【使用Microsoft LGPO.exe 配置组策略】

这篇具有很好参考价值的文章主要介绍了【使用Microsoft LGPO.exe 配置组策略】。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

使用Microsoft LGPO.exe 配置组策略

本文介绍如何使用LGPO.exe工具,批量部署windows基线。


前言

Microsoft 的本地组策略对象 (LGPO) 实用程序是一个独立的命令行可执行文件,可帮助管理员自动管理计算机的本地安全策略。该工具使用组策略模板 (GptTmpl.inf) 文件、注册表策略 (registry.pol) 文件和审核策略 (audit.csv) 文件的组合将所需的配置设置应用于端点。免费的 LGPO 实用程序是 Microsoft 安全合规工具包的一部分,可在此处下载。
要完成下载,您可以按照以下简单步骤操作:

  1. 导航到 Microsoft Security Compliance Toolkit 1.0
  2. 选择Download
  3. 选中LGPO.zip旁边的框
  4. 选择Next
    默认情况下,下载内容存储在您的用户配置文件的下载目录中。

在撰写本文时,LGPO 的版本为 3.0.2004.13001 (v3.0)。根据微软的说法,这是新版本附带的内容:

LGPO.exe 中添加了两个新选项。第一个是 /ef,它启用 backup.xml 中引用的组策略扩展。第二个是 /p,它允许直接从 .PolicyRules 文件导入设置,这样就不需要手头有实际的 GPO。此外,LGPO.exe /b 和 /g 现在捕获本地配置的客户端扩展 (CSE)(我们之前遇到过问题)。最后,/b 还正确捕获了所有用户权限分配,克服了底层“secedit.exe /export”中的一个错误,该错误无法捕获未授予任何人的用户权限分配。

LGPO.exe 作为一个独立的可执行程序,可以直接从命令行运行。它不会在您的系统上安装其他软件来执行其任务。要运行该程序,请打开命令提示符并导航到可执行文件。我已将我的存储在C:\LGPO 中。

【使用Microsoft LGPO.exe 配置组策略】
LGPO 有四 (4) 种核心模式,每一种都在下面列出:

  1. 导入和应用策略设置
  2. 将本地策略导出到 GPO 备份
  3. 将 registry.pol 文件解析为“LGPO 文本”格式
  4. 从“LGPO文本”构建 registry.pol 文件

使用上面列出的一种或多种模式,这篇文章将描述有关如何:

  1. 备份当前策略 (LGPO.exe /b)
  2. 导入新的本地策略 (LGPO.exe /g)
  3. 导入新的组策略模板 (GptTmpl.inf)(LGPO.exe /s)
  4. 导入新的注册表策略 (registry.pol) (LGPO.exe /m, /u, /ua, /un,/u:username)
  5. 导入新的审核策略 (audit.csv) (LGPO.exe /a[c])

有关如何使用 LGPO 实用程序的其他信息可以在 .zip 下载中嵌入的 LGPO.pdf 文件中找到。


操作指南

1.备份本地策略

在应用新策略之前,最好创建系统当前配置的备份。为此,请使用LGPO /b 选项:

LGPO 任务: 在 Path 中创建 GPO 备份,其中 Path 是备份将存储的位置

LGPO 选项: /b

LGPO 步骤:

  1. 管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行 LGPO.exe /b Path,其中Path是将存储备份的位置
    提示:Path目录必须事先建立好:

以下命令将备份系统的本地策略并将其存储在 C:\LGPO\Backup

命令:

C:\> C:\LGPO\LGPO.exe /b C:\LGPO\Backup

【使用Microsoft LGPO.exe 配置组策略】

2.导入合规策略

有几种方法可以获得预配置的策略,包括预配置的 DCSA 和 DISA 版本。DCSA 提供 NISP 分类配置 (NISP CC) 工具,其中包含所有必需的策略文件,以促进本文中举例说明的强化。DISA 提供位于面向公众的 DoD Cyber​​ Exchange 上的组策略对象。有关每项的详细信息,请参阅DCSA NISP CC 说明和DISA GPO。

/g 选项提供从一个或多个策略导出/备份导入设置的能力,其中包含注册表策略(例如 registry.pol)文件、安全模板(例如 GptTmpl.inf)、高级审核模板(例如 audit. csv)和 backup.xml 文件(用于 GP 客户端扩展 (CSE))。“Machine”和“User”registry.pol 设置必须存在于它们各自的“Machine”或“User”子目录中,才能将相关设置应用于正确的注册表配置单元。

LGPO 任务: 从 Path 下的一个或多个 GPO 导出/备份导入设置,其中 Path 是 GPO GUID 的位置

LGPO 选项: /g

LGPO 步骤:

以管理

  1. 员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /g Path,其中Path是 GPO GUID 的位置
    以下命令将应用存在于 {F02F0236-6A68-40F2-8F91-1861194EB794} 目录中的策略设置(GptTmpl.inf、registry.pol 和 audit.csv)。{F02F0236-6A68-40F2-8F91-1861194EB794} 是 GUID 的一个示例。

命令:

C:\LGPO\LGPO.exe /g 'C:\LGPO\Backup\{F02F0236-6A68-40F2-8F91-1861194EB794}\'

【使用Microsoft LGPO.exe 配置组策略】
根据 DISA 发布的 Windows 10 基准测试,这个简单的命令大大提高了我的虚拟机 (VM) 的安全配置。

策略导入前的 SCAP 合规检查器 (SCC):46.51% 合规

策略导入后的 SCAP 合规检查器 (SCC):96.28% 合规

3. 导入合规策略(部分导入)

在某些情况下,可能没有必要导入整个策略。下面举例说明了一些额外的使用实现。

仅导入模板设置:

LGPO 任务: 应用指定的安全模板

LGPO 选项: /s

LGPO 步骤:

  1. 以管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /s Path,其中Path是模板文件的位置。

以下命令将应用 C:\LGPO\Backup\GptTmpl.inf 模板文件中定义的设置

命令:

C:\> C:\LGPO\LGPO.exe /s C:\LGPO\Backup\GptTmpl.inf

【使用Microsoft LGPO.exe 配置组策略】

仅导入注册表策略设置:

LGPO 任务: 将 registry.pol 中的设置导入指定配置(机器 | 用户 | 管理员 | 非管理员 | 特定用户)

LGPO 选项:

/m : 将registry.pol中的设置导入机器配置

/u : 将 registry.pol 中的设置导入用户配置

/ua : 将 registry.pol 中的设置导入管理员用户配置

/un : 将 registry.pol 中的设置导入非管理员的用户配置

/u:username:将registry.pol中的设置导入“username”指定的本地用户的用户配置中

LGPO 步骤:

  1. 以管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /选项 Path,其中Path是注册表文件的位置,/选项是所需的开关
    以下命令将应用 C:\LGPO\Backup\ Machine \Registry.pol 中定义的机器注册表设置和 C:\LGPO\Backup\ User \Registry.pol中定义的用户注册表设置

命令:

C:\> C:\LGPO\LGPO.exe /m C:\LGPO\Backup\Machine\registry.pol /u C:\LGPO\Backup\User\registry.pol

【使用Microsoft LGPO.exe 配置组策略】

仅导入审核策略设置

LGPO 任务:清除系统的审核策略并应用新的审核策略配置

LGPO选项:

/a:应用高级审核设置

/ac:清除高级审核设置并应用新的高级审核设置

LGPO 步骤:

  1. 以管理员身份打开命令提示符
  2. 导航到包含 LGPO 可执行文件 (LGPO.exe) 的目录
  3. 运行LGPO.exe /ac Path,其中Path是 audit.csv 文件的位置 以下命令将清除系统当前的审计策略以应用C:\LGPO\Backup\audit.csv 文件中定义的审计策略设置
    命令:
C:\LGPO> C:\LGPO\LGPO.exe /ac C:\LGPO\Backup\audit.csv

【使用Microsoft LGPO.exe 配置组策略】文章来源地址https://www.toymoban.com/news/detail-458450.html

到了这里,关于【使用Microsoft LGPO.exe 配置组策略】的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 使用Microsoft C++编译器配置VSCode

    在本教程中,您将在 Windows 上使用 Microsoft Visual c++ 编译器和调试器配置 Visual Studio Code 。 要成功完成本教程,您必须完成以下步骤: 1.安装Visual Studio Code。 2.安装VS Code的C/ c++扩展。你可以通过在Extensions视图中搜索’c++’ (Ctrl+Shift+X) 来安装C/ c++扩展。 3.安装Microsoft Visual c++ (

    2024年02月05日
    浏览(51)
  • Microsoft Edge 的InsecurePrivateNetworkRequestsAllowed策略

    Cross-Origin Resource Sharing (CORS)跨域资源共享,Microsoft Edge与Chrome的设置不同。如果存在以下情况,则网络终结点比另一个终结点更专用: 1.它的 IP 地址是 localhost,另一个不是。 2.它的 IP 地址是私有的,另一个是公用的。 将来,根据规范的发展,此策略可能适用于针对专用 IP

    2024年02月05日
    浏览(49)
  • vscode 无法使用 compilerPath“D:.../bin/arm-none-eabi-g++.exe”解析配置。

            最近在使用vscode搭建ODrive STM32开发环境,依次安装了以下内容:                 1.Python3: 用于运行工程构建脚本                 2.ST-Link/V2 Drivers: STLink/v2编程器的驱动                 3.Visual Studio Code: 轻量级但功能强大的源代码编辑器      

    2024年02月08日
    浏览(43)
  • 什么是“ Microsoft网络实时检查服务”(NisSrv.exe),为什么它在我的PC上运行?

    Windows 10 includes Windows Defender, which protects your PC against viruses and other threats. The “Microsoft Network Realtime Inspection Service” process, also known as NisSrv.exe, is part of Microsoft’s antivirus software. Windows 10包含Windows Defender,可保护您的PC免受病毒和其他威胁的侵害。 “ Microsoft网络实时检查服务”

    2024年02月03日
    浏览(73)
  • Microsoft Visual Studio C++开发环境的配置及使用

    本文引用自作者编写的下述图书; 本文允许以个人学习、教学等目的引用、讲授或转载,但需要注明原作者\\\"海洋饼干叔 叔\\\";本文不允许以纸质及电子出版为目的进行抄摘或改编。 1.《Python编程基础及应用》,陈波,刘慧君,高等教育出版社。免费授课视频 Python编程基础及应

    2024年02月04日
    浏览(75)
  • [3/13/2023, 9:25:58 PM] 无法使用 compilerPath“F:\codeConfiguration\minGW\bin\g++.exe”解析配置。 请改用“cl.exe”。

    发现该问题,寻找解决方案 方案一:卸载vs,出处:https://blog.csdn.net/wx18045623090/article/details/124774469 但是检查电脑的vs安装位置,发现并不和错误位置一样,并且在另外一台有vs的电脑上并没有发现相关问题,故排除这个问题。 方案二:查看写的 c_cpp_properties.json文件,发现里

    2024年02月13日
    浏览(49)
  • 基于Python开发的DIY字符画程序(源码+可执行程序exe文件+程序配置说明书+程序使用说明书)

    本项目是一套基于Python开发的DIY字符画程序,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的Python学习者。 包含:项目源码、项目文档、数据库脚本等,该项目附带全部源码可作为毕设使用。 项目都经过严格调试,确保可以运行! 本系统的软件开发及运

    2024年02月09日
    浏览(46)
  • 删除C:\Users\RDK\AppData\Local\Microsoft\WindowsApps中的 python.exe、python3.exe报错系统无法访问此文件

    1、打开C:UsersRDKAppDataLocalMicrosoftWindowsApps,运行cmd 2、    输入:del /f/s/q python.exe + 回车          输入del /f/s/q python3.exe + 回车          删除完成    

    2024年02月03日
    浏览(43)
  • 基于Python开发的玛丽大冒险小游戏(源码+可执行程序exe文件+程序配置说明书+程序使用说明书)

    本项目是一套基于Python开发的玛丽冒险小游戏程序,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的Python学习者。 包含:项目源码、项目文档等,该项目附带全部源码可作为毕设使用。 项目都经过严格调试,确保可以运行! 本系统的软件开发及运行环境

    2024年02月09日
    浏览(48)
  • Nginx配置大全【六大使用场景、七大负载均衡策略、四大负载健康检查】

    !!! 反向代理也可以基于请求路径转发到不同服务器 !!! !!!反向代理路径结尾加不加 / 符号的区别!!! 如果只是简单的重定向操作,并且不需要进行复杂的路径重写或捕获,推荐使用 return 301 的方式来实现重定向。这样能够更直接、更高效地达到重定向的目的,避免不必要的

    2024年04月16日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包