[研究]套GCB後SQL Server 2019管理者、使用者於本機、遠端登入測試 (Windows 2019)
2025-01-24
續
[研究]政府組態基準(GCB)例外排除-參考(Windows 2019)
https://shaurong.blogspot.com/2025/01/gcb-windows-2019.html
[研究]套GCB後Windows管理者、使用者於本機、遠端登入測試 (Windows 2019)
https://shaurong.blogspot.com/2025/01/gcb-windows-2019_24.html
上圖,SQL Server雖然有個 administrator 可以用 "Windows驗證"方式登入,但對 Windows Server 2019而言,administrator已經被改名且停用,所以 WIN2019\Administrator 等於是無法登入的。
(完)
[研究]套GCB後Windows管理者、使用者於本機、遠端登入測試 (Windows 2019)
2025-01-24
政府組態基準(Government Configuration Baseline,簡稱GCB)
Windows Server 2019
套用前一定要有一個 administrator 以外的帳號在 Administrators 群組中,否則之後無法登入就慘了。
帳戶:admin1,administrators群組、Remote Desktop Users群組
帳戶:user1,僅 users 群組
帳戶:ruser1,users 群組、Remote Desktop Users群組
********************************************************************************
參考
[研究]政府組態基準(GCB)例外排除-參考(Windows 2019)
https://shaurong.blogspot.com/2025/01/gcb-windows-2019.html
********************************************************************************
套GCB後,開始測試
admin1於本機登入成功 (GCB沒管密碼複雜度?)
user1 和 ruser1 於本機登入被禁止
admin1於遠端桌面登入成功 (GCB沒管密碼複雜度?)
********************************************************************************
user1 於遠端桌面登入失敗
administrator => Renamed_Admin (被改名、停用)
Guest => Renamed_Guest (被改名、停用)
「以服務方式登入」=> 被清空 (可能事先沒設定排除,要把 SQL Server 的服務 MSSQLSERVER 和 SQLSERVERAGENT 再加回)
[研究]政府組態基準(GCB)例外排除-參考(Windows 2019)
2025-01-24
政府組態基準(Government Configuration Baseline,簡稱GCB)
https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/GCB_Deployment_Resources/
GCB-WindowsServer2019-gposv1.2_1131213.zip
WindowsServer2019CommonSettings
WindowsServer2019AccountSettings
僅自己留著參考;不同系統、不同環境狀況,例外排除需求可能不同。
| 項次 | GPO | 類別 | 原則設定名稱 | GPO設定路徑 | GCB設定值 | 排除說明 |
| 1 | Windows 2019 common | 安全性選項\系統加密編譯 | 系統密碼編譯:使用FIPS相容演算法於加密、雜湊以及簽章 | 電腦設定\Windows設定\安全性設定\本機原則\安全性選項 | 啟用 | 該設定會影響登入部分系統,故改為停用 |
| 2 | Windows 2019 common | 使用者權限指派 | 允許本機登入 | 本機原則/使用者權限指派 | Administrators | 跳板機遠端登入部署維運使用 |
| 3 | Windows 2019 common | 使用者權限指派 | 允許透過終端機服務登入 | 本機原則/使用者權限指派 | Administrators | 跳板機遠端登入部署維運使用 |
| 4 | Windows 2019 common | 使用者權限指派 | 以服務方式登入 | 本機原則/使用者權限指派 | No One | 系統排程服務使用 |
| 5 | Windows 2019 common | 使用者權限指派 | 拒絕從網路存取這台電腦 | 本機原則/使用者權限指派 | 跳板機遠端登入部署維運使用(改為拒絕Guests) | |
| 6 | Windows 2019 common | 使用者權限指派 | 讓電腦及使用者帳戶受信賴,以進行委派 | 本機原則/使用者權限指派 | No One | 系統排程服務使用 (加入 Administrators) |
| 7 | Windows 2019 common | Windows 遠端殼層 | 允許遠端殼層存取 | Windows 元件/Windows 遠端殼層 | 停用 | 跳板機遠端登入部署維運使用 |
| 8 | Windows 2019 common | Windows 遠端殼層 | 需要對遠端 (RDP) 連線使用特定的安全層 | Windows 元件/遠端桌面服務/遠端桌面工作階段主機/安全性 | 跳板機登入部署維運使用 (改成啟用) | |
| 9 | Windows 2019 common | 遠端桌面服務\遠端桌面工作階段主機 | 不允許剪貼簿重新導向 | Windows 元件/遠端桌面服務/遠端桌面工作階段主機/裝置及資源重新導向 | 啟用 | 跳板機遠端登入部署維運使用 |
| 10 | Windows 2019 common | 遠端桌面服務\遠端桌面工作階段主機 | 不允許磁碟重新導向 | Windows 元件/遠端桌面服務/遠端桌面工作階段主機/裝置及資源重新導向 | 啟用 | 跳板機遠端登入部署維運使用 |
| 11 | Windows 2019 common | 使用者權限指派 | 拒絕透過遠端桌面服務 | 本機原則/使用者權限指派 | 跳板機遠端登入部署維運使用(改為拒絕Guests) |
相關說明
(完)
