【使用Microsoft LGPO.exe 配置组策略】

最新推荐文章于 2024-09-09 13:32:45 发布
最新推荐文章于 2024-09-09 13:32:45 发布
阅读量2.9k 收藏 7
点赞数 1
分类专栏: 安全基线 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wumeng2012/article/details/123823579
版权

使用Microsoft LGPO.exe 配置组策略

本文介绍如何使用LGPO.exe工具,批量部署windows基线。

目录

前言

Microsoft 的本地组策略对象 (LGPO) 实用程序是一个独立的命令行可执行文件,可帮助管理员自动管理计算机的本地安全策略。该工具使用组策略模板 (GptTmpl.inf) 文件、注册表策略 (registry.pol) 文件和审核策略 (audit.csv) 文件的组合将所需的配置设置应用于端点。免费的 LGPO 实用程序是 Microsoft 安全合规工具包的一部分,可在此处下载
要完成下载,您可以按照以下简单步骤操作:

  1. 导航到 Microsoft Security Compliance Toolkit 1.0
  2. 选择Download
  3. 选中LGPO.zip旁边的框
  4. 选择Next
    默认情况下,下载内容存储在您的用户配置文件的下载目录中。

在撰写本文时,LGPO 的版本为 3.0.2004.13001 (v3.0)。根据微软的说法,这是新版本附带的内容:

LGPO.exe 中添加了两个新选项。第一个是 /ef,它启用 backup.xml 中引用的组策略扩展。第二个是 /p,它允许直接从 .PolicyRules 文件导入设置,这样就不需要手头有实际的 GPO。此外,LGPO.exe /b 和 /g 现在捕获本地配置的客户端扩展 (CSE)(我们之前遇到过问题)。最后,/b 还正确捕获了所有用户权限分配,克服了底层“secedit.exe /export”中的一个错误,该错误无法捕获未授予任何人的用户权限分配。

LGPO.exe 作为一个独立的可执行程序,可以直接从命令行运行。它不会在您的系统上安装其他软件来执行其任务。要运行该程序,请打开命令提示符并导航到可执行文件。我已将我的存储在C:\LGPO 中。

在这里插入图片描述
LGPO 有四 (4) 种核心模式,每一种都在下面列出:

  1. 导入和应用策略设置
  2. 将本地策略导出到 GPO 备份
  3. 将 registry.pol 文件解析为“LGPO 文本”格式
  4. 从“LGPO文本”构建 registry.pol 文件

使用上面列出的一种或多种模式,这篇文章将描述有关如何:

  1. 备份当前策略 (LGPO.exe /b)
  2. 导入新的本地策略 (LGPO.exe /g)
  3. 导入新的组策略模板 (GptTmpl.inf)(LGPO.exe /s)
  4. 导入新的注册表策略 (registry.pol) (LGPO.exe /m, /u, /ua, /un,/u:username)
  5. 导入新的审核策略 (audit.csv) (LGPO.exe /a[c])

有关如何使用 LGPO 实用程序的其他信息可以在 .zip 下载中嵌入的 LGPO.pdf 文件中找到。

操作指南

1.备份本地策略

在应用新策略之前,最好创建系统当前配置的备份。为此,请使用LGPO /b 选项:

LGPO 任务: 在 Path 中创建 GPO 备份,其中 Path 是备份将存储的位置

LGPO 选项: /b

LGPO 步骤:

  1. 管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行 LGPO.exe /b Path,其中Path是将存储备份的位置
    提示:Path目录必须事先建立好:

以下命令将备份系统的本地策略并将其存储在 C:\LGPO\Backup

命令:

C:\> C:\LGPO\LGPO.exe /b C:\LGPO\Backup

在这里插入图片描述

2.导入合规策略

有几种方法可以获得预配置的策略,包括预配置的 DCSA 和 DISA 版本。DCSA 提供 NISP 分类配置 (NISP CC) 工具,其中包含所有必需的策略文件,以促进本文中举例说明的强化。DISA 提供位于面向公众的 DoD Cyber​​ Exchange 上的组策略对象。有关每项的详细信息,请参阅DCSA NISP CC 说明DISA GPO

/g 选项提供从一个或多个策略导出/备份导入设置的能力,其中包含注册表策略(例如 registry.pol)文件、安全模板(例如 GptTmpl.inf)、高级审核模板(例如 audit. csv)和 backup.xml 文件(用于 GP 客户端扩展 (CSE))。“Machine”和“User”registry.pol 设置必须存在于它们各自的“Machine”或“User”子目录中,才能将相关设置应用于正确的注册表配置单元。

LGPO 任务: 从 Path 下的一个或多个 GPO 导出/备份导入设置,其中 Path 是 GPO GUID 的位置

LGPO 选项: /g

LGPO 步骤:

以管理

  1. 员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /g Path,其中Path是 GPO GUID 的位置
    以下命令将应用存在于 {F02F0236-6A68-40F2-8F91-1861194EB794} 目录中的策略设置(GptTmpl.inf、registry.pol 和 audit.csv)。{F02F0236-6A68-40F2-8F91-1861194EB794} 是 GUID 的一个示例。

命令:

C:\LGPO\LGPO.exe /g 'C:\LGPO\Backup\{F02F0236-6A68-40F2-8F91-1861194EB794}\'

在这里插入图片描述
根据 DISA 发布的 Windows 10 基准测试,这个简单的命令大大提高了我的虚拟机 (VM) 的安全配置。

策略导入前的 SCAP 合规检查器 (SCC):46.51% 合规

策略导入后的 SCAP 合规检查器 (SCC):96.28% 合规

3. 导入合规策略(部分导入)

在某些情况下,可能没有必要导入整个策略。下面举例说明了一些额外的使用实现。

仅导入模板设置:

LGPO 任务: 应用指定的安全模板

LGPO 选项: /s

LGPO 步骤:

  1. 以管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /s Path,其中Path是模板文件的位置。

以下命令将应用 C:\LGPO\Backup\GptTmpl.inf 模板文件中定义的设置

命令:

C:\> C:\LGPO\LGPO.exe /s C:\LGPO\Backup\GptTmpl.inf

在这里插入图片描述

仅导入注册表策略设置:

LGPO 任务: 将 registry.pol 中的设置导入指定配置(机器 | 用户 | 管理员 | 非管理员 | 特定用户)

LGPO 选项:

/m : 将registry.pol中的设置导入机器配置

/u : 将 registry.pol 中的设置导入用户配置

/ua : 将 registry.pol 中的设置导入管理员用户配置

/un : 将 registry.pol 中的设置导入非管理员的用户配置

/u:username:将registry.pol中的设置导入“username”指定的本地用户的用户配置中

LGPO 步骤:

  1. 以管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /选项 Path,其中Path是注册表文件的位置,/选项是所需的开关
    以下命令将应用 C:\LGPO\Backup\ Machine \Registry.pol 中定义的机器注册表设置和 C:\LGPO\Backup\ User \Registry.pol中定义的用户注册表设置

命令:

C:\> C:\LGPO\LGPO.exe /m C:\LGPO\Backup\Machine\registry.pol /u C:\LGPO\Backup\User\registry.pol

在这里插入图片描述

仅导入审核策略设置

LGPO 任务:清除系统的审核策略并应用新的审核策略配置

LGPO选项:

/a:应用高级审核设置

/ac:清除高级审核设置并应用新的高级审核设置

LGPO 步骤:

  1. 以管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /ac Path,其中Path是 audit.csv 文件的位置 以下命令将清除系统当前的审计策略以应用C:\LGPO\Backup\audit.csv 文件中定义的审计策略设置
    命令:
C:\LGPO> C:\LGPO\LGPO.exe /ac C:\LGPO\Backup\audit.csv

在这里插入图片描述

[Zephyr]
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows组策略修改工具LGPO
06-29
Windows组策略修改工具LGPO,自动修改Windows组策略
Windows 安全基线批量设置
qq_34218341的博客
08-31 610
批量修改windows 组策略,安全基线
自动修改Windows组策略
Zhang Sir的科学园地
03-26 5578
在工作中遇到了批量配置Windows策略组的问题,网上流传的一般方法是修改注册表,据说不是总能有效。于是摸索和学习,了解到使用LGPO的方法比较靠谱,遂记录以备忘。
使用组策略部署exe软件
weixin_34199335的博客
02-22 523
实战:组策略部署exe软件 扩展名为Msi程序可以实现自动安装和卸载以及升级,扩展名是exe的安装程序不能直接使用组策略部署,但是可以通过创建zap文件将exe程序发布给用户。 5.4.4示例:指定扩展名和应用程序关联 你可能使用组策略为用户部署了Office 2003和Office 2007,当用户在一台没有装Office的计算机上登录,当他点击扩展名是doc的文件,会自动激活哪个版本的O...
LGPO.exe – Local Group Policy Object Utility
allway2的博客
09-24 1073
LGPO.exe is a new command-line utility toautomate the management oflocal group policy. It replaces the no-longer-maintained LocalGPO tool that shippedwith the Security Compliance Manager (SCM), and...
组策略命令行工具使用组策略对象检查工具GPOTOOL
weixin_34150830的博客
10-14 262
组策略命令行工具使用之GPOTOOL 域组策略对象检查工具――GPO TOOL Windows Resource Kit Tools工具软件。Gpotool号称组策略的“医生”,用于检查域控制器上的组策略对象的健康状况。主要完成一下功能: ●检查组策略对象的一致性。读取必须的和可选的目录服务属性(版本、友好名称、扩展 GUID和Windows 2000系统卷(SY...
组策略发布 exe
05-29
在域中 用组策略 发布exe 让你轻松发布 exe 软件
组策略自动化部署.exe软件之一:把exe文件转换为MSI
weixin_33671935的博客
01-11 1518
1、下图实验环境部署拓扑图2、首先我们在XP01这台域环境下的客户端下安装Vmware-ThinAPP软件点击“next”勾选“Iaccept…”,然后点击“Next”输入产品密钥和License显示名称,点击“Install”点击“Finish”完成ThinAPP的安装3、下面我们开始通过ThinAPP把EXE文件制作为MSI安装文件,方便部署首先我们...
DPInst32.exe 与 DPInst64.exe
09-02
在实际使用中,通常会将DPInst32.exe和DPInst64.exe打包在设备驱动程序的安装包中。当用户或系统管理员尝试安装驱动时,这两个工具会根据系统的架构自动选择合适的版本运行。例如,如果你收到一个包含DPInst64.exe和...
执行关闭MsMpeng.exe微软自家防护进程.bat
03-31
执行关闭MsMpeng.exe微软自家防护进程.bat,购买配置比较低的阿里云服务器,建议关闭MSM。关闭方法比较复杂。我直接写了1个bat快速执行程序。双击就行了。
微软inspect.exe(类似 Spy++、UI Spy)
10-25
使用最新版解压缩软件解压,或者使用7-zip解压 微软的东西 在Windows 8.1 SDK中有带 类似 Spy++ / UI Spy,可以查看窗口及其内各种元素,可pinvoke 详细描述在此链接 ...
srvany.exe和instsrv.exe
03-07
`instsrv.exe`是“安装服务器”工具,由Microsoft Systems Internals开发并作为Sysinternals Suite的一部分发布。它的主要功能是将一个可执行文件安装为Windows服务。使用`instsrv.exe`,你可以将任何32位或64位的...
下载最新版 VC_redist.x86.exe / VC_redist.x64.exe for Visual Studio 2015, 2017, 2019, and 2022
热门推荐
dvlinker的技术专栏
06-29 3万+
下载最新版 VC_redist.x86.exe / VC_redist.x64.exe for Visual Studio 2015, 2017, 2019, and 2022
组策略发布.exe程序
学习之路
02-17 952
组策略只支持.msi 安装格式的  如果要是安装.exe 的就的靠 .zap 文件帮忙了 .zap 文件格式   [Application] FriendlyName = "金山词霸2002" SetupCommand = "setup.exe" DisplayVersion = 5.5 Publisher = 金山公司   保存为.zap 格式 和 安装程序放在一起发布就
域环境中组策略发布exe类型软件
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-14 1891
一、背景 当我们通过组策略下发exe软件时,一般操作是将exe格式的软件转换为msi格式,因组策略是支持msi格式下发,通过脚本实现用户登录时自动安装软件,用户需要最基本的Poweruser权限才可以进行安装,否则会提示没权限。那要是通过组策略下发exe如何做到呢? 二、配置过程 1)首先确定你组策略下发的范围,也就是说下发到全域还是某个ou,如果只针对一个ou,将客户端用户添加到此ou中 2)接着打开组策略管理控制台,新建一条GPO(之后链接到目标ou即可),点击编辑 3)编辑登录执行脚本,单击–显示
使用组策略部署软件
gaokui的博客
05-25 883
一、将EXE程序打包成MSI 使用vmware-ThinApp软件进行打包,如下图: 二、软件部署 1.1使用组策略部署软件,软件格式需为MSI,如下图: 1.2右击软件安装,新建数据包 三、删除部署的软件 软件设置-软件安装,找到要删除的软件右击所有任务,选择删除,立即从用户和计算机中卸载软件。 四、软件升级 使用组策略先部署软件,部署完成后,在上传升级文件,右击升级文件属性选择升级,点击“添加”,选择升级前的版本 ...
组策略中发布.exe文件方法
weixin_34356138的博客
01-10 329
1.在你的将要发布的unc路径里确定有setup.exe安装文件例如:[url=file://\\srv1\software\xdict2006\setup.exe]\\srv1\software\xdict2006\setup.exe[/url]  2.在该目录下新建一个setup.zap文件,用记事本编辑它,内容如下    [Application] Frien...
未能打开这台计算机上的组策略对象,您可能没有合适的权限
AddisonDing的专栏
06-06 1万+
未能打开这台计算机上的组策略对象,您可能没有合适的权限 cank
ConfigurationProperties配置报黄、无描述的问题
最新发布
JustryDeng
09-09 553
ConfigurationProperties美化配置
lgpo.exe 基线检查
06-27
### 回答1: LGPO.exe 是一个来自Microsoft的免费工具,是用来管理local group policy(本地组策略)的。可用于在本地计算机或远程计算机上查看、编辑和导出本地组策略对象(GPO)。基线检查是通过预定义的一组安全标准来评估计算机或计算机组的安全性的过程。对于不同的环境和需求,可以创建不同的基线检查。 LGPO.exe的基线检查可以帮助组织或个人确定和评估其计算机或网络的安全性。通过检查本地组策略中的设置,可以确定目标计算机是否满足组织的安全要求。该工具可以自动执行基线检查并生成关于安全状态的报告,以便组织或个人可以采取适当的措施来提高其安全性。 在过去的几年中,网络威胁变得越来越复杂和先进,因此对于保护计算机和网络的安全,基线检查变得越来越重要。 LGPO.exe的基线检查是一种快速、可靠和高效的方式,可以帮助组织建立和维护其安全要求。同时,还可以减少手动工作和减少错误,使组织更好地专注于解决高级威胁。 ### 回答2: LGPO(Local Group Policy Object)是一种基于组策略对象的本地安全管理工具,它用来限制或允许本地计算机或服务器上的某些系统功能和操作。当我们需要审核或调整计算机上的安全设置时,LGPO可以实现这个目的。而LGPO.exe就是其中一个可以用来生成系统安全基线报告的实用程序。 当我们运行LGPO.exe时,它会通过读取计算机的组策略文件(GPO)来生成一个包含基线检查结果的XML文档。这个XML文档中包含了系统的各种安全设置,比如账户控制策略、密码策略、网络访问策略等等。通过比对这些安全设置与我们所设定的安全要求,我们就能够确定计算机是否满足这些要求。如果不满足,就可以采取相应的措施来升级系统的安全设置。 基于LGPO.exe的基线检查有助于提高计算机系统的安全性,减少系统受到攻击的风险。同时,也可以帮助我们更好地了解计算机的安全设置和策略配置,并及时发现和修复系统中的安全漏洞。因此, 定期执行LGPO.exe基线检查是维护计算机安全的一个重要步骤。 ### 回答3: lgpo.exeWindows操作系统中的命令行实用程序,它主要用于本地组策略的管理。基线检查是一种评估计算机系统安全的方法,它可以检查系统是否满足特定的安全标准。 在使用lgpo.exe进行基线检查时,我们需要定义一个安全基线,该基线包含了一系列的安全要求和配置项。然后,我们使用lgpo.exe对当前计算机系统进行检查,看系统是否满足这些要求和配置项。lgpo.exe将输出检查报告,告诉我们哪些项合规,哪些项不合规,以及需要进行哪些配置调整。 在实际应用中,基线检查可以帮助我们及时发现计算机系统中的安全漏洞和问题,从而采取必要的措施进行修复和改善。同时,基线检查也是许多安全标准和合规性认证的必要步骤,例如PCI DSS、ISO 27001等。 总之,使用lgpo.exe进行基线检查是一种有效的方法,可以提高计算机系统的安全性和合规性,同时也是维护企业信息安全的重要手段之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值