使用Microsoft LGPO.exe 配置组策略
本文介绍如何使用LGPO.exe工具,批量部署windows基线。
前言
Microsoft 的本地组策略对象 (LGPO) 实用程序是一个独立的命令行可执行文件,可帮助管理员自动管理计算机的本地安全策略。该工具使用组策略模板 (GptTmpl.inf) 文件、注册表策略 (registry.pol) 文件和审核策略 (audit.csv) 文件的组合将所需的配置设置应用于端点。免费的 LGPO 实用程序是 Microsoft 安全合规工具包的一部分,可在此处下载。
要完成下载,您可以按照以下简单步骤操作:
- 导航到 Microsoft Security Compliance Toolkit 1.0
- 选择Download
- 选中LGPO.zip旁边的框
- 选择Next
默认情况下,下载内容存储在您的用户配置文件的下载目录中。
在撰写本文时,LGPO 的版本为 3.0.2004.13001 (v3.0)。根据微软的说法,这是新版本附带的内容:
LGPO.exe 中添加了两个新选项。第一个是 /ef,它启用 backup.xml 中引用的组策略扩展。第二个是 /p,它允许直接从 .PolicyRules 文件导入设置,这样就不需要手头有实际的 GPO。此外,LGPO.exe /b 和 /g 现在捕获本地配置的客户端扩展 (CSE)(我们之前遇到过问题)。最后,/b 还正确捕获了所有用户权限分配,克服了底层“secedit.exe /export”中的一个错误,该错误无法捕获未授予任何人的用户权限分配。
LGPO.exe 作为一个独立的可执行程序,可以直接从命令行运行。它不会在您的系统上安装其他软件来执行其任务。要运行该程序,请打开命令提示符并导航到可执行文件。我已将我的存储在C:\LGPO 中。
LGPO 有四 (4) 种核心模式,每一种都在下面列出:
- 导入和应用策略设置
- 将本地策略导出到 GPO 备份
- 将 registry.pol 文件解析为“LGPO 文本”格式
- 从“LGPO文本”构建 registry.pol 文件
使用上面列出的一种或多种模式,这篇文章将描述有关如何:
- 备份当前策略 (LGPO.exe /b)
- 导入新的本地策略 (LGPO.exe /g)
- 导入新的组策略模板 (GptTmpl.inf)(LGPO.exe /s)
- 导入新的注册表策略 (registry.pol) (LGPO.exe /m, /u, /ua, /un,/u:username)
- 导入新的审核策略 (audit.csv) (LGPO.exe /a[c])
有关如何使用 LGPO 实用程序的其他信息可以在 .zip 下载中嵌入的 LGPO.pdf 文件中找到。
操作指南
1.备份本地策略
在应用新策略之前,最好创建系统当前配置的备份。为此,请使用LGPO /b 选项:
LGPO 任务: 在 Path 中创建 GPO 备份,其中 Path 是备份将存储的位置
LGPO 选项: /b
LGPO 步骤:
- 以管理员身份打开命令提示符
- 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
- 运行 LGPO.exe /b Path,其中Path是将存储备份的位置
提示:Path目录必须事先建立好:
以下命令将备份系统的本地策略并将其存储在 C:\LGPO\Backup
命令:
C:\> C:\LGPO\LGPO.exe /b C:\LGPO\Backup
2.导入合规策略
有几种方法可以获得预配置的策略,包括预配置的 DCSA 和 DISA 版本。DCSA 提供 NISP 分类配置 (NISP CC) 工具,其中包含所有必需的策略文件,以促进本文中举例说明的强化。DISA 提供位于面向公众的 DoD Cyber Exchange 上的组策略对象。有关每项的详细信息,请参阅DCSA NISP CC 说明和DISA GPO。
/g 选项提供从一个或多个策略导出/备份导入设置的能力,其中包含注册表策略(例如 registry.pol)文件、安全模板(例如 GptTmpl.inf)、高级审核模板(例如 audit. csv)和 backup.xml 文件(用于 GP 客户端扩展 (CSE))。“Machine”和“User”registry.pol 设置必须存在于它们各自的“Machine”或“User”子目录中,才能将相关设置应用于正确的注册表配置单元。
LGPO 任务: 从 Path 下的一个或多个 GPO 导出/备份导入设置,其中 Path 是 GPO GUID 的位置
LGPO 选项: /g
LGPO 步骤:
以管理
- 员身份打开命令提示符
- 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
- 运行LGPO.exe /g Path,其中Path是 GPO GUID 的位置
以下命令将应用存在于 {F02F0236-6A68-40F2-8F91-1861194EB794} 目录中的策略设置(GptTmpl.inf、registry.pol 和 audit.csv)。{F02F0236-6A68-40F2-8F91-1861194EB794} 是 GUID 的一个示例。
命令:
C:\LGPO\LGPO.exe /g 'C:\LGPO\Backup\{F02F0236-6A68-40F2-8F91-1861194EB794}\'
根据 DISA 发布的 Windows 10 基准测试,这个简单的命令大大提高了我的虚拟机 (VM) 的安全配置。
策略导入前的 SCAP 合规检查器 (SCC):46.51% 合规
策略导入后的 SCAP 合规检查器 (SCC):96.28% 合规
3. 导入合规策略(部分导入)
在某些情况下,可能没有必要导入整个策略。下面举例说明了一些额外的使用实现。
仅导入模板设置:
LGPO 任务: 应用指定的安全模板
LGPO 选项: /s
LGPO 步骤:
- 以管理员身份打开命令提示符
- 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
- 运行LGPO.exe /s Path,其中Path是模板文件的位置。
以下命令将应用 C:\LGPO\Backup\GptTmpl.inf 模板文件中定义的设置
命令:
C:\> C:\LGPO\LGPO.exe /s C:\LGPO\Backup\GptTmpl.inf
仅导入注册表策略设置:
LGPO 任务: 将 registry.pol 中的设置导入指定配置(机器 | 用户 | 管理员 | 非管理员 | 特定用户)
LGPO 选项:
/m : 将registry.pol中的设置导入机器配置
/u : 将 registry.pol 中的设置导入用户配置
/ua : 将 registry.pol 中的设置导入管理员用户配置
/un : 将 registry.pol 中的设置导入非管理员的用户配置
/u:username:将registry.pol中的设置导入“username”指定的本地用户的用户配置中
LGPO 步骤:
- 以管理员身份打开命令提示符
- 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
- 运行LGPO.exe /选项 Path,其中Path是注册表文件的位置,/选项是所需的开关
以下命令将应用 C:\LGPO\Backup\ Machine \Registry.pol 中定义的机器注册表设置和 C:\LGPO\Backup\ User \Registry.pol中定义的用户注册表设置
命令:
C:\> C:\LGPO\LGPO.exe /m C:\LGPO\Backup\Machine\registry.pol /u C:\LGPO\Backup\User\registry.pol
仅导入审核策略设置
LGPO 任务:清除系统的审核策略并应用新的审核策略配置
LGPO选项:
/a:应用高级审核设置
/ac:清除高级审核设置并应用新的高级审核设置
LGPO 步骤:
- 以管理员身份打开命令提示符
- 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
- 运行LGPO.exe /ac Path,其中Path是 audit.csv 文件的位置 以下命令将清除系统当前的审计策略以应用C:\LGPO\Backup\audit.csv 文件中定义的审计策略设置
命令:
C:\LGPO> C:\LGPO\LGPO.exe /ac C:\LGPO\Backup\audit.csv
扫一扫
5039
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
