Como posso habilitar as configurações de diretiva de grupo do MSS Windows Server 2012

4

No passado, passei por uma lista de verificação de proteção do servidor em um servidor da Web do Windows Server 2008 para conformidade com PCI. Basicamente, há muitas Diretivas de Grupo, Registro e outras configurações que precisam estar em conformidade com as práticas recomendadas do setor para segurança, criptografia, etc. Ao analisar uma seção específica, ela afirma o seguinte:

The system should be configured to disallow IP Source Routing, ICMP Redirects, and Internet Router Discovery Protocol. Additionally, configure the system to allow connections to time out sooner if a SYN flood is detected.

No passado, eu consegui definir essas restrições usando as configurações de política de grupo que começam com "MSS:" em Política de computador local - > Configuração do Computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Opções de segurança

Depois de olhar de volta para as minhas anotações, havia um arquivo para editar em% SystemRoot% \ inf chamado sceregvl.inf, mas não peguei detalhes suficientes para reproduzir esse método.

Como posso visualizar e editar essas configurações de política de grupo do MSS no Windows Server 2012 R2?

    
por ibsk8in31 02.01.2015 / 16:14

5 respostas

4

Oficialmente, você não pode. (No Server 2012 R2 no momento da redação deste artigo).

Não oficialmente? Talvez ...

As configurações de Diretiva de Grupo "MSS" não são e nunca foram incluídas com uma instalação padrão pronta para uso do Active Directory. Eles eram um complemento desenvolvido por um grupo de consultoria no campo, e as configurações foram consideradas tão úteis que foram incluídas no "Solution Accelerator" conhecido como Security Compliance Manager. (Ele é conhecido em vários nomes semelhantes anteriormente, como "Kit de ferramentas de gerenciamento de conformidade de segurança do Windows 7".)

O problema é que o Security Compliance Manager vem com um monte de lixo que você não quer, como uma instância do SQL Express. Lixo que você realmente não quer instalar em um controlador de domínio. Você só deseja extrair apenas a parte que deseja, que é o pacote "LocalGPO.msi".

O próximo problema é que o Security Compliance Manager nunca foi atualizado para 2012 R2. 2012 sim. 2012 R2, não.

Dito isso, talvez você ainda consiga fazê-lo funcionar no 2012 R2, mas cuidado - isso pode colocar seu servidor em um estado não suportável.

Faça o download da instalação do Security Compliance Manager . Execute-o no seu servidor.

Execute o .exe, mas não continue com a instalação. O instalador esvazia alguns arquivos em um diretório temporário no disco rígido, como C:\a1b2c3d4e5f6a0b1c2 ou D:\a1b2c3d4e5f6a0b1c2 . Nesse diretório, você encontrará um arquivo data.cab . Abra esse arquivo e extraia o arquivo chamado GPOMSI e renomeie esse arquivo para LocalGPO.msi . Agora cancele o instalador do SCM e ele excluirá os arquivos temporários.

Instale o LocalGPO.msi no seu servidor. Em seguida, inicie o novo atalho "LocalGPO Command-line" que você encontrará em sua tela inicial. Execute-o como administrador. Digite cscript LocalGPO.wsf /ConfigSCE .

Você receberá um erro informando que não está executando um sistema operacional suportado.

Abra LocalGPO.wsf no bloco de notas e comente o procedimento ChkOSVer no script para que ele não verifique sua versão. Agora, execute o comando acima novamente.

Eu tenho visto vários relatos de que isso funciona para outras pessoas, mas não funcionou para mim. Eu ainda tenho um erro VBscript na linha 2245 do script, em uma instrução WriteLine. Eu não me preocupei em depurar mais profundamente, me resignando ao fato de que ele simplesmente não foi atualizado para o 2012 R2.

Editar 11/04/2016: A versão que está hospedada em este blog da Microsoft escrito por Aaron Margosis contém um link de download para uma versão do MSS Extension que funcione para mim com o 2012 R2 sem necessidade de" hacking ". Isso é um link para um arquivo zip. Dentro do arquivo zip, você verá um diretório chamado 'Local_Script'. Dentro dessa pasta, você encontrará uma subpasta chamada 'MSS_Extension'. Simplesmente transfira esse diretório MSS_Extension para seu controlador de domínio 2012 R2. Em seguida, abra um prompt de comando e navegue para esse diretório. Então corra:

Cscript LocalGPO.wsf /ConfigSCE

    
por 02.01.2015 / 17:51
1

As configurações de segurança do MSS podem ser restauradas com o Microsoft Security Compliance Manager 3 .
Isso realmente será instalado no Server 2012, mas você precisará do MS SQL Express e das bibliotecas de tempo de execução do Visual C ++ 2010 instaladas. Ele também se queixará da compatibilidade do programa e talvez seja necessário executar novamente a rotina de instalação pela segunda vez.

Uma vez instalado, você encontrará um arquivo chamado LocalGPO.msi em C: \ Arquivos de Programas (x86) \ Gerenciador de Conformidade de Segurança da Microsoft \ LGPO (ou onde quer que você tenha instalado Security Compliance Manager para.

Execute este arquivo MSI no seu servidor. Isso será instalado em C: \ Arquivos de Programas (x86) \ LocalGPO (ou em qualquer outro local que você deseje instalá-lo).

Em execução: o cscript LocalGPO.wsf /? mostrará as várias opções disponíveis com esse script, incluindo:

/ConfigSCE       : Configures Security Configuration Editor (SCE) to display MSS settings.  

Então, execute este comando:

C:\Program Files (x86)\LocalGPO>cscript LocalGPO.wsf /configsce
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

Modifying the Security Configuration Editor to the include MSS settings...

Updating the registry
89 subkeys found.
Subkeys deleted successfully
Subkeys added successfully
Registering SceCli.dll to complete SCE modification

The Security Configuration Editor is updated.

Security Configuration Editor has been modified successfully!


The Security Configuration Editor is updated.

E agora, quando você executa gpedit.msc na sua máquina Server 2012, você deve encontrar todas as configurações MSS disponíveis novamente.

Para fazer isso em todas as máquinas, basta usar o arquivo LocalGPO.MSI e instalá-lo nelas e, em seguida, executar o script LocalGPO.wsf em cada uma delas. tornar as configurações visíveis.

    
por 02.01.2015 / 16:52
0

Toda a solução é igual a RyanRes, mas:

Para rodar com 2012R2, não devemos comentar o procedimento do ChkOSVer, mas editá-lo:

pesquise a rotina chamada "ChkOSVersion", role para baixo e você encontrará várias instruções if. Você vai querer que pareça o seguinte:

If(Left(strOpVer,3) = "6.3") and (strProductType <> "1") then
strOs = "WS12"
ElseIf(Left(strOpVer,3) = "6.2") and (strProductType <> "1") then
strOS = "WS12"
ElseIf(Left(strOpVer,3) = "6.2") and (strProductType = "1") then
strOS = "Win8"
ElseIf(Left(strOpVer,3) = "6.1") and (strProductType <> "1") then
strOS = "WS08R2"
ElseIf(Left(strOpVer,3) = "6.1") and (strProductType = "1") then
strOS = "Win7"
ElseIf(Left(strOpVer,3) = "6.0") and (strProductType <> "1") then
strOS = "WS08"
ElseIf(Left(strOpVer,3) = "6.0") and (strProductType = "1") then
strOS = "VISTA"
ElseIf(Left(strOpVer,3) = "5.2") and (strProductType <> "1") then
strOS = "WS03"
ElseIf(Left(strOpVer,3) = "5.2") and (strProductType = "1") then
strOS = "XP"
ElseIf(Left(strOpVer,3) = "5.1") and (strProductType = "1") then
strOS = "XP"

Else

strMessage = DisplayMessage(conLABEL_CODE002)
Call MsgBox(strMessage, vbOKOnly + vbCritical, strTitle)
Call CleanupandExit

End If

Observe a primeira declaração. Certifique-se de salvar o arquivo usando a codificação UTF-8 e que ainda esteja na mesma pasta que existem dependências para outros arquivos.

Em seguida, clique com o botão direito do mouse no ícone "Linha de comando LocalGPO" e escolha "Executar como administrador"

No prompt de comando, digite "cscript LocalGPO.wsf / ConfigSCE" e pressione Enter.

Isso é tudo. Nós temos as configurações MSS GP em nosso GPMC

    
por 25.03.2015 / 15:21
0

Há uma atualização que inclui as Políticas do 2012 R2, conforme mostrado na foto abaixo:

Certifique-se de obter a versão 4 do SCM.

    
por 01.02.2017 / 03:21
0

O que eu descobri para Win10 e Server2K12R2 é que o LocalGPO.WSF precisa ser modificado para que o arquivo INF seja aberto para atualizar as entradas seja aberto e salvo como Unicode no subitem UpdateSCEwithMSSValues. Isso parece pelo menos deixar o script feliz, e o arquivo INF é de fato atualizado no Windows / Inf. No entanto, eu ainda tenho que realmente ver as entradas ocultas do MSS ao executar o GPEDIT.MSC em Computador / Configurações do Windows / Configurações de segurança / Diretivas locais / Opções de segurança, como você veria no Win7. Para realmente acessar as entradas, você precisa copiar os modelos ADMX e ADML para Windows / PolicyDefinitions, as entradas do MSS serão exibidas em Modelos de Computador / Administrativos. Meus $ 0,02

    
por 12.12.2017 / 20:33