Habilitado GPO para entradas de registro não serem exibidas no servidor

2

Prefácio: Eu sou um administrador do Linux. Eu realmente não "pego" (ou gosto) do Windows.

Estou no processo de remediação dos servidores do Windows 2016 com as recomendações do CIS. É basicamente apenas criar um conjunto de GPOs de acordo com as especificações do CIS e aplicá-lo ao (s) servidor (es) em questão. Estou usando o Nessus Audit Scanner da Tenable para verificar a validade das configurações.

Aqui é onde você pode obter as especificações do CIS que estou usando: link

(Não há um download direto para ele, mas é gratuito para download.)

Muitos dos detalhes exatos não importam, então, para essa questão, vou me concentrar em um exemplo específico que eu deveria ser capaz de extrapolar para resolver os outros problemas. Em geral, o problema parece ser que estou tentando aplicar as edições do Registro por meio do GPO e acho que não entendo como fazer isso. No entanto, a diretriz do CIS é muito específica sobre as etapas para remediar.

Por exemplo, estou tentando aplicar a diretriz 19.1.3.1 do CIS, " Assegure-se de que 'Ativar proteção de tela' esteja definida como 'Ativada' "

Os passos para o fazer estão listados como:

To establish the recommended configuration via GP, set the following UI path to Enabled: User Configuration\Policies\Administrative Templates\Control Panel\Personalization\Enable screen saver

Ok, então eu fiz isso. Eu sei que o próprio GPO é aplicado porque todas as outras configurações de GPO agora aparecem no servidor. Além disso, o Nessus Audit Scan agora mostra "OK" para a maioria dos itens que acabei de aplicar.

Os únicos itens que parecem não funcionar são itens que são configurações do Registro.

Quando examino o Registro, vejo que a chave que estou tentando definir como um valor nem está lá. Para este exemplo, essa chave é:

HKEY_USERS [SID DO USUÁRIO] \ SOFTWARE \ Policies \ Microsoft \ Windows \ Painel de controle \ Desktop: ScreenSaveActive

Então, como faço para que uma configuração do Registro seja exibida por meio do GPO?

Especificamente, como faço para que itens do Registro "Configuração do Usuário" apareçam?

    
por JDS 28.11.2018 / 00:02

1 resposta

2

Parece que você está aplicando as configurações do usuário em um Objeto de diretiva de grupo (GPO) vinculado a um local em que se aplica apenas a contas de computador.

A Configuração do usuário só será aplicada se o GPO estiver vinculado na UO ou Container (Unidade organizacional) ou no container onde a conta do usuário com a qual você está testando está localizada. Se, por exemplo, a conta do computador estiver localizada em uma UO "Servidores" em que você vinculou o GPO "Recomendações CIS", mas a conta de usuário com a qual você está fazendo login está localizada em, digamos, o padrão "Usuários" contêiner, essas configurações de usuário no GPO "CIS Recommendations" não se aplicam.

Eu recomendaria a leitura na aplicação da Diretiva de Grupo em geral. Entender como as configurações são aplicadas com base no local dos links de GPO e nas UOs em que os objetos de conta de computador e de usuário estão localizados será útil para você. Há uma variedade de recursos diferentes que você pode consultar. Algumas ideias incluem:

A configuração específica que você está procurando, se quiser colocar as configurações do usuário em um GPO vinculado em um local que normalmente se aplica somente a contas de computador, é Processamento de Políticas de Loopback . Essa funcionalidade permite que as configurações do usuário nos GPOs que se aplicam ao computador sejam mescladas ou substituídas corretamente pelas configurações de usuário que normalmente seriam aplicadas a uma determinada conta de usuário registrada no computador.

Eu escrevi um pouco sobre o Processamento de Políticas de Loopback neste site por algum tempo, e dou um exemplo razoável nessa resposta também.

    
por 28.11.2018 / 00:27