政府單位需要套GCB,與政府單位做生意的廠商,有時會需要協助承辦人套用、驗證。
以下內容參考臺大計中、微軟官方、資安院。

前置作業
    1. GCB與GPO工具
        1. [作業系統GPO - 國家資通安全研究院 (nat.gov.tw)](https://www.nics.nat.gov.tw/GCBDownloadDetail-7.htm?lang=zh&seq=1079)
        2. [LocalGPO安裝程式 - 國家資通安全研究院 (nat.gov.tw)](https://www.nics.nat.gov.tw/GCBDownloadDetail-14.htm?lang=zh&seq=1005)
    2. 套用情形驗證工具
        1. PolicyAnalyzer [Download Security Compliance Toolkit and Baselines from Official Microsoft Download Center](https://www.microsoft.com/en-us/download/details.aspx?id=55319)

 

安裝作業

  1. 完成LocalGPO後到預設目錄 C:\Program Files (x86)\LocalGPO 以系統管理員開啟command-line here。
  2. 第一次執行可能會出現錯誤,若出現不支援作業系統,在預設目錄 C:\Program Files (x86)\LocalGPO 利用記事本開啟LocalGPO.wsf內搜尋 Left(strOpVer,3),將"6.2" 改為 "10."即可正常執行。

備份作業

  1. 備份原始GPO cscript LocalGPO.wsf /path:C:\ /Export

套用GCB Windows server 2022 設定 
    1. 確認套用設定檔,解壓縮後放置到`C:\GCB\`路徑底下
       原則請至資安院下載:[作業系統GPO - 國家資通安全研究院 (nat.gov.tw)](https://www.nics.nat.gov.tw/GCBDownloadDetail-7.htm?lang=zh&seq=1079)
       本次伺服器套用範圍為AccountSettings與CommonSettings,依資安院統計顯示,完整套用為323項,詳情可參考[作業系統說明文件 - 國家資通安全研究院 (nat.gov.tw)](https://www.nics.nat.gov.tw/GCBDownloadDetail.htm?lang=zh&seq=1074)     
     2. 執行GCB Windows Server 2022的通用設定參數
        cscript LocalGPO.wsf /path:C:\GCB\GCB-WindowsServer2022-gposv1.0_1121201\WindowsServer2022CommonSettings\{7BF810B1-F9D4-44D0-8805-0E09640FDCC5}
     3. 執行GCB Windows Server 2022的帳號設定參數
        cscript LocalGPO.wsf /path:C:\GCB\GCB-WindowsServer2022-gposv1.0_1121201\WindowsServer2022AccountSettings\{8D6AE9E6-7E48-4A5D-BD63-07D92720A5B4}
    4. 執行電腦原則套用更新
        gpupdate /force

 

調整設定具有系統管理員權限的本機帳號可以遠端登入。
       1. 開啟本機安全性原則 secpol.msc
       2. 調整原則 
          本機原則 / 使用者權限指派 / 拒絕從網路存取這台電腦 - 調整為Guest
          本機原則 / 使用者權限指派 / 拒絕透過遠端桌面服務登入 - 調整為Guest
          將本機帳戶與Administrators群組的成員從原則中移除,這樣才能讓本機帳號透過遠端登入操作。
⚠️特別說明⚠️

  1. 若伺服器有加入網域,可考慮不排除,但未來僅可透過網域帳號登入此伺服器,網域失效時將無法登入。
  2. 排除項要記得寫單位的排除單並簽核。
  3. 完成後重啟電腦候登入務必進行功能測試。
  4. 重啟完成後 預設的Administrator將會被更名為Renamed_Admim,因GCB為公開資訊,建議另行更名,不宜直接套用Renamed_Admim。

驗證套用情形

  1. 執行PolicyAnalyzer
  2. 匯入baseline GPO  Add / File / Add file form GPO(s) AccountSettings與CommonSettings都匯入後,再Import,並另存Policy Rules。
  3. 直接執行Compare to Effective 比對套用情形,比對時會需要系統管理員權限,請按是執行,比對時出現錯誤訊息請按確定忽略。
  4. 比對完成結果在policyViewer窗格中可以Export Excel(需安裝excel才能執行)

 

 

 

arrow
arrow
    文章標籤
    GCB GPO
    全站熱搜

    Joy 發表在 痞客邦 留言(0) 人氣()