非表示のレジストリ設定
シナリオ:ドメインに参加しているサーバーで構成監査を実行しています。必須のセキュリティ構成設定については、グループポリシーが定義され、ドメインメンバーにプッシュされますが、すべての設定ではありません。残りの設定は、多くの構成インターフェースの1つを介してサーバー上でローカルに定義されることになっています。作成されたレジストリキーがあるため、一部の設定は簡単に監査できます。その他...それほど多くはありません。
たとえば、「ネットワークアクセス:匿名SID /名前変換を許可する」設定が正しく構成されていることを確認する場合は、RSOP呼び出しを使用する必要があります(PowershellまたはBigFix/TEMなどの別のツールを使用)。問題は、ローカルGPEによって定義された設定がRSOPに反映されないことです。
したがって、最終的に問題となるのは、その設定やそれに類似した設定が保存されているレジストリに非表示のハイブがあるかどうかです。
このTechNetの記事 によると、問題のポリシーのキーはHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
レジストリキーをプッシュダウンしないGPO設定は考えられないので、次のようなことを簡単に行うことができます。
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock
「隠された」ブランチなどはありません。あなたがそこで何について話しているのかわかりません。キーが存在しない場合は、構成されていないのと同じです。
私はパーティーに遅れていることを知っていますが、今日はこれに少し時間を費やしました。
これは私が設定の値を取得することができた方法ですネットワークアクセス:匿名のSID /名前の翻訳を許可する
$null = secedit /export /cfg $env:temp/secexport.cfg
$(gc $env:temp/secexport.cfg | Select-String "LSAAnonymousNameLookup").ToString().Split('=')[1].Trim()
これにより、無効になっている場合は0が返され、有効になっている場合は1が返されます。
この設定ではregkeyが作成されていないようです。少なくとも、procmonで追跡できるregkeyはありません。
更新:ここで利用できる新しいツールがあります: http://blogs.technet.com/b/secguide/archive/2016/01/21/lgpo- exe-local-group-policy-object-utility-v1-0.aspx
また、レジストリベースのGPOを取得することですべての項目が列挙されるわけではなく、代わりにseceditを使用して監査し、BigFix関連の変更を検出するために非常に具体的で複雑なレジストリ解析を行う必要があることがわかりました。
「LGPO_Utilities」と呼ばれるMicrosoftの誰かが提供するツールを使用して、システムに設定されたローカルGPOを監査できます。
詳細はこちら: http://blogs.technet.com/b/fdcc/archive/2008/05/07/lgpo-utilities.aspx
このツールを使用して、ローカルGPOを設定できますが、現在のすべてのローカルGPOをテキストファイルにエクスポートすることもできます。 。
私はこのツールを使用してローカルGPOを設定します。これには、ローカルGPOを介して設定する必要がある設定、またはローカルGPOを使用しているが、BigFix/IBMを介してデプロイしたユーザーに適用したい設定が必要です。エンドポイントマネージャー。
この例を参照してください: http://bigfix.me/fixlet/details/3827
BigFix.meに投稿された他の例もいくつかあります
この質問は、BigFix分析で監査できるように、すべてのローカルGPO設定をエクスポートする、数日ごとに実行するように設定されるタスクを作成するというアイデアを私に与えます。
ローカルに関連GPOレジストリ:
- https://forum.bigfix.com/t/parsing-registry-pol-local-group-policy-get-numeric-ascii-values-of-characters-in-a-string/16465/
- https://bigfix.me/fixlet/details/3741
特別なセキュリティ関連アイテムに関連:
GPOとレジストリキーの公式リストは次のとおりです。 WindowsおよびWindows Serverのグループポリシー設定リファレンス
これにより、次のような情報を含む大きなExcelファイルが作成されます。
機械
Administrative Templates\System\UserProfiles管理者セキュリティグループを移動ユーザープロファイルに追加する少なくともMicrosoftWindows XPProfessionalまたはWindowsServer 2003ファミリこの設定により、管理者セキュリティグループが移動ユーザープロファイルに追加されます。シェア。管理者がユーザーの移動プロファイルを構成すると、ユーザーの次回のログイン時にプロファイルが作成されます。プロファイルは、管理者が指定した場所に作成されます。 Windows 2000ProfessionalおよびWindowsXP Professionalオペレーティングシステムの場合、新しく生成されたプロファイルのデフォルトのファイルアクセス許可は、フルコントロール、つまりユーザーの読み取りおよび書き込みアクセス権であり、管理者グループのファイルアクセス権はありません。この設定を構成することにより、この動作を変更できます。この設定を有効にすると、管理者グループはユーザーのプロファイルフォルダーに対するフルコントロールも与えられます。無効にするか、構成しない場合、ユーザーのみがユーザープロファイルを完全に制御でき、管理者グループはこのフォルダーへのファイルシステムアクセス権を持ちません。注:プロファイルの作成後に設定を有効にすると、設定は無効になります。注:クライアントコンピューターは作成時に移動プロファイルのファイル共有アクセス許可を設定するため、設定を有効にするには、サーバーではなくクライアントコンピューターで構成する必要があります。注:デフォルトの場合、管理者はユーザーのプロファイルへのファイルアクセス権を持っていませんが、ファイル権限を付与するためにこのフォルダーの所有権を取得する場合があります。注:この設定を有効にした場合の動作は、Windows NT4.0の場合とまったく同じです。
HKLM\Software\Policies\Microsoft\Windows\System!AddAdminGroupToRUP
したがって、そのドキュメントから監査するキーを見つけます。