入的 GPO 20
匯入 GPO 至 AD (8/10) 在掃描備份頁面按 下一步 21
匯入 GPO 至 AD (9/10) 在正在完成匯入設定頁面, 按 完成 22
匯入 GPO 至 AD (10/10) 在匯入進度的頁面, 按 確定 完成匯入 GPO 至 群組原則物件中 23
將群組原則物件連結至 OU 將已匯入 GPO 的群組原則物件連結至組織單位 (OU), 完成部署作業 使用者電腦登入網域後, 即可套用 GCB 設定 24
Demo 使用 AD 導入 GCB
本機逐台導入 GCB 方式 開始 是 是否透過 AD 進行導入 否 GPO 檔 匯入 GPO 至 AD 安裝 LocalGPO 程式 LocalGPO 程式 將已匯入 GPO 的群組原則物件連結至網域 (Domain) 或組織單位 (OU) 使用 LocalGPO 程式匯入 GPO GPO 檔 使用者電腦登入網域, 套用群組原則 使用者電腦重新開機, 套用群組原則 結束 26
下載 LocalGPO 安裝程式 27
使用 LocalGPO 程式匯入 GPO(1/3) 複製放置 GPO 的完整目錄路徑 28
使用 LocalGPO 程式匯入 GPO(2/3) 點選 LocalGPO Command-line, 按右鍵選 擇 以系統管理員身分執行 29
使用 LocalGPO 程式匯入 GPO(3/3) 在 LocalGPO 工具的目錄下 執行 cscript LocalGPO.wsf /path:< 放置 GPO 的完整目錄路徑 > 重複上一步驟, 匯完所有的 GPO 後, 必須重新開機 30
恢復原始設定之方式 31
AD 環境下恢復原始設定方式 在欲取消連結的 GPO 上按一下滑鼠右鍵, 再點選 [ 刪除 ], 即可將群組原則物件自 OU 中移除 使用者電腦重新登入網域後, 即可恢復原始設定 按一下滑鼠右鍵, 再點選 [ 刪除 ] 32
本機恢復原始設定之方式 (1/2) 以 系統管理員身分 啟動命令提示字元 (cmd) 33
本機恢復原始設定之方式 (2/2) 在 LocalGPO 工具的目錄下 執行 cscript LocalGPO.wsf /Restore 重新開機後即可恢復原始設定 34
實作練習 使用 LocalGPO 導入 GCB
GCB 組態設定例外管理實務
組態設定管理工具 網域環境 群組原則管理 內建於 AD Server 單機環境 Microsoft Security Compliance Manager (SCM) 安裝於 Windows 7 僅管理人員安裝即可, 不須每一台使用者安裝 37
GCB 組態設定例外管理建議方式 網域環境 部署 GCB 的原始 GPO, 並設定為 強制 建立新的 GPO, 並設定例外管理的組態項目 部署例外管理的 GPO, 將優先性設為最高, 並設定為 強制 單機環境 備份 GCB 的原始 GPO 使用 SCM 修改 GPO 內容, 設定例外管理的組態項目, 並以文件記錄修改過的組態項目 匯出修改後的 GPO, 並以 LocalGPO 部署 38
AD 組態例外管理方式 Demo
安裝 SCM(1/10) 需先安裝 Microsoft.NET Framework 4 下載網址 :http://www.microsoft.com/zhtw/download/details.aspx?id=17718 40
安裝 SCM(2/10) 下載 SCM( 目前版本為 3.0): http://gallery.technet.microsoft.com/localgpomsi- Excellent-MS-2593b2eb 41
安裝 SCM(3/10) 按滑鼠右鍵選擇 以系統管理員身分執行 Security_Compliance_Manager_Setup.exe 42
安裝 SCM(4/10) 在 Welcome to the Security Compliance Manager Setup 頁面, 按 Next 43
安裝 SCM(5/10) 在 License Agreement 頁面選取 I accept the terms of the license agreement 並按 Next 44
安裝 SCM(6/10) 在 Installation Folder 頁面, 選擇要安裝的 Folder, 然後按 Next 45
安裝 SCM(7/10) 接下來會開始安裝 SQL Server 2008 Express, 請 按 Next 46
安裝 SCM(8/10) 在 License Agreement 頁面選取 I accept the terms of the license agreement 並按 Next 47
安裝 SCM(9/10) SQL Server 2008 Express 安裝完成後, 在 Read to Install 頁面, 按 Install 後進行 SCM 的安裝 48
安裝 SCM(10/10) 在 Installation Successful 的頁面按 Finish 49
SCM 操作說明
SCM 的基本功能 匯入 / 匯出 GPO 檔 比較 / 合併 GPO 檔 複製 / 刪除 GPO 檔 搜尋 / 新增 / 修改 / 刪除 GPO 設定值內容 51
匯入 GPO 檔 (1/2) 在行動窗格中選擇 Import GPO Backup (folder) 52
匯入 GPO 檔 (2/2) 在瀏覽資料夾中選擇要匯入的 GPO 目錄下之機碼資料夾, 並按 確定 SCM 會自動帶出 GPO 名稱, 按 OK 即可匯入 53
匯出 GPO 檔 (1/2) 在 SCM 中點選欲匯出的 GPO 在行動窗格中選擇 Export GPO Backup folder 54
匯出 GPO 檔 (2/2) 建立一個新資料夾存放 GPO 按 確定 後, 會將所選擇的 GPO 匯出至指定的資料夾 55
合併 2 個 GPO 檔 (1/4) 選取第 1 個 GPO 檔, 在行動窗格中選擇 Baseline Compare/Merge 56
合併 2 個 GPO 檔 (2/4) 選取要合併的 GPO 檔, 並按 OK 57
合併 2 個 GPO 檔 (3/4) 在 Compare Baselines 的視窗中, 會列出 2 個 GPO 異 同之處, 確認無誤後請按 Merge Baselines 58
合併 2 個 GPO 檔 (4/4) 最後請填入合併後的 GPO 名稱, 並按 OK 完 成合併 59
修改 GPO 設定值 (1/2) 由左視窗選擇 GPO 檔, 並在中間視窗的 Advanced View 以欄位或關鍵字尋找要修改的群組原則 60
修改 GPO 設定值 (2/2) 點選要修改的群組原則, 依需要調整設定值 61
新增網站至信任的網站
執行步驟 (1/5) 執行 gpedit.msc, 啟動本機群組原則編輯器 63
執行步驟 (2/5) 電腦設定 系統管理範本 Windows 元件 Internet Explorer 網際網路控制台 安全性網 頁 指派網站到區域清單, 按右鍵, 點選 編輯 按右鍵, 點選 編輯 64
執行步驟 (3/5) 確認狀態為 已啟用 點選 顯示 按鈕 1 2 65
執行步驟 (4/5) 值名稱 欄位: 輸入欲加入到信任的網站的網址 ( 例如 :member.nat.gov.tw) 值 欄位: 輸入 2 後, 按 確定, 並關閉本機群組原則編輯器 1 2 3 66
執行步驟 (5/5) 啟用 cmd.exe, 執行 gpupdate /force, 更新群組原 則設定後, 即完成將網站新增至新任的網站作業 67
新增信任網站 Demo 與實作練習
政府組態基準常見問題 69
問題與討論
報告完畢 敬請指教 71