政府組態基準(GCB)實作研習活動

(部署實務)

國家資通安全會報 技術服務中心

1

大綱

●群組原則說明

● GCB導入流程

●恢復原始設定之方式

● SCM操作說明

●調整GCB設定值

●問題與討論

群組原則說明

3

群組原則的基本說明(1/2)

●目的

–管理使用者和電腦的一般性功能與安全性管理

–軟體部署

Service Pack

修正程式

應用程式

–強制實施安全性的設定

–確保有相同的操作介面

4

群組原則的基本說明(2/2)

●種類

–本機

–站台 (Site)

–網域 (Domain)

–組織單位 (OU)

●對象

–電腦

–使用者

●來源

–群組原則物件(GPO)

資料來源：微軟網站

5

群組原則的套用時機

●電腦設定

–電腦開機時

●使用者設定

–使用者登入時

●群組原則衝突處理

–電腦設定優於使用者設定 (以電腦設定為主)

●更新的頻率

–90~120分鐘

●手動立即更新群組原則

–gpupdate /force

6

群組原則的套用順序

7

群組原則的繼承型態

●繼承群組原則

–繼承上層的原則

●「禁止」繼承原則

–不繼承上層的原則

●禁止強制覆蓋

–不允許下層的原則覆蓋上層的原則

–應用在強制性的原則

–GCB群組原則建議使用強制避免被下層原則覆蓋

GCB導入流程

9

導入流程

結束

GPO檔

開始

安裝LocalGPO程式

是否透過AD

進行導入

匯入GPO至AD

使用LocalGPO程式匯入GPO

將已匯入GPO的群組原則物件連結至組織單位(OU)

使用者電腦登入網域，套用群組原則

LocalGPO

程式

GPO檔

使用者電腦重新開機，套用群組原則

是 否

10

取得GPO檔(1/2)

11

取得GPO檔(2/2)

12

GPO檔說明

● Windows 7

–USGCB Account Policy (帳號管理)

–USGCB Windows 7 Computer Energy Policy (電源管理)

–USGCB Windows 7 Computer Settings (電腦設定管理)

–USGCB Windows 7 User Settings (使用者設定管理)

● Windows 7 Firewall

–USGCB Windows 7 Firewall Settings (防火牆設定管理)

● IE 8

–USGCB Internet Explorer 8 Computer Settings (電腦設定管理)

–USGCB Internet Explorer 8 User Settings (使用者設定管理)

13

使用AD導入GCB方式

結束

GPO檔

開始

安裝LocalGPO程式

是否透過AD

進行導入

匯入GPO至AD

使用LocalGPO程式匯入GPO

將已匯入GPO的群組原則物件連結至組織單位(OU)

使用者電腦登入網域，套用群組原則

LocalGPO

程式

GPO檔

使用者電腦重新開機，套用群組原則

是 否

14

匯入GPO至AD (1/10)

●點擊開始所有程式系統管理工具群組原則管理

15

匯入GPO至AD (2/10)

●在群組原則物件節點按滑鼠右鍵選擇「新增」

●在「名稱」欄位中輸入群組原則物件的名稱

16

匯入GPO至AD (3/10)

●點選此新建的群組原則物件選擇「匯入設定值」

17

匯入GPO至AD (4/10)

●在歡迎使用【匯入設定精靈】頁面，按「下一步」

18

匯入GPO至AD (5/10)

●在備份GPO頁面，按「下一步」

19

匯入GPO至AD (6/10)

●在備份位置頁面，選取放置GPO的資料夾

20

匯入GPO至AD (7/10)

●在來源GPO頁面中選取欲匯入的GPO

21

匯入GPO至AD (8/10)

●在掃描備份頁面按「下一步」

22

匯入GPO至AD (9/10)

●在正在完成匯入設定頁面，按「完成」

23

匯入GPO至AD (10/10)

●在匯入進度的頁面，按「確定」完成匯入GPO至

群組原則物件中

24

將群組原則物件連結至OU

●將已匯入GPO的群組原則物件連結至組織單位

(OU)，完成部署作業

●使用者電腦登入網域後，即可套用GCB設定

Demo

使用AD導入GCB

26

本機逐台導入GCB方式

結束

GPO檔

開始

安裝LocalGPO程式

是否透過AD

進行導入

匯入GPO至AD

使用LocalGPO程式匯入GPO

將已匯入GPO的群組原則物件連結至組織單位(OU)

使用者電腦登入網域，套用群組原則

LocalGPO

程式

GPO檔

使用者電腦重新開機，套用群組原則

是 否

27

下載LocalGPO安裝程式

28

使用LocalGPO程式匯入GPO(1/3)

●複製放置GPO的完整目錄路徑

29

使用LocalGPO程式匯入GPO(2/3)

●點選「LocalGPO Command-line」，按右鍵選

擇「以系統管理員身分執行」

30

使用LocalGPO程式匯入GPO(3/3)

●在LocalGPO工具的目錄下

–執行cscript LocalGPO.wsf /path:<放置GPO的完整目錄

路徑>

–重複上一步驟，匯完所有的GPO後，必須重新開機

31

恢復原始設定之方式

32

AD環境下恢復原始設定方式

●在欲取消連結的 GPO 上按一下滑鼠右鍵，再點

選 [刪除]，即可將群組原則物件自OU中移除

●使用者電腦重新登入網域後，即可恢復原始設定

按一下滑鼠右鍵，再點選 [刪除]

33

本機恢復原始設定之方式(1/2)

●以「系統管理員身分」啟動命令提示字元(cmd)

34

本機恢復原始設定之方式(2/2)

●在LocalGPO工具的目錄下

–執行cscript LocalGPO.wsf /Restore

–重新開機後即可恢復原始設定

實作練習

使用LocalGPO導入GCB

GCB組態設定例外管理實務

37

組態設定管理工具

●網域環境

–群組原則管理

–內建於AD Server

●單機環境

–Microsoft Security Compliance Manager (SCM)

–安裝於Windows 7

–僅管理人員安裝即可，不須每一台使用者安裝

38

GCB組態設定例外管理建議方式

●網域環境

–部署GCB的原始GPO，並設定為「強制」

–建立新的GPO，並設定例外管理的組態項目

–部署例外管理的GPO，將優先性設為最高，並設定為

「強制」

●單機環境

–備份GCB的原始GPO

–使用SCM修改GPO內容，設定例外管理的組態項目，並

以文件記錄修改過的組態項目

–匯出修改後的GPO，並以LocalGPO部署

AD組態例外管理方式 Demo

40

安裝SCM(1/10)

●需先安裝Microsoft .NET Framework 4

●下載網址：http://www.microsoft.com/zh-

tw/download/details.aspx?id=17718

41

安裝SCM(2/10)

●下載SCM(目前版本為3.0)：

http://gallery.technet.microsoft.com/LocalGPOmsi-

Excellent-MS-2593b2eb

42

安裝SCM(3/10)

●按滑鼠右鍵選擇「以系統管理員身分執行」

Security_Compliance_Manager_Setup.exe

43

安裝SCM(4/10)

●在「Welcome to the Security Compliance Manager

Setup」頁面，按「Next」

44

安裝SCM(5/10)

●在License Agreement頁面選取「I accept the terms

of the license agreement」並按「Next」

45

安裝SCM(6/10)

●在Installation Folder頁面，選擇要安裝的Folder，

然後按「Next」

46

安裝SCM(7/10)

●接下來會開始安裝SQL Server 2008 Express，請

按「Next」

47

安裝SCM(8/10)

●在License Agreement頁面選取「I accept the terms

of the license agreement」並按「Next」

48

安裝SCM(9/10)

● SQL Server 2008 Express安裝完成後，在Read to

Install頁面，按「Install」後進行SCM的安裝

49

安裝SCM(10/10)

●在Installation Successful的頁面按「Finish」

SCM操作說明

51

SCM的基本功能

●匯入/匯出GPO檔

●比較/合併GPO檔

●複製/刪除GPO檔

●搜尋/新增/修改/刪除 GPO設定值內容

52

匯入GPO檔(1/2)

●在行動窗格中選擇ImportGPO Backup (folder)

53

匯入GPO檔(2/2)

●在瀏覽資料夾中選擇要匯入的GPO 目錄下之機碼

資料夾，並按「確定」

● SCM會自動帶出GPO名稱，按「OK」即可匯入

54

匯出GPO檔(1/2)

●在SCM中點選欲匯出的GPO

●在行動窗格中選擇ExportGPO Backup folder

55

匯出GPO檔(2/2)

●建立一個新資料夾存放GPO

●按「確定」後，會將所選擇的GPO匯出至指定的

資料夾

56

合併2個GPO檔(1/4)

●選取第1個GPO檔，在行動窗格中選擇

BaselineCompare/Merge

57

合併2個GPO檔(2/4)

●選取要合併的GPO檔，並按「OK」

58

合併2個GPO檔(3/4)

●在Compare Baselines的視窗中，會列出2個GPO異

同之處，確認無誤後請按「Merge Baselines」

59

合併2個GPO檔(4/4)

●最後請填入合併後的GPO名稱，並按「OK」完

成合併

60

修改GPO設定值(1/2)

●由左視窗選擇GPO檔，並在中間視窗的Advanced

View以欄位或關鍵字尋找要修改的群組原則

61

修改GPO設定值(2/2)

●點選要修改的群組原則，依需要調整設定值

新增網站至信任的網站

63

執行步驟(1/5)

執行gpedit.msc，啟動本機群組原則編輯器

64

執行步驟(2/5)

電腦設定系統管理範本Windows元件

Internet Explorer網際網路控制台安全性網

頁指派網站到區域清單，按右鍵，點選「編輯」

按右鍵，點選「編輯」

65

執行步驟(3/5)

確認狀態為「已啟用」

點選「顯示」按鈕

1

2

66

執行步驟(4/5)

「值名稱」欄位：輸入欲加入到信任的網站的網

址(例如：member.nat.gov.tw)

「值」欄位：輸入2後，按「確定」，並關閉本

機群組原則編輯器

1 2

3

67

執行步驟(5/5)

啟用cmd.exe，執行gpupdate /force，更新群組原

則設定後，即完成將網站新增至新任的網站作業

新增信任網站

Demo與實作練習

69

政府組態基準常見問題

問題與討論

71

報告完畢

敬請指教