存档

文章标签 ‘gpedit’

自动化组策略配置检查

2012年2月22日 11 条评论

最近公司做服务器安全检查,涉及到组策略配置的核查,如果一台一台进行手动查看,服务器过多的话会相当浪费时间,记得有命令可导出与组策略相关的安全数据库,于是百度之,分析了下组策略与其安全数据库的对应关系,整理此文,记录之。

简单说下方法,

首先通过命令,secedit /export /cfg model.inf  导出组策略配置信息,然后根据需要的Windows安全基线修改组策略,修改后再次用之前命令导出model2.inf,然后使用脚本过滤出不同部分,具体对应信息如下:

1.1 审核口令设置安全策略

密码必须符合复杂性要求 PasswordComplexity = 1
密码长度最小值 MinimumPasswordLength = 8
密码最长使用期限 MaximumPasswordAge = 42
密码最短使用期限 MinimumPasswordAge = 1
强制密码历史 PasswordHistorySize = 5
用可还原的加密来储存密码 ClearTextPassword = 0
复位帐户锁定计时器 ResetLockoutCount = 15
帐户锁定时间 LockoutDuration = 15
帐户锁定阈值 LockoutBadCount = 15

1.2 审核策略

审核策略更改:AuditPolicyChange = 3
审核登录事件:AuditLogonEvents = 3
审核对象访问:AuditObjectAccess = 3
审计过程跟踪:AuditPrivilegeUse = 0
审计目录服务访问:AuditProcessTracking = 0
审核特权使用:AuditDSAccess = 0
审核系统事件:AuditSystemEvents = 3
审核帐户登录事件:AuditAccountLogon = 3
审核帐户管理:AuditAccountManage = 3 阅读全文…

分类: 技术文档 标签: ,
普人特福的博客cnzz&51la for wordpress,cnzz for wordpress,51la for wordpress