如何啟用 MSS 組策略設置 Windows Server 2012
過去,我在 Windows Server 2008 Web 伺服器上檢查了伺服器強化檢查表,以確保符合 PCI 標準。基本上,有很多組策略、系統資料庫和其他設置需要符合安全、加密等行業的最佳實踐。在查看一個特定部分時,它指出以下內容:
系統應配置為禁止 IP 源路由、ICMP 重定向和 Internet 路由器發現協議。此外,將系統配置為在檢測到 SYN 泛洪時允許連接更快地超時。
過去,我能夠使用以“MSS:”開頭的組策略設置來設置這些限制,在本地電腦策略 -> 電腦配置 -> Windows 設置 -> 安全設置 -> 本地策略 -> 安全選項下
回顧我的筆記後,在 %SystemRoot%\inf 中有一個名為 sceregvl.inf 的文件需要編輯,但我沒有採取足夠的細節來重現該方法。
如何在 Windows Server 2012 R2 上查看和編輯這些 MSS 組策略設置?
正式來說,你不能。(截至撰寫本文時,在 Server 2012 R2 上。)
非官方的?也許…
“MSS”組策略設置未包含在 Active Directory 的預設開箱即用安裝中。它們是由該領域的一個諮詢小組開發的附加組件,這些設置被認為非常有用,以至於它們包含在稱為安全合規管理器的“解決方案加速器”中。(它以前以各種類似的名稱而聞名,例如“Windows 7 安全合規性管理工具包”。)
問題是,安全合規管理器帶有一大堆您不想要的垃圾,例如 SQL Express 實例。您真的不想在域控制器上安裝的垃圾。您只想從中提取您想要的部分,即“LocalGPO.msi”包。
下一個問題是 Security Compliance Manager 從未針對 2012 R2 進行更新。2012 年,是的。2012 R2,沒有。
話雖如此,您仍然可以讓它在 2012 R2 上執行,但請注意 - 這樣做可能會使您的伺服器處於無法支持的狀態。
下載安全合規管理器安裝。在您的伺服器上執行它。
執行 .exe,但不要繼續安裝。安裝程序會將一些文件壓縮到硬碟驅動器上的臨時目錄中,例如
C:\a1b2c3d4e5f6a0b1c2或D:\a1b2c3d4e5f6a0b1c2. 在該目錄中,您將找到一個data.cab文件。打開該文件,然後提取名為的文件GPOMSI並將該文件重命名為LocalGPO.msi. 現在取消 SCM 安裝程序,它將刪除臨時文件。在您的伺服器上安裝 LocalGPO.msi。然後啟動您將在“開始”螢幕中找到的新“LocalGPO 命令行”快捷方式。以管理員身份執行它。鍵入
cscript LocalGPO.wsf /ConfigSCE。您將收到一條錯誤消息,表明您沒有執行受支持的作業系統。
在記事本中打開 LocalGPO.wsf 並在腳本中註釋掉 ChkOSVer 過程,這樣它就不會檢查您的版本。現在再次執行上述命令。
我已經看到多份關於這對其他人有用的報告,但它對我不起作用。在腳本的第 2245 行,在 WriteLine 語句中,我仍然遇到 VBscript 錯誤。我沒有費心進行更深入的調試,讓自己接受它根本沒有為 2012 R2 更新的事實。
**編輯 2016 年 4 月 11 日:**由 Aaron Margosis 撰寫的此 Microsoft 部落格上託管的版本包含一個 MSS 擴展版本的下載連結,該版本適用於我的 2012 R2,無需“黑客”。這是一個 zip 文件的連結。在 zip 文件中,您將看到一個名為“Local_Script”的目錄。在該文件夾中,您將找到一個名為“MSS_Extension”的子文件夾。只需將該 MSS_Extension 目錄傳輸到您的 2012 R2 域控制器。然後打開命令提示符並瀏覽到該目錄。然後執行:
Cscript LocalGPO.wsf /ConfigSCE