Configurações de registro ocultas

Navegue suas respostas
3

Cenário: estou realizando uma auditoria de configuração em um servidor associado ao domínio. Para as configurações de segurança obrigatórias, há políticas de grupo definidas e enviadas para membros do domínio, mas não para todas as configurações. As configurações restantes devem ser definidas localmente no servidor por meio de uma das muitas interfaces de configuração. Algumas das configurações são fáceis de auditar porque existem chaves de registro criadas. Outros ... nem tanto.

Por exemplo, se eu quiser verificar se as configurações de 'Acesso à rede: Permitir conversão anônima de SID / Nome' foram configuradas corretamente, preciso usar uma chamada RSOP (via Powershell ou outra ferramenta como o BigFix / TEM). O problema é que as configurações definidas pelo GPE local não são refletidas no RSOP.

Então, em última análise, a questão é: há uma seção oculta no registro em que essa configuração e outras similares a ela estão armazenadas?

    
por Dallas Moore 18.09.2013 / 21:45

4 respostas

5

De acordo com o artigo do TechNet , parece que a chave da política em questão é HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

Não consigo pensar em configurações de GPO que não pressionem as chaves de registro, para que você possa simplesmente fazer algo como: 

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

Não existe um ramo "oculto" nem nada parecido. Não tenho certeza do que você está falando aí. Se uma chave não existe, é o mesmo que não estar configurado.

    
por 18.09.2013 / 21:53
2

Eu sei que estou atrasado para a festa, mas passei algum tempo nisso hoje.

Foi assim que consegui obter o valor para as configurações Acesso à rede: Permitir tradução anônima de SID / nome 

$null = secedit /export /cfg $env:temp/secexport.cfg
$(gc $env:temp/secexport.cfg | Select-String "LSAAnonymousNameLookup").ToString().Split('=')[1].Trim()

Isso deve retornar 0 se desativado e 1 se ativado.

Parece que nenhuma regkey foi criada para essa configuração, pelo menos nenhuma que eu possa rastrear com procmon .

    
por 06.02.2015 / 17:20
2

ATUALIZAÇÃO: há uma nova ferramenta disponível aqui: link

Além disso, descobri que nem todos os itens são enumerados obtendo os GPOs baseados em registro e, em vez disso, exigem o uso de secedit para auditoria e análise de registro muito específica e complicada para detectar as alterações com relevância do BigFix.

Você pode auditar o GPO local definido em um sistema usando uma ferramenta fornecida por alguém da Microsoft chamada " LGPO_Utilities "

Leia mais aqui: link

Esta ferramenta pode ser usada para definir GPO Local , mas também pode ser usada para exportar todos os GPOs locais atuais para um arquivo de texto.

Eu uso essa ferramenta para definir o GPO Local para muitas coisas que exigem que as configurações sejam definidas por GPO Local ou as configurações que desejo impor aos usuários usando o GPO Local, mas implementadas por meio do BigFix / IBM Endpoint Manager.

Veja este exemplo: link

Eu tenho alguns outros exemplos também publicados em BigFix.me

Essa pergunta me dá a ideia de criar uma tarefa que seria definida para ser executada a cada poucos dias que exportaria todas as configurações do GPO local para que elas pudessem ser auditadas com uma análise do BigFix.

Relacionado ao registro do GPO local:

Relacionado a itens relacionados à segurança especial:

por 29.01.2015 / 17:24
1

A lista oficial de chaves de registro e GPO está aqui: Referência de configurações de diretiva de grupo para Windows e o Windows Server

Isso fornece um grande arquivo do Excel com informações como:

MACHINE
Administrative Templates\System\User Profiles Add the Administrators security group to roaming user profiles At least Microsoft Windows XP Professional or Windows Server 2003 family This setting adds the Administrator security group to the roaming user profile share. Once an administrator has configured a users' roaming profile, the profile will be created at the user's next login. The profile is created at the location that is specified by the administrator. For the Windows 2000 Professional and Windows XP Professional operating systems, the default file permissions for the newly generated profile are full control, or read and write access for the user, and no file access for the administrators group. By configuring this setting, you can alter this behavior. If you enable this setting, the administrator group is also given full control to the user's profile folder. If you disable or do not configure it, only the user is given full control of their user profile, and the administrators group has no file system access to this folder. Note: If the setting is enabled after the profile is created, the setting has no effect. Note: The setting must be configured on the client computer, not the server, for it to have any effect, because the client computer sets the file share permissions for the roaming profile at creation time. Note: In the default case, administrators have no file access to the user's profile, but they may still take ownership of this folder to grant themselves file permissions. Note: The behavior when this setting is enabled is exactly the same behavior as in Windows NT 4.0.
HKLM\Software\Policies\Microsoft\Windows\System!AddAdminGroupToRUP

Portanto, encontre a chave que você deseja auditar nesse documento.

    
por 29.01.2015 / 18:13

Tags

Como desativo o “Monitoramento de energia e utilização do processador” em um servidor HP ProLiant? Qual é a melhor maneira de armazenar imagens do site? [fechadas]