Joan zuzenean edukira

7. AWS: Hardening GPO oinarrizkoa

Helburua

GPO bidezko oinarrizko segurtasun-politikak aplikatzea AWSko AD domeinu batean: pasahitz/blokeo, softwarea zabaltzea, karpetak birbideratzea, Kontrol-panelaren murrizketa, aplikazioen murrizketa eta mahaigainaren pertsonalizazioa.

Aurretiko baldintzak

  • AWS Academy laborategia (Windows Server DC + domeinura batu den Windows bezeroa).
  • GPMC sarbidea (gpmc.msc) eta GPOak sortu/editzeko baimenak.
  • Baliabide partekatuak MSI eta irudientzat (adib., \\ZERB\Software, \\ZERB\Profilak).

Urratsak

1) Pasahitz eta kontu blokeoaren politika - Domeinu-politika editatu edo domeinuari lotutako GPO espezifikoa sortu. - Ekipoa → Windows konfigurazioa → Segurtasun konfigurazioa → Kontu-politikak → - Pasahitz-politika: luzera min 12, historia 24, konplexutasuna gaituta, max 60 egun, min 1 egun. - Kontu blokeo-politika: atalasea 5, iraupena 30 min, berrezarri 15 min.

2) Softwarearen zabalketa (MSI ekipoei esleitua) - Kopiatu MSI \\ZERB\Software\app.msi bidera, Domain Computers irakurketa baimenarekin. - GPO lotu ekipoen OUra → Ekipoa → Software konfigurazioa → Software instalazioa → Berria → Paketea → UNC bidea → Esleitua. - Berrabiarazi edo gpupdate /force bezeroetan abioan instalatzeko.

3) Karpeten birbideratzea (Dokumentuak eta Mahaigaina) - Presta \\ZERB\Profilak NTFS/partekatze baimen egokiekin. - Erabiltzailea → Windows konfigurazioa → Karpeten birbideratzea → Dokumentuak/Mahaigaina → Oinarrizkoa → Erabiltzaile bakoitzarentzat karpeta sortu \\ZERB\Profilak bidean.

4) Kontrol-panelera sarbidea mugatu - Erabiltzailea → Administrazio txantiloiak → Kontrol-panela → “Debekatu kontrol-panelera eta PC ezarpenetara sarbidea” = Gaituta. - Aukeran: “Ezkutatu kontrol-paneleko elementu zehatzak”.

5) Aplikazioen exekuzioa mugatu (AppLocker) - Ekipoa → Windows konfigurazioa → Segurtasun konfigurazioa → Aplikazioen kontrolerako politikak → AppLocker. - Sortu lehenetsitako arauak (Exekutagarriak, Scriptak, Instalagarriak, DLL). - Sortu arauak editore/bide/hash bidez baimentzeko/debekatzeko (adib., cmd.exe, powershell.exe blokeatu behar bada). - Abiarazi “Application Identity (AppIDSvc)” zerbitzua bezeroetan.

6) Mahaigaina pertsonalizatu (hondoko irudia eta lasterbideak) - Erabiltzailea → Administrazio txantiloiak → Mahaigaina → Mahaigaina → “Mahaigaineko tapizeria” → Gaituta → Irudiaren UNC bidea. - Erabiltzailea → Hobespenak → Windows konfigurazioa → Lasterbideak → beharrezko lasterbideak sortu.

Egiaztapena

  • Eguneratzea behartu: gpupdate /force (ekipo/erabiltzaile arabera).
  • Emaitza eraginkorra: rsop.msc edo gpresult /r / gpresult /h c:\temp\gpo.html.
  • Gertaerak: gertaeren ikuslea (AppLocker, software instalazioa, segurtasuna).

Ikusi ere