You are on page 1of 105

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings
Contents: Lesson 1: Lab A: Lesson 2: Lab B: Lesson 3: Lab C: Lesson 4: Lab D: Manage Group Membership by Using Group Policy Settings Use Group Policy to Manage Group Membership Manage Security Settings Manage Security Settings Auditing Audit File System Access Software Restriction Policy and AppLocker Configure Application Control Policies

Module Overview

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe

1/105

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

Group Policy can be used to manage the configuration of a variety of components and features of Windows. In the previous module, you learned how to configure a Group Policy infrastructure. In this module, you will learn to apply that infrastructure to manage several types of configuration settings related to security. You will discover tools such as the Security Configuration Wizard that make it easier to determine which settings should be configured based on a server’s roles. You will also learn how to configure auditing of files and folders. In the final sections of the module, you will learn how to deploy applications by using Group Policy, and how to restrict access to applications by using application control policies.

Objectives
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 2/105

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

After completing this module, you will be able to: • Manage group membership by using Group Policy Settings. • Manage security settings. • Describe the purpose and functionality of auditing • Describe the purpose of Software Restriction Policy and AppLocker.

Lesson 1: Manage Group Membership by Using Group Policy Settings

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe

3/105

 They are often referred to as the help desk. configure.courseware-marketplace. so do not place them in that group. Therefore. Instead. desktop support personnel do not need the high level of privilege given to the Domain Admins group. and in this lesson. desktop support. the credentials used by support personnel must be at the level of a member of the local Administrators group on client computers.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 4/105 . and these tasks often require administrative privileges. or perform other support tasks on client computers. configure client systems so that a group representing support personnel is added to the local Administrators group. delegate support of those computers to https://skillpipe. Help desk personnel need to troubleshoot. Restricted groups policies enable you to do just that. However. thereby. you will learn how to use restricted groups policies to add the help desk personnel to the local Administrators group of clients and. or just support.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Many enterprises have one or more people dedicated to supporting end users.

 you will be able to: • Describe restricted groups. Objectives After completing this lesson. What Are Restricted Groups? https://skillpipe.courseware-marketplace. • Use Restricted Groups policies to modify or enforce the membership of groups. • Use Group Policy Preferences to modify the membership of groups.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings the help desk. The same approach can be used to delegate the administration of any scope of computers to the team responsible for those systems.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 5/105 .

07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings When you edit a Group Policy object (GPO) and expand the Computer Configuration node. and the Security Settings node.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 6/105 . https://skillpipe.courseware-marketplace. you will find the Restricted Groups policy node. the Policies node. the Windows Settings node. Restricted Groups policy settings enable you to manage the membership of groups. as shown in the following screen shot.

 On the left of the previous screen shot. A Member Of setting specifies that the group specified by the policy is a member of another group. it ensures that the Help Desk group from the domain becomes a member of its local Administrators group. and a second GPO linked to the SEA OU (a sub­OU of the Client Computers OU) specifies CONTOSO\NYC Support as a member of Administrators. When a computer applies this policy setting. if a GPO linked to the Client Computers organizational unit (OU) specifies CONTOSO\Help Desk as a member of Administrators.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 7/105 . It’s very important to understand the difference between these two settings.courseware-marketplace. a computer in the NYC OU will add both the Help Desk and NYC Support groups to its Administrators group in addition to any existing https://skillpipe. each Member Of policy is applied.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings There are two types of settings: this group is a member of (the Member Of setting) and Members of this group (the Members setting). For example. you can see a typical example: The CONTOSO\Help Desk group is a member of the Administrators group. If there is more than one GPO with restricted groups policies.

 The Members setting is the authoritative policy—it defines the final list of members. The dialog box on the right of the side­by­side dialog boxes shown earlier is a typical example: The Administrators group’s Members list is specified as CONTOSO\Help Desk. restricted groups policies that use the Member Of setting are cumulative.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings members of the group. The second type of restricted groups policy setting is the Members setting. As you can see. which specifies the entire membership of the group specified by the policy. When a computer applies this policy setting. This example is illustrated in the following screen shot. Any members not specified in the policy are removed.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 8/105 . including Domain Admins. it ensures that the local Administrators group’s membership consists only of CONTOSO\Help Desk. If https://skillpipe. such as Domain Admins.courseware-marketplace.

 and then the cumulative memberships of Member Of policies augment that baseline. For example. and another GPO linked to the NYC OU specifies the Administrators group membership as CONTOSO\NYC Support. the precedent Members policy setting sets the authoritative baseline membership for the group. If you use both Members and Member Of restricted groups policies. if a GPO linked to the Client Computers OU specifies the Administrators group membership as CONTOSO\Help Desk.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 9/105 .07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings there is more than one GPO with restricted group policies.courseware-marketplace. The computers in the NYC OU have only the NYC Support group in their Administrators group. This example is illustrated in the following screen shot. the GPO with the highest priority prevails. https://skillpipe.

Demonstration: Delegate Administration by Using Restricted Groups Policies You can use restricted groups policies with the Member of setting to manage the delegation of administrative privileges for computers by following these steps: Demonstration Steps 1. Start 6425C­NYC­DC1 and log on as Pat.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe .07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings In your enterprise.courseware-marketplace.Coleman with the password 10/105 https://skillpipe. be careful to design and test your restricted groups policies to ensure that they achieve the desired result.

The Group Policy Management Editor appears. 5.courseware-marketplace. Right­click Restricted Groups and click Add Group. and then click New. right­click Corporate Help Desk. 8. In the Name box. 9. In the console tree. 4. and then click Edit. in the Select Groups dialog box. 3. and then click the Group Policy Objects container. Right­click the Group Policy Objects container. type the name of the group you want to add to the Administrators group—for example. https://skillpipe. Click OK to close the Add Group dialog box. In the details pane.Coleman_Admin with the password Pa$$w0rd. type Corporate Help Desk.com. go to Computer Configuration\Policies\Windows Settings\Security Settings\Restricted Groups. point to Administrative Tools and run Group Policy Management with administrative credentials. expand Forest:contoso. 2. CONTOSO\Help Desk—and click OK.com. On NYC­DC1 click Start. and then click OK.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Pa$$w0rd. 7. Use the account Pat. In Group Policy Management Editor. Click Browse and. 6. 10.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 11/105 . Domains and contoso.

07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings A Properties dialog box appears.” This allows for the possibility that individual systems could have other users or groups in their local Administrators group. If multiple GPOs configure different security principals as members of the local Administrators group. Delegating the membership of the local Administrators group in this manner adds the group specified in step 9 to that group. “Make sure this group is a member of the local Administrators group. In Group Policy Management Editor.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . all will be added to the group. follow these steps: Demonstration Steps 1. The Properties group policy setting should look similar to the dialog box on the left of the side­by­side dialog boxes shown earlier. 13. Click OK again to close the Properties dialog box. This group policy setting is also cumulative. go to Computer 12/105 https://skillpipe. 12. and click OK. Click Add next to the This group is a member of section. To take complete control of the local Administrators group. 11.courseware-marketplace. The Group Policy setting simply tells the client. Type Administrators. It does not remove any existing members of the Administrators group.

6. including Domain Admins. and click Add Group. 3. 2.courseware-marketplace. the Members list defines the final membership of the specified group. Click OK again to close the Add Member dialog box. it adds all members specified by the GPO and removes all members not specified by the GPO. The group policy setting Properties should look similar to the dialog box on the left of the side­by­side dialog boxes shown earlier. The steps just listed result in a GPO that authoritatively manages the Administrators group.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Configuration\Windows Settings\Security Settings\Restricted Groups. When a computer applies this GPO. When you use the Members setting of a restricted groups policy. 7. Click Add next to the Members of this group section.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 13/105 . 5. A Properties dialog box appears. Click Browse and enter the name of the group you want to make the sole member of the Administrators group—for example. 4. Right­click Restricted Groups. and click OK. Click OK again to close the Properties dialog box. CONTOSO\Help Desk—and click OK. Only the local Administrator account will not be removed from the Administrators group because Administrator is a https://skillpipe. Type Administrators.

 The settings for a Local Group preference are shown below. https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 14/105 .courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings permanent and irremovable member of Administrators. Local Group preferences are available in both Computer Configuration and User Configuration. Define Group Membership with Group Policy Preferences Group Policy Preferences can also be used to define the membership of groups.

 or modify (update) a local group. preferences can neither add nor remove members.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The three options related to "current user" are available only in the Local Group preference in User Configuration. Local Group preferences cannot remove members from a group if those members were added to a group by using a restricted groups policy setting. https://skillpipe. replace. or make modifications to the group's membership. As you can see in the previous screen shot. You have the ability to create.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 15/105 . if a restricted groups policy setting uses the Members method to define the authoritative membership of a group. delete. change its description. you can rename the group. Additionally.

 and then the current user is added. In these situations. there are still applications and functions that require administrative privileges to function properly. the user remains a member of Administrators as long as the user is within the management scope of the GPO. During the next logon policy refresh. Discussion Questions 1.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The interactions between Members restricted groups policy settings. Local Group preferences scoped as computer settings. you might want to allow a user to be a member of the local Administrators group on computers to which the user logs on. The user must then log off and log on. As a tip. When the preference is processed. all existing user accounts are removed from the group first. Be sure to thoroughly test the results if you choose to implement multiple methods of managing group membership with Group Policy. 2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe .courseware-marketplace. and then re­adds it. Member Of restricted groups policy settings. So. and Local Group preferences scoped as user settings can be complex to understand. you can implement the Delete All Members Users option and the At The Current User option. the Delete All Member Users setting removes the user's account. at which point the user becomes a member of Administrators. Why might you want to add the currently logged on user? Answer: While it is not the best practice for a user to be logged on as a member of the local Administrators group. In what scenario might you want to modify the membership of the local 16/105 https://skillpipe.

 the Executive Support team should be a member of the Administrators group on whichever machine the executive is logged on.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Administrators group of a computer by using a Local Group preference in the User Configuration node of a GPO that scopes the preference not to specific computers. Lab A: Use Group Policy to Manage Group Membership https://skillpipe. such as an Executive Support team that is on call to support executives of an organization. In this administrative model. This is a fairly advanced question. but to specific users? Answer: Answers will vary. but here's the scenario: There is a support organization dedicated to helping specific users. when an executive has a problem. the definition of who should be in the Administrators group (Executive Support) should "follow" the executive users rather than be locked (scoped) to a specific set of computers. So.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 17/105 .courseware-marketplace.

 point to Administrative Tools. Before you begin the lab. 3. 2. you must complete the following steps: 1. Log on by using the following credentials: 18/105 https://skillpipe. click Connect. and in the Actions pane. click Start. 4. you will use the available virtual machine environment. In the Actions pane. and then click Hyper­V Manager. click Start.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe .courseware-marketplace. On the host computer. In Hyper­V™ Manager. Wait until the virtual machine starts. click 6425C­NYC­DC1.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Lab Setup For this lab.

 you will use Group Policy to delegate the membership of the Administrators group.courseware-marketplace.Coleman • Password: Pa$$w0rd • Domain: Contoso Lab Scenario You have been asked by the corporate security team to lock down the membership of the Administrators group on client computers. However. Additionally. you need to provide the centralized help desk with the ability to perform support tasks for users throughout the organization. You will then create a GPO that adds the SEA Support group to Administrators on clients in the SEA OU. you will confirm that in the SEA OU. both Help Desk and SEA Support groups are administrators. Finally. Exercise 1: Configure the Membership of Administrators by Using Restricted Groups Policies In this exercise.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 19/105 .07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings • User name: Pat. https://skillpipe. you must empower the local site desktop support team to perform administrative tasks for client computers in that site. You will first create a GPO with a restricted groups policy setting that ensures that the Help Desk group is a member of the Administrators group on all client systems.

 run Group Policy Management as an administrator. 3. Create a Seattle Support group. 2. Task 1: Delegate the administration of all clients in the domain. Confirm the cumulative application of Member Of policies. https://skillpipe. Task 2: Create a Seattle Support group. scoped to all computers in the Client Computers OU. 3.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 20/105 . Create a GPO named Corporate Help Desk.Coleman_Admin and the password Pa$$w0rd.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The main tasks for this exercise are as follows: 1. Delegate the administration of all clients in the domain. Delegate the administration of a subset of clients in the domain. with the user name Pat. 2. On NYC­DC1. 4.courseware-marketplace. 1. Configure a Restricted Groups policy setting that ensures that the Help Desk group is a member of the Administrators group on all client systems located in the Client Computers OU.

• Use Group Policy Modeling to confirm that a computer in the SEA OU will include both Help Desk and SEA Support groups in its Administrators group. 2. you created a Corporate Help Desk GPO that ensures https://skillpipe. Task 3: Delegate the administration of a subset of clients in the domain.Coleman_Admin and the password Pa$$w0rd.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 1. 3. Close Active Directory Users and Computers. Results: In this exercise. with the username Pat.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 21/105 . create a GPO named Seattle Support. In the Groups\Role OU. scoped to all computers in the Client Computers\SEA OU. Configure a Restricted Groups policy setting that ensures that the SEA Support group is a member of the Administrators group on all client systems in the SEA OU. Run Group Policy Management. Run Active Directory Users and Computers as an administrator. 2. 1. Task 4: Confirm the cumulative application of Member Of policies. create a global security group called SEA Support.

 you created a Seattle Support GPO that adds the Seattle Support group to the local Administrators group on all client computers in the SEA OU.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 22/105 . Lab Review Question Question: Using only restricted groups policies.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings that the Help Desk group is a member of the local Administrators group on all computers in the Client Computers OU. Additionally.courseware-marketplace. Important Do not shut down the virtual machine after you finish this lab because the settings you have configured here will be used in subsequent labs. what should you do to ensure that the only members of the local Administrators group on a client computer are the Help Desk in the site­specific Support group and to remove any other members from the local Administrators group? Lesson 2: Manage Security Settings https://skillpipe.

 the open ports.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 23/105 . you must determine and configure the security settings that are required for servers in your organization. Therefore. Windows Server® 2008 includes several settings that affect the services that are running. and the security policies of the organization. There is an enormous number of settings that can be managed. Windows Server 2008 https://skillpipe.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Security is a primary concern for all Windows administrators. and you must be prepared to manage those settings in a way that centralizes and optimizes security configuration. The appropriate security configuration for a server depends on the roles that the server plays. which themselves depend on compliance regulations enforced from outside the organization. the network packets that are allowed into or out of the system. and the audited activities. the mix of operating systems in the environment. the rights and permissions of users.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 24/105 . • Create. and apply security policies by using the Security Configuration Wizard. you will discover these mechanisms and their interactions. What Is Security Policy Management? https://skillpipe. • Deploy security configuration with Group Policy. • Create and apply security templates to manage security configuration. Objectives After completing this lesson. In this lesson. you will be able to: • Configure security settings on a computer by using the Local Security policy. edit.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings provides several mechanisms with which to configure security settings on one or more systems. • Analyze security configuration based on security templates.courseware-marketplace.

 A typical enterprise is likely to have several configurations: desktops and laptops. Most enterprises end up defining even more configurations. The security policy. analyzing. will likely require multiple customizations to the default.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 25/105 . out­of­box security configuration of Windows client and https://skillpipe. you need to understand what your enterprise security policy requires; and if you do not yet have a written security policy. servers. and domain controllers.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Security policy management involves designing. begin by creating one. such as by delineating various types or roles of servers. managing. and the requirements it contains. deploying. and revising security settings for one or more configurations of Windows systems. Before you even touch the technology.

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

server operating systems. To manage security configuration, you will need to: • Create a security policy for a new application or server role not included in Server Manager. • Use security policy management tools to apply security policy settings that are unique to your environment. • Analyze server security settings to ensure that the security policy applied to a server is appropriate for the server role. • Update a server security policy when the server configuration is modified.

This lesson covers the tools, concepts, and processes required to perform these tasks. The tools you will encounter in this lesson include: • Local Group Policy • Security Configuration Wizard • Security Templates snap­in • Domain Group Policy

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe

26/105

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

Configure the Local Security Policy

Each server running Windows Server 2008 maintains a collection of security settings that can be managed by using the local GPO. You can configure the local GPO by using the Group Policy Object Editor snap­in or the Local Security Policy console. The available policy setting categories are shown on the next page.

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe

27/105

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

This lesson focuses on the mechanisms with which to configure and manage security settings rather than on the details of the settings themselves. Many of the settings— including account policies, audit policy, and user rights assignment—are discussed elsewhere in this course. Because domain controllers do not have local user accounts and have only domain accounts, the policies in the Account Policies container of the local GPO on DCs cannot be configured. Instead, account policies for the domain should be configured as part of a domain­linked GPO such as the Default Domain Policy GPO. Account policies are discussed in further detail in Module 10. The settings found in the local Security Settings policies are a subset of the policies that can be configured by using domain­based Group Policy, shown below:
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 28/105

Manage Security Configuration with Security Templates https://skillpipe. It is linked to the Domain Controllers OU and should be used to manage baseline security settings for all domain controllers in the domain so that DCs are consistently configured. This is particularly true for domain controllers.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 29/105 .07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings As you learned in Module 6. it is a best practice to manage configuration by using domain­based Group Policy rather than on a machine­by­machine basis by using local Group Policy. The Default Domain Controllers Policy GPO is created when the first domain controller is promoted for a new domain.courseware-marketplace.

07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The second mechanism for managing security configuration is the security template. a security template contains settings that are a subset of the settings available in a domain­based GPO but a somewhat different subset than those managed by the local GPO. https://skillpipe. As you can see in the following screen shot.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 30/105 . A security template is a collection of configuration settings stored as a text file with the .inf extension.

https://skillpipe. templates make it easy to store security configurations of various types so that you can easily apply different levels of security to computers performing different roles. Because the templates are plaintext files. and Kerberos policies.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The tools used to manage security templates present settings in an interface that enable you to save your security configurations as files and deploy them when and where they are needed. cutting and pasting sections as needed. Second. There are several advantages to storing security configuration in security templates. You can also use a security template to analyze the compliance of a computer’s current configuration against the desired configuration.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 31/105 . account lockout policies. Security templates enable you to configure any of the following types of policies and settings: • Account Policies: Enable you to specify password restrictions. you can work with them manually as with any text file.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 32/105 .exe. You can deploy security templates in a variety of ways by using Active Directory Group Policy Objects. • Restricted Groups: Enable you to specify the users who are permitted to be members of specific groups. and security options policies. • System Services: Enable you to specify the startup types and permissions for system services. • File System Permissions: Enable you to specify access control permissions for NTFS files and folders. the settings in the template become part of the GPO. the settings in the template become part of the computer’s local policies. • Event Log Policies: Enable you to configure maximum event log sizes and rollover policies.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings • Local Policies: Enable you to configure audit policies. or a template can be attached to a policy created by the Security Configuration Wizard. When you associate a security template with an Active Directory GPO. in which case.courseware-marketplace.exe https://skillpipe. Secedit. You can also apply a security template directly to a computer. Secedit. • Registry Permissions: Enable you to set access control permissions for specific registry keys. user rights assignments.

courseware-marketplace. Exports all or part of the settings from a security database to a new security template.exe is the only way to do it. Applies all or part of a security database to the local computer. For example.exe is a command­line utility that can be used to manage security templates. Imports all or part of a security template into a specific security database. Compares the computer’s current security settings with those in a security database. You can also configure the program to import a security template into the specified database before applying the database settings to the computer.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 33/105 . enabling you to automate your security template deployments.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Secedit. To use Secedit. you run the program from the command prompt with one of the following six main parameters and additional parameters for each function: • Configure. and this is something you cannot do with GPOs.exe. The program stores the results of the analysis in the database itself.exe is that you can use it to apply only part of a security template to a computer. • Export. https://skillpipe. • Analyze. Another big advantage of Secedit.exe is that you can call it from scripts and batch files. • Import. if you want to apply the file system’s permissions from a template but leave all the other settings alone. which you can view later by using the Security Configuration and Analysis snap­in. Secedit. The advantage of Secedit. You can configure the program to import a security template into the database before performing the analysis.

l o g To create a rollback template for the BaselineSecurity template. • Generate rollback. Verifies that a security template is using the correct internal syntax. i n f/ l o g B a s e l i n e S e c u r i t y R o l l b a c k . i n f/ l o gB a s e l i n e S e c u r i t y . use the following command. s e c e d i t/ g e n e r a t e r o l l b a c k/ c f gB a s e l i n e S e c u r i t y .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 34/105 . Creates a security template you can use to restore a system to its original configuration after applying another template. s e c e d i t/ c o n f i g u r e/ d bB a s e l i n e S e c u r i t y . use the following command. to configure the machine by using a template called BaselineSecurity.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings • Validate. For example. s d b/ c f g B a s e l i n e S e c u r i t y .courseware-marketplace. l o g Demonstration: Create and Deploy Security Templates https://skillpipe. i n f/ r b k B a s e l i n e S e c u r i t y R o l l b a c k .

courseware-marketplace. so you have to create one yourself by using the MMC Add/Remove Snap­in command.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 35/105 . Windows Server 2008 does not include a console with the Security Templates snap­in. for example—and click New Template. where you can store one or more security templates. you use the Security Templates snap­in. https://skillpipe.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings To work with security templates. The snap­in creates a folder called Security and a subfolder called Templates in your Documents folder. To create a new security template: • Right­click the node that represents your template search path— C:\Users\Documents\Administrator\Security\Templates. and the Documents\Security\Templates folder becomes the template search path.

Note Be sure to save your changes to a security template by right­clicking the template and clicking save. The Security Templates snap­in is used to configure settings in a security template. if they can be configured by using a Registry key. Using the snap­in ensures that settings are changed through the proper syntax. Although the template itself is a text file. you add them to the Registry Values section of the template. Configure security settings in a template by using the Security Templates snap­in. you can add them to a security template. As new security settings become known.courseware-marketplace. When you install a server or promote it to a domain controller.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 36/105 . the syntax can be confusing. The exception to this rule is adding Registry settings that are not already listed in the Local Policies\Security Option portion of the template. a default security https://skillpipe. To do so. Settings are configured in the template in the same way that settings are configured in a GPO. It is just an editor—it does not play any role in actually applying those settings to a system.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings You can also create a template that reflects the current configuration of a server; you’ll learn how to do that later in this lesson.

To import a security template into a GPO: • Right­click the Security Settings node and click Import Policy. site. if you select the Clear This Database Before Importing check box. but you can copy it to your template search path and modify the copy.inf. You should not modify this template directly. Deploying Security Templates by Using Group Policy Objects Creating and modifying security templates does not improve security unless you apply those templates. you can import a security template into the GPO for a domain.courseware-marketplace. To configure a number of computers in a single operation.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings template is applied by Windows. The new role­based configuration of Windows Server 2008 and the improved Security Configuration Manager have made these templates unnecessary. You can find that template in the %SystemRoot%\Security\Templates folder. or OU object in Active Directory.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 37/105 . a number of security templates were available to modify and apply to a computer. all security settings in the GPO will be erased prior to https://skillpipe. Note In previous versions of Windows. the template is called DC security. On a domain controller. In the Import Policy From dialog box.

Log on to NYC­DC1 as Pat. 2. Demonstration Steps 1.courseware-marketplace. 6.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 38/105 . In the Available snap­ins list. Use the account Pat. the GPO’s security settings will match the template’s settings. Click File. then click Add. Click OK.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings importing the template settings. 8. Therefore. supply administrative credentials. select Security Templates. 4. Any settings defined in the GPO that are also defined in the template will be replaced with the template’s setting. and then press Enter. 7. the GPO’s security policy settings will remain and the template’s settings will be imported. 3.exe and press Enter. 5.Coleman with the password Pa$$w0rd. When prompted. If you leave the Clear This Database Before Importing check box cleared. Click File. https://skillpipe. Click Start and in the search box. and then click Add/Remove Snap­in. type mmc.Coleman_Admin with the password Pa$$w0rd. and then click Save. Start 6425C­NYC­DC1. Type C:\Security Management. The Save As dialog box appears.

Click Start. and then click Security Settings. point to Administrative Tools and run Group Policy Management with administrative credentials.Coleman_Admin\Documents\Security \Templates. and then click the Group Policy Objects container. Select the DC Remote Desktop template. 14. Policies. expand Forest:contoso. 15. 11. In the console tree. Domains. and then click Edit.courseware-marketplace.com. 10. Type DC Remote Desktop.com. expand Security Templates. In the console tree. In the details pane.Coleman_Admin with the password Pa$$w0rd.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 9.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 39/105 . expand Computer Configuration. and then click Open. Security Configuration Wizard https://skillpipe. Right­click Security Settings. In the console tree. and then click Import Policy. and then click New Template. and contoso. Windows Settings. 17. The Group Policy Management Editor appears. Use the account Pat. 13. and then click OK. Right­click C:\Users\Pat. right­click the Corporate Help Desk. 16. 12.

 in the Security Information section.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The Security Configuration Wizard can be used to enhance the security of a server by closing ports and disabling services not required for the server’s roles.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 40/105 . For help on the command. scwcmd. The Security Configuration Wizard is role­based in accordance with the new role­ based configuration of Windows Server 2008.com/fwlink/?LinkId=168678.exe. The Security Configuration Wizard https://skillpipe. The Security Configuration Wizard can be launched from the home page of Server Manager. Type scwcmd. There is also a command­line version of the tool. visit: http://go.microsoft. or from the Administrative Tools folder.exe /? at the command prompt.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 41/105 . Launch the Security Configuration Wizard from the Administrative Tools folder or the Security Information section on the home page of Server Manager. perform the following steps: 1. or transformed into a GPO for deployment to multiple systems.xml file—that configures: • Services • Network security including firewall rules • Registry values • Audit policy • Other settings based on the roles of a server That security policy can then be modified. Creating a Security Policy To create a security policy.courseware-marketplace. You can open the Security Configuration Wizard Help file by clicking the Security Configuration Wizard link on the first page of the wizard. https://skillpipe. applied to another server.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings creates a security policy—an .

 Then. 4.xml files installed in %SystemRoot%\Security\Msscw\Kbs. 3. On the Configuration Action page. the command scw.exe /kb \\NYC­SVR1\scwkb launches the Security Configuration Wizard by using the security configuration database in the shared folder scwkb on NYC­SVR1. click Create a New Security Policy. The security configuration database is a set of . centralize the security configuration database so that administrators use the same database when running the Security Configuration Wizard. Enter the name of the server to scan and analyze. You must be an administrator on the server for the analysis of its roles to proceed.exe /kb Database Location. The Security Configuration Wizard begins the analysis of the selected server’s roles. and then click Next. launch the Security Configuration Wizard with the Scw. The security policy will be based on the roles being performed by the specified server.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 2. Click Next.exe command by using the syntax scw. For example. It uses a security configuration database that defines services and ports required for each server role supported by the Security Configuration Wizard. Note In an enterprise environment. Copy the files in the %SystemRoot%\Security\Msscw\Kbs folder to a network folder. and then click Next.courseware-marketplace. https://skillpipe. Ensure also that all applications using inbound IP ports are running prior to running the Security Configuration Wizard.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 42/105 .

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 43/105 . This server­specific file is called the configuration database. This is not to be confused with the security configuration database used by the Security Configuration Wizard to perform the analysis.xml.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The Security Configuration Wizard uses the security configuration database to scan the selected server and identifies the following: • Roles that are installed on the server • Roles likely being performed by the server • Services installed on the server but not defined in the security configuration database • IP addresses and subnets configured for the server The information discovered about the server is saved in a file named Main. https://skillpipe. To display the configuration database: • Click View Configuration Database on the Processing Security Configuration page.

 which will then be used to generate the security policy to configure services. and audit policies. registry settings. https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 44/105 . The Security Configuration Wizard presents each of these four categories of the security policy in a section—a series of wizard pages: • Role­based service configuration • Network security • Registry settings • Audit policy Security Policy You can skip any of the last three sections you do not want to include in your security policy.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The initial settings in the configuration database are called the baseline settings. After the server has been scanned and the configuration database has been created. you can modify the database. The security policy can then be applied to the server or to other servers playing similar roles.courseware-marketplace. firewall rules.

The settings are very well documented by the Security Configuration Wizard. https://skillpipe.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings When all the configuration sections have been completed or skipped. and a description for the security policy. To examine the settings of the security policy: • Click View Security Policy.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 45/105 . shown in the preceding screen shot. The Security Policy File Name page. a name.courseware-marketplace. the Security Configuration Wizard presents the Security Policy section. enables you to specify a path.

courseware-marketplace. you can incorporate a richer collection of configuration settings in the security policy. If any settings in the security template conflict with the Security Configuration Wizard. • Click Include Security Templates. By including a security template. 2. Editing a Security Policy To edit a saved security policy: 1. the settings in the Security Configuration Wizard take precedence. discussed earlier in this lesson. select the server that was used to create the security policy. On the Configuration Action page. When prompted to select a server.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 46/105 .xml file. Open the Security Configuration Wizard. Click Browse to locate the policy .07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings To import a security template into the security policy. When you click Next. Security templates. and file system and registry security policies. granular event log policies. contain settings that are not provided by Managing Security Configuration with Security Templates. https://skillpipe. 3. including restricted groups. you are given the option to apply the security template to the server immediately or to apply the policy later. click Edit an Existing Security Policy.

 as a best practice. including the addition of firewall rules for applications already running and the disabling of services require that you restart the server. select Rollback the Last Applied Security Policy.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Applying a Security Policy To apply a security policy to a server: 1. To roll back an applied security policy: 1. Many of the changes specified in a security policy.courseware-marketplace. Rolling Back an Applied Security Policy If a security policy is applied and it causes undesirable results. On the Configuration Action page. click Apply an Existing Security Policy. 2. On the Configuration Action page. On the Select Server page. 4. Open the Security Configuration Wizard. 2. https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 47/105 . you can roll back the changes. Open the Security Configuration Wizard. Click Browse to locate the policy . Therefore. restart a server whenever you apply a security policy. 3. select a server to which to apply the policy.xml file.

courseware-marketplace.exe with the transform command.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 48/105 .07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings When a security policy is applied by the Security Configuration Wizard. The rollback process applies the rollback file. a rollback file is generated that stores the original settings of the system. by using the Scwcmd. To transform a security policy into a GPO: • Log on as a domain administrator and run Scwcmd.exe command. if an applied security template does not produce an ideal configuration. For example: https://skillpipe. Deploying a Security Policy Using Group Policy You can apply a security policy created by the Security Configuration Wizard to a server by using the Security Configuration Wizard itself. Modifying Settings of an Applied Security Policy Alternatively. or by transforming the security policy into a GPO. you can manually change settings by using the Local Security Policy console discussed at the beginning of this lesson in the “Configuring the Local Security Policy” section.

exe transform /? for help and guidance about this process. Templates. or OU—by using the Group Policy Management console.courseware-marketplace. x m l ”/ g : " C o n t o s o D CS e c u r i t yG P O ” This command will create a GPO called Contoso DC Security GPO with settings imported from the Contoso DC Security. domain. Policies.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings s c w c m dt r a n s f o r m/ p : " C o n t o s oD CS e c u r i t y .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 49/105 . Be sure to type scwcmd. The resulting GPO can then be linked to an appropriate scope—site. Settings. and GPOs https://skillpipe.xml security policy file.

 audit policies. The plethora of tools available can make it difficult to identify the best practice for managing security on one or more systems. Both security templates and security policies can be deployed by using Group Policy. You can use tools such as the Local Security Policy console to modify settings on an individual system. and some registry settings. Security policies generated by the Security Configuration Wizard are the most recent addition to the security configuration management toolset. which have existed since Windows 2000 Server. there are a number of mechanisms with which to manage security settings. which itself incorporates additional settings from a security template. firewall rules. Plan to use Group Policy whenever possible to deploy security configuration. They are role­based .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 50/105 .xml files that define service startup modes. After the GPO has been generated.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings As suggested in the introduction to the lesson. you can make additional changes to the GPO by using the Group Policy Management Editor snap­in. Lab B: Manage Security Settings https://skillpipe. Security policies can incorporate security templates. You can use security templates.courseware-marketplace. You can generate a GPO from a role­based security policy produced by the Security Configuration Wizard. Settings not managed by Group Policy can be configured on a server­by­server basis by using the local GPO security settings. to manage settings on one or more systems and to compare the current state of a system’s configuration against the desired configuration defined by the template.

 complete the following steps: 1. Log on by using the following credentials: 51/105 https://skillpipe. Wait until the virtual machine starts. In the Actions pane. and in the Actions pane.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . 3.courseware-marketplace. click 6425C­NYC­DC1. click Connect. 4. you will use the same virtual machines that were used for Lab A.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Lab Setup For this lab. point to Administrative Tools. click Start. If required. click Start. In Hyper­V Manager. On the host computer. 2. and then click Hyper­V Manager.

com domain. you will create a group that allows you to manage who is allowed to log on to NYC­DC1.Coleman • Password: Pa$$w0rd • Domain: Contoso Lab Scenario You are an administrator of the contoso. among other things. specifies who can log on to domain controllers by using Remote Desktop to perform administrative tasks. To secure the directory service. Exercise 1: Manage Local Security Settings In this exercise. by using Remote Desktop.courseware-marketplace. The main tasks for this exercise are as follows: 1. You will do so by configuring security settings directly on NYC­ DC1. Enable Remote Desktop on NYC­DC1. a domain controller.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 52/105 . you want to establish a security configuration to apply to domain controllers that.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings • User name: Pat. https://skillpipe.

3. click Configure Remote Desktop. https://skillpipe.Coleman_Admin and the password Pa$$w0rd. with the user name Pat. run Server Manager as an administrator. Close Server Manager.courseware-marketplace. Add SYS_DC Remote Desktop to the Remote Desktop Users group. 1. 3. with the user name Pat.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 53/105 . Task 2: Create a global security group named SYS_DC Remote Desktop. Task 1: Enable Remote Desktop on NYC-DC1. 1. and then click Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure). In the Server Summary section. 5. Configure the Local Security Policy to allow remote desktop connections by SYS_DC Remote Desktop. 4. Revert the local security policy to its default setting.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 2. Run Active Directory Users and Computers as an administrator.Coleman_Admin and the password Pa$$w0rd. 2. Create a global security group named SYS_DC Remote Desktop. On NYC­DC1.

In the Admins\Admin Groups\Server Delegation OU. By default. Note Instead of adding the group to Remote Desktop Users. Therefore. you should add the user (or the SYS_DC Remote Desktop group in this case) to the Remote Desktop Users group. create a global security group named SYS_DC Remote Desktop. Task 3: Add SYS_DC Remote Desktop to the Remote Desktop Users group. Close Active Directory Users and Computers. Additionally. 2. 1.courseware-marketplace. which you will grant to the SYS_DC Remote Desktop group in the next task. you could add the SYS_DC Remote Desktop group to the access control list (ACL) of the RDP­Tcp connection by using the Remote Desktop Session Host https://skillpipe. found in the Builtin container.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 54/105 . the Remote Desktop Users group and the Administrators group have permission to connect to the RDP­Tcp connection. Add the SYS_DC Remote Desktop group to the Remote Desktop Users group. To connect by using Remote Desktop. the user must have permission to connect to the RDP­Tcp connection. a user must have the user logon right to log on through Remote Desktop Services.

 the Remote Desktop Users group has permission to connect to the RDP­Tcp connection and has user rights to log on through Remote Desktop Services. On a domain member (workstation or server).com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 55/105 . Therefore.courseware-marketplace. Right­click RDP­Tcp and click Properties.Coleman_Admin and the password Pa$$w0rd. Because NYC­DC1 is a domain controller. Therefore. you must explicitly grant the SYS_DC Remote Desktop group the user logon right to log on through Remote Desktop Services. Run Local Security Policy as an administrator. Then. only Administrators have the right to log on with Remote Desktop Services. click the Add button. https://skillpipe. and type SYS_DC Remote Desktop.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Configuration console. Click OK twice to close the dialog boxes. click the Security tab. 1. the easiest way to manage both the user rights and the permission on RDP­Tcp connection is to add a user or group directly to the Remote Desktop Users group. on a domain member server or workstation. Task 4: Configure the Local Security Policy to allow remote desktop connections by SYS_DC Remote Desktop. with the user name Pat.

 Allow log on through Remote Desktop Services.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 2. 1. Allow Log on through Remote Desktop Services. you will create a security template that gives the SYS_DC Remote Desktop group the right to log on by using Remote Desktop. and then remove SYS_DC Remote Desktop. Modify the configuration of the user rights policy setting. Results: In this exercise. you configured each of the local settings necessary to allow SYS_DC Remote Desktop to log on to NYC­DC1by using remote desktop. and add SYS_DC Remote Desktop. Exercise 2: Create a Security Template In this exercise. 2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 56/105 . Task 5: Revert the local security policy to its default setting. Modify the configuration of the user rights policy setting.courseware-marketplace. You will now revert the policy to its default in preparation for the following exercises. Close Local Security Policy. https://skillpipe.

exe as an administrator. Run mmc. https://skillpipe. 2. In the Security Templates snap­in. Create a security template. 2. Modify the configuration of the user rights policy setting. 3. 1.msc. and then add SYS_DC Remote Desktop.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings The main tasks for this exercise are as follows: 1. Task 2: Create a security template. Save the console as C:\Security Management. Add the Security Templates snap­in.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 57/105 . 2. 1.Coleman_Admin and the password Pa$$w0rd. Allow log on through Remote Desktop Services.courseware-marketplace. with the username Pat. Create a custom MMC console with the Security Templates snap­in. create a new security template named DC Remote Desktop. Task 1: Create a custom MMC console with the Security Templates snap-in.

Save the changes you made to the template. Create a security policy. Using a Restricted Groups setting. which could then be deployed to all domain controllers by using Group Policy.com domain based on the configuration of NYC­DC1. 2. You will then convert the security policy into a GPO. 4. Results: In this exercise. 58/105 https://skillpipe. configure the template to add SYS_DC Remote Desktop to the Remote Desktop Users group. you will use the Security Configuration Wizard to create a security policy for domain controllers in the contoso. The main tasks for this exercise are as follows: 1. you configured a security template named DC Remote Desktop that adds the SYS_DC Remote Desktop group to the Remote Desktop Users group and gives the SYS_DC Remote Desktop group the user logon right to log on through Remote Desktop Services Exercise 3: Use the Security Configuration Wizard In this exercise.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . Transform a security policy into a Group Policy object.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 3.

 but do not change any settings. On the Role Based Service Configuration section introduction page. and click Next. On the Select Client Features page. 1. On the Select Server page. you can optionally click View Configuration Database and explore the configuration that was discovered on NYC­DC1.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Task 1: Create a security policy. you can optionally explore the settings that were discovered on NYC­DC1. 7. 3. accept the default server name.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 59/105 . https://skillpipe. 5. Click Next. On the Processing Security Configuration Database page. 9. 8. On the Select Server Roles page. On the Welcome to the Security Configuration Wizard page. select Create a new security policy.courseware-marketplace. click Next. and then click Next.Coleman_Admin with the password Pa$$w0rd. 2. Run the in the Administrative Tools folder. 4. with administrative credentials. 6. Use the account Pat. NYC­DC1. Click Next. Click Next. On the Configuration Action page. click Next. you can optionally explore the settings that were discovered on NYC­DC1. but do not change any settings.

 but do not change any settings. https://skillpipe.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 10. select All Services. 13. click Next. Click Next. On the Registry Settings section introduction page. 19. 17. click Next. and compare them with the settings in the Policy Startup Mode column. in the View list. On the Select Additional Services page. On the Select Administration and Other Options page.courseware-marketplace. 14. 16. Click Next. which reflect service startup modes on NYC­DC1.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 60/105 . do not change the default setting. Click Next. 12. but do not change any settings. you can optionally explore the settings that were discovered on NYC­DC1. On the Network Security introduction page. you can optionally examine the firewall rules derived from the configuration of NYC­DC1. On the Handling Unspecified Services page. select Changed Services. On the Confirm Service Changes page. you can optionally explore the settings that were discovered on NYC­DC1. Examine the settings in the Current Startup Mode column. 18. On the Network Security Rules page. Click Next. 11. Click Next. In the View list. Do not change the startup mode of the service. Do not change any settings. 15.

On the Audit Policy section introduction page.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 61/105 . but do not change any of them. 29. Click Add. In the Security Policy File Name text box. On the Save Security Policy section introduction page. On each page of the Registry Settings section. When the Registry Settings Summary page appears. 21. 26. On the Audit Policy Summary page. 27. examine but do not change the settings. click Next. https://skillpipe.courseware-marketplace. and then click Next. Click Next. 28. examine the settings and click Next. 22. Be careful that you add the Documents\Security\Templates\DC Remote Desktop. Click Next.inf file and not the DC Security. On the System Audit Policy page. When you have located and selected the template. Browse to locate the DC Remote Desktop template created in Exercise 2.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 20. 23. examine the settings in the Current Setting and Policy Setting columns. examine the settings. 24. located in the My Documents\Security\Templates folder. click Open. click Next.inf default security template. 25. Click Include Security Templates. click at the end of the file path and type DC Security Policy. Click OK to close the Include Security Templates dialog box.

On the Apply Security Policy page.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 30. and then press Enter. 2. Click Finish. 35. accept the Apply Later default setting. Close the window after you have examined the policy. Type scwcmd transform /?. https://skillpipe. and then click Next. with the username Pat. Click Yes. 32. Type cd c:\windows\security\msscw\policies. Notice that the DC Remote Desktop template is listed in the Templates section. In the Security Configuration Wizard. click Next. Click View Security Policy. 33. Task 2: Transform a security policy into a Group Policy object. 34. and then press Enter. 1. Run the Command Prompt as an administrator.Coleman_Admin and the password Pa$$w0rd. Examine the security policy. 36. You are prompted to confirm the use of the ActiveX control.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 62/105 .courseware-marketplace. 3. 31.

Important Do not shut down the virtual machine after you finish this lab because the settings you have configured here will be used in subsequent labs. https://skillpipe. Use the scwcmd. you will have used the Security Configuration Wizard to create a security policy named DC Security Policy.exe command to transform the security policy named "DC Security Policy. and transformed the security policy to a Group Policy object named DC Security Policy.Coleman_Admin and the password Pa$$w0rd. with the username Pat. Confirm that the BUILTIN\Administrators and CONTOSO\SYS_DC Remote Desktop groups are given the Allow log on through Terminal Services user right. Lab Review Question Question: Describe a situation where you would use both security templates and the Security Configuration Wizard to secure a server. Run Group Policy Management as an administrator. confirm that the CONTOSO\SYS_DC Remote Desktop group is a member of BUILTIN\Remote Desktop Users.xml" to a GPO named "DC Security Policy. 6.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 4. Results: In this exercise.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 63/105 ." 5. Also. Examine the settings of the DC Security Policy GPO.

 which you can then monitor to understand those activities and identify issues that warrant further investigation. Auditing involves up to three management tools: audit policy. It can also log failed and potentially malicious attempts to access enterprise resources. auditing settings on objects. and the Security log.courseware-marketplace. In this lesson. you will learn how to configure auditing to address several common scenarios. Auditing logs specified activities in your enterprise to the Windows Security log.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Lesson 3: Auditing Auditing is an important component of security. Auditing can log successful activities to provide documentation of changes.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 64/105 . https://skillpipe.

 you will be able to: • Configure audit policy. • View the Security log using the Event Viewer snap­in. • Configure auditing settings on file system objects.courseware-marketplace. Overview of Audit Policies https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 65/105 .07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Objectives After completing this lesson.

 Then. a server will not audit those activities. Failure events. If Audit Policy is not enabled. Audit Policies Audit Policy     Default Setting for  66/105 https://skillpipe. Double­click any policy setting and select the Define These Policy Settings check box. you must define the policy setting.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe .courseware-marketplace. select whether to enable auditing of Success events. The following table defines each audit policy and its default settings on a Windows Server 2008 domain controller. or both.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Audit Policy configures a system to audit categories of activities. The following screen shot shows the Audit Policy node of a GPO expanded: To configure auditing.

 but few objects’ SACLs specify audit settings.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Setting    Explanation Windows Server 2008  Domain Controllers Audit Account Logon Events Creates an event when a user or computer attempts to authenticate by using an Active Directory account. In addition to defining the audit policy  with this setting. For example. including the creation.courseware-marketplace. This policy is similar to the  Audit Object Access policy used to audit files and https://skillpipe. When the user connects to a shared folder on the server. Successful account logons are audited. Successful logons are audited. group. if a workstation and a server are configured to audit logon events. Successful directory service access events are audited. the server logs that remote logon. or computer accounts and the resetting of user passwords. For example. the workstation audits a user logging on directly to that workstation. Audit Account Management Audits events. an account logon event is generated. When a user logs on. you must also configure auditing for the specific object or objects by using the SACL  of the object or objects. Audit Directory Service Access Audits events that are specified in the system ACL (SACL). when a user logs on to any computer in the domain. Successful account management activities are audited.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 67/105 . Audit Logon Events Creates an event when a user logs on interactively (locally) to a computer or over the network (remotely). deletion. or modification of user. the domain controller records a logon event because logon scripts and policies are retrieved from the domain controller. which is seen in an Active Directory object’s Properties Advanced Security Settings dialog box.

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

folders, but this policy applies to Active Directory objects. Audit Policy Change Audits changes to user rights assignment policies, audit policies, or trust policies. Audit Privilege Use Audits the use of a privilege or user right. See the explanatory text for this policy in the Group Policy Management Editor (GPME). Audit System Events Audit Process Tracking Audits system restart, shutdown, or changes that affect the system or security log. Audits events such as program activation and process exit. See the explanatory text for this policy in the GPME. Audit Object Access Audits access to objects such as files, folders, registry keys, and printers that have their own SACLs. In addition to enabling this audit policy, you must configure the auditing entries in objects’ SACLs. No events are audited. Successful system events are audited. No events are audited. Successful policy changes are audited. No auditing is performed by default.

As you can see, most major Active Directory events are already audited by domain controllers, assuming that the events are successful. Therefore, the creation of a user, the resetting of a user’s password, the logon to the domain, and the retrieval of a user’s logon scripts are all logged. However, not all failure events are audited by default. You might need to implement additional failure auditing based on your organization’s IT security policies and requirements. Auditing failed account logon events, for example, exposes malicious
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 68/105

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

attempts to access the domain by repeatedly trying to log on as a domain user account without yet knowing the account’s password. Auditing failed account management events can reveal someone attempting to manipulate the membership of a security­sensitive group. One of the most important tasks you must perform is to balance and align the audit policy with your corporate policies and reality. Your corporate policy might state that all failed logons and successful changes to Active Directory users and groups must be audited. That’s easy to achieve in Active Directory. But how, exactly, are you going to use that information? Verbose auditing logs are useless if you don’t know how or don’t have the tools to manage those logs effectively. To implement auditing, you must have the business requirement to audit a well­configured audit policy and the tools with which to manage audited events.

Specify Auditing Settings on a File or a Folder

https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe

69/105

07/06/13

Module 8: Managing Enterprise Security and Configuration with Group Policy Settings

Many organizations elect to audit file system access to provide insight into resource usage and potential security issues. Windows Server 2008 supports granular auditing based on user or group accounts and the specific actions performed by those accounts. To configure auditing, you must complete three steps: specify auditing settings, enable audit policy, and evaluate events in the security log. You can audit access to a file or folder by adding auditing entries to its system access control list (SACL). 1. Open the properties dialog box of the file or folder, and then click the Security tab.
https://skillpipe.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 70/105

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 71/105 . In the Auditing Entry dialog box shown in the following screen shot. 5. Click Add to select the user. indicate the type of access to audit: https://skillpipe.courseware-marketplace. 6. or computer to audit. Click Advanced.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 2. 3. Click Auditing. group. The Advanced Security Settings dialog box of a folder named Confidential Data is shown in the following screen shot: 4. To add an entry. click Edit to open the Auditing tab in Edit mode.

 group.courseware-marketplace. failures. • To monitor access that would suggest users are performing actions greater than https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 72/105 . or computer attempts to access the resource by using one or more of the granular access levels.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings You can audit for successes. or both as the specified user. You can audit successes for the following purposes: • To log resource access for reporting and billing.

• To identify access that is out of character for a particular account. Full Control includes all individual access levels. Auditing entries directs Windows to audit the successful or failed activities of a security principal (user. https://skillpipe. so this entry covers any type of access. • To identify failed attempts to access a file or folder to which a user does require access. If a Consultant group member attempts access of any kind and fails. indicating that permissions are too generous. or computer) to use a specific permission. which might be a sign that a user account has been breached by a hacker. the activity will be logged. This would indicate that the permissions are not sufficient to achieve a business requirement. group. The example in the screenshot of the Auditing Entry dialog box. It does that by configuring an auditing entry for Full Control access. Auditing failed events enables you: • To monitor for malicious attempts to access a resource to which access has been denied.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings what you had planned.courseware-marketplace. shown previously. audits for unsuccessful attempts by users in the Consultants group to access data in the Confidential Data folder at any level.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 73/105 .

 of course. Keep in mind.courseware-marketplace. You would then use auditing to monitor Consultants who nonetheless attempt to access the folder. Specifying to audit the successes and failures on an active data folder for the Everyone group by using Full Control (all permissions) generates enormous audit logs that could affect the performance of the server and make locating a specific audited event almost impossible.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 74/105 . In other words.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Typically. a golden rule for auditing is to configure the bare minimum required to achieve the business task. Because that access will be successful. Therefore. However. Therefore. auditing entries reflect the permission entries for the object. monitor failed access attempts. Enable Audit Policy https://skillpipe. if you really are concerned about keeping users out of a folder and making sure they do not access it in any way. the activity is not logged. that a member of the Consultants group can also belong to another group that does have permission to access the folder. you would configure the Confidential Data folder with permissions that prevent Consultants from accessing its contents. you should also audit successful access to identify situations in which a user is accessing the folder through another group membership that is potentially incorrect. Important Audit logs have the tendency to get quite large rapidly.

 enable auditing.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Configuring auditing entries in the security descriptor of a file or folder does not.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 75/105 . Auditing must be enabled by defining the Audit object access setting shown on the following page: https://skillpipe.courseware-marketplace. in itself.

07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings After auditing is enabled. you must configure the Audit object access policy to audit failures. and you must configure the SACL of the Confidential Data folder to audit failures. The policy setting (shown above) must specify auditing of Success or Failure attempts that match the type of auditing entry in the object’s SACL (shown in the previous topic). If the audit policy audits successes only. The policy setting must be applied to the server that contains the object being audited. or both. Failure events. the failure entries in the folder’s SACL will not https://skillpipe. to log a failed attempt by Consultants to access the Confidential Data folder.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 76/105 . For example. You can define the policy then to audit Success events. You can configure the policy setting in the server’s local GPO or use a GPO scoped to the server. the security subsystem begins to pay attention to the audit settings and log access as directed by those settings.

courseware-marketplace. Note Remember that access that is audited and logged is the combination of the audit entries on specific files and folders and the settings in Audit policy. your audit logs will remain empty. but the policy enables only logging for successes. the system begins to log access according to the audit entries. If you've configured audit entries to log failures.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 77/105 . Evaluate Events in the Security Log After you have enabled the Audit object access policy setting and specified the access you want to audit by using object SACLs.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings trigger logging. You can view the resulting events in the Security log of the https://skillpipe.

 and then 78/105 https://skillpipe. Open the Event Viewer console from Administrative Tools. If required. On the host computer. you must complete the following steps: 1. click Start. you will use the same virtual machine environment used in previous labs.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings server. Lab C: Audit File System Access Lab Setup For this lab.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . Expand Windows Logs\Security.courseware-marketplace. point to Administrative Tools.

 click Connect. Do not log on to the machine until directed to do so. Exercise 1: Configure Permissions and Audit Settings https://skillpipe. and filter for specific events in the Security log. click 6425C­NYC­DC1. 3.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings click Hyper­V Manager. 4. In Hyper­V Manager. Repeat steps 2 and 3 for 6425C­NYC­SVR1. Lab Scenario In this lab. The business objective is to monitor a folder containing confidential data that should not be accessed by users in the Consultants group. click Start.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 79/105 . In the Actions pane.Coleman • Password: Pa$$w0rd • Domain: Contoso 5. 2. you will configure auditing settings.courseware-marketplace. enable audit policies for object access. and in the Actions pane. Wait until the virtual machine starts. Log on by using the following credentials: • User name: Pat.

 create a new global security group named Consultants.Coleman_Admin and the password Pa$$w0rd.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings In this exercise. 5.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 80/105 . you will configure permissions on the Confidential Data folder to deny access to consultants. Configure NTFS permissions that deny the Consultants group all access to the folder. You will then enable auditing of attempts by consultants to access the folder. Create a new folder in \\NYC­SVR1\c$\data called Confidential Data. Task 1: Create and secure a shared folder. Create and secure a shared folder. Switch to NYC­DC1. Add Mike. Run Active Directory Users and Computers as an administrator. 4. with the username Pat. 1. 2. In the Groups\Role OU.Danseglio to the Consultants group. The main tasks for this exercise are as follows: 1. 3. Configure auditing settings on a folder. 6. 2. https://skillpipe.

• Configure auditing settings on the Confidential Data folder to audit for any failed access by the Consultants group.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . Exercise 2: Configure Audit Policy In this exercise. you configured permissions and audit settings for a folder. Run Group Policy Management as an administrator. Results: In this exercise. with the username 81/105 https://skillpipe. Task 1: Enable auditing of file system access by using Group Policy. 1. you will enable auditing of file system access on file servers by using Group Policy.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Task 2: Configure auditing settings on a folder. The main tasks for this exercise are as follows: • Enable auditing of file system access by using Group Policy.

Examine audit event log messages. 2. you will generate audit failure events and then examine the resulting security event log messages. 4. https://skillpipe. Create a new GPO named File Server Auditing. 2. 3. Link the GPO to the Servers\File OU. The main tasks for this exercise are as follows: 1. Results: In this exercise.Coleman_Admin and the password Pa$$w0rd. Exercise 3: Examine Audit Events In this exercise.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Pat.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 82/105 .courseware-marketplace. you configured for auditing of failed access to file system objects on servers in the Servers\File OU. Generate audit events. Configure the GPO to audit for failed object access. Task 1: Generate audit events.

Locate the audit failure events related to Mike Danseglio's access to the Confidential Data folder. 2. Run Event Viewer as an administrator. Log on to NYC­CL1 as Mike. 2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 83/105 . 6. Log off of NYC­SVR1. with the username Pat. Run the Command Prompt as an administrator. 3. 4.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 1. Log on to NYC­SVR1as Pat. You will receive an Access Denied message. Refresh Group Policy to apply the new auditing settings by executing the command gpupdate.Coleman_Admin and the password Pa$$w0rd. Attempt to open \\NYC­SVR1\data\Confidential Data. 3. Switch to NYC­SVR1. Question: What is the Task Category for the event? What is the Event ID? What type of access was attempted? https://skillpipe. 1.courseware-marketplace.Coleman_Admin and the password Pa$$w0rd. Task 2: Examine audit event log messages.Coleman with the password Pa$$w0rd. with the username Pat.Danseglio with the password Pa$$w0rd. 5.exe /force command.

 you validated the auditing of failed access to the Confidential Data folder by members of the Consultants group.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 84/105 . Lab Review Questions Question: What are the three major steps required to configure auditing of file system and other object access? Question: What systems should have auditing configured? Is there a reason not to audit all systems in your enterprise? What types of access should be audited. and by whom should they be audited? Is there a reason not to audit all access by all users? Lesson 4: Software Restriction Policy and Applocker https://skillpipe.courseware-marketplace. Important Do not shut down the virtual machine after you finish this lab because the settings you have configured here will be used in subsequent labs.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Results: In this exercise.

https://skillpipe.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings In a large network environment. one of the challenges of network security is preventing access to unauthorized software on workstations. Objectives After completing this lesson. Software restriction policies and application control polices can be used to control access to software installed on workstations. you will be able to: • Describe Software Restriction Policy. • Describe how to control access to applications by using Application Control Policies.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 85/105 .

 To do their jobs. What Is a Software Restriction Policy? A primary security concern for client computers is the current applications available on each computer. that unneeded or unwanted applications get installed on the client computers.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 86/105 .courseware-marketplace. however.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings • Compare Applocker and Software Restriction Policies • Configure Applocker. whether unintentionally or for malicious or nonbusiness purposes. users need access to the applications that meet their specific needs. https://skillpipe. There is the possibility.

 SRP settings are configured and deployed to clients by using Group Policy. • Zone. Software Restriction Policies (SRPs) allow an administrator to identify and specify which applications are permitted to run on client computers. Rules Rules govern how an SRP responds to an application being run or installed. • Certificate. Rules can be based on one of the following criteria that apply to the primary executable file for the application in question.courseware-marketplace. A software publisher certificate used to digitally sign a file. • Hash. A cryptographic fingerprint of the file. • Path. Security Levels Each applied SRP is assigned a security level that governs the way the operating https://skillpipe. Rules are the key constructs within an SRP. The local or Universal Naming Convention (UNC) path of where the file is stored.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Introduced in the Windows XP® operating system and the Windows Server 2003 operating system. An SRP set comprises the following key components. The Internet zone. and a group of rules together determine how an SRP will respond to applications being run.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 87/105 .

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 88/105 . which governs how the operating system reacts to applications without any SRP rules defined. nonadministrative user. Allows the software identified in the rule to run unrestricted by SRP. The software identified in the rule will not run. All applications will run as if SRP was not enabled. The following three points outline a system default behavior. Default Security Level The way a system behaves in general is determined by the Default Security Level. Allows the software identified in the rule to run as a standard. unless an SRP rule is created to modify this behavior for a specific application or a set of applications. • Basic User. regardless of the permissions of the user who is logged on. unless specifically https://skillpipe. based on the Default Security Level applied in the SRP: • Disallowed. No applications will be allowed to run unless an SRP rule is created that allows each specific application or a set of applications to run. • Basic User.courseware-marketplace. regardless of the access rights of the user. The three available security levels are as follows. • Unrestricted. • Unrestricted. • Disallowed.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings system reacts when the application that is defined in the rule is run. All applications will run under the context of a basic user.

07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings defined by an SRP rule. there are two primary ways to use SRPs: • If an administrator knows all the software that should be allowed to run on clients. the Default Security Level can be set to Unrestricted or Basic User. depending on the security requirements. depending on security requirements. which would use a security level setting of Disallowed.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 89/105 . Software Restriction Policy settings can be found in Group Policy at the following location: Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies. Based on these three components. the Default Security Level can be set to Disallowed. • If an administrator does not have a comprehensive list of the software that should be allowed to run on clients. All applications that should be allowed to run can be identified in SRP rules that would apply either the Basic User or Unrestricted security level to each individual application. Note Software Restriction Policies are not enabled by default in Windows Server 2008 R2.courseware-marketplace. Any applications that should not be allowed to run can then be identified by using SRP rules. https://skillpipe.

 which was introduced in the Windows 7® operating system and Windows Server 2008 R2. provides a number of enhancements that improve upon the functionality previously provided by SRP. AppLocker provides administrators with a https://skillpipe. Application Control Policies represent the next evolution of control over the operations of applications within your domain environment.courseware-marketplace. Application Control Policies are controlled by AppLocker.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Overview of Application Control Policies Note The content in this section only applies to Windows Server 2008 R2.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 90/105 . Applocker.

• The security policy for application usage has changed. individual AppLocker rules can be applied to individual AD DS users or groups.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 91/105 . In addition. and you need to evaluate https://skillpipe. and can selectively restrict ActiveX® controls from being installed. AppLocker also contains options for monitoring or auditing the application of rules. AppLocker can help organizations prevent unlicensed or malicious software from running. AppLocker is applied through Group Policy to computer objects within an organizational unit. so you need to determine the expected usage compared with the actual usage.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings variety of methods for quickly and concisely determining the identity of applications to which they may want to restrict or permit access. both as rules are being enforced and in an audit­only scenario. the following scenarios provide examples of where AppLocker can be used to provide some level of application management: • Your organization implements a policy to standardize the applications used within each business group.courseware-marketplace. Specifically. It can also reduce the total cost of ownership by ensuring that workstations are standardized across their enterprise and that users are running only the software and applications that are approved by the enterprise.

• Your organization's security policy dictates the use of only licensed software. so you need to determine which applications are not licensed or prevent unauthorized users from running licensed software. AppLocker is available in the following editions of Windows: • Windows Server 2008 R2 Standard operating system • Windows Server 2008 R2 Enterprise operating system https://skillpipe.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings where and when those deployed applications are being accessed. and you need to prevent it from being used by everyone. • A new application or a new version of an application is deployed. and you need to allow certain groups to use it. • Specific software tools are not allowed within the organization.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 92/105 . • A single user or a small group of users needs to use a specific application that is denied for all others.courseware-marketplace. or only specific users have access to those tools. • An application is no longer supported by your organization. • Some computers in your organization are shared by people who have different software usage needs.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 93/105 . Compare Applocker and Software Restriction Policies https://skillpipe.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings • Windows Server 2008 R2 Datacenter operating system • Windows Server 2008 R2 for Itanium­based Systems operating system • Windows 7 Ultimate operating system • Windows 7 Enterprise operating system Note Applocker is not enabled by default in Windows Server 2008 R2.

and even the version. the executable level. When creating publisher rules. and file version. file name.courseware-marketplace. https://skillpipe. AppLocker gives you greater flexibility. AppLocker enables you to create a rule that combines a certificate and a product name. Certificate rules in SRP allow you to trust all software signed by a specific publisher; however. it was particularly difficult to create policies that were secure and remained functional after software updates were applied. This was due to the lack of granularity of certificate rules and the fragility of hash rules that became invalid when an application binary was updated. To resolve this issue. you can trust the publisher. and also drill down to the product level. This simplifies your ability to specify that anything signed by a particular vendor for a specific product name can run.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings When implementing SRPs in previous Windows versions.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 94/105 .

 with SRP. The following table outlines other key differences between AppLocker and SRPs. and file version. including the publisher. product name. but they are less granular and more difficult to define. more accessible user interface that is accessed through a new Microsoft Management Console (MMC) snap­in extension to the Group Policy Management Console snap­in. Feature SRP AppLocker 95/105 https://skillpipe.courseware-marketplace.0.0. SRP supports certificate rules. • A more intuitive enforcement model; only a file that is specified in an AppLocker rule is allowed to run. file name. • An audit­only enforcement mode that allows administrators to determine which files will be prevented from running if the policy were in effect.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings For example.” The AppLocker enhancements over the SRP feature can be summarized as follows: • The ability to define rules based on attributes derived from a file’s digital signature. • A new.0. you further refine the rule to specify: “Trust the Microsoft® Office 2007 Suite if it is signed by Microsoft and the version is greater than 12. With AppLocker.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . you can create a rule that effectively reads “Trust all content signed by Microsoft”.

 path. path. publisher Rule types provided Default Rule action Audit only mode Wizard to create multiple rules at one time Policy import or export Rule collection Windows PowerShell® support Custom error messages Allow and Deny Allow and deny No No Allow and Deny Implicit Deny Yes Yes No No No Yes Yes Yes No Yes Implementing AppLocker and SRPs Prior to Windows Server 2008 R2 and Windows 7.courseware-marketplace. registry path. certificate. Internet zone File hash. Windows operating systems were only able to use SRP rules. but not both. This allows you to upgrade an existing implementation to Windows 7 and still take advantage of the SRP rules defined in https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 96/105 . In Windows Server 2008 R2 and Windows 7. you can apply SRP or AppLocker rules.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Rule scope Specific user or group (per Group Policy object [GPO]) Specific users or groups (per rule) Rule conditions provided File hash.

 if you are replacing SRP rules with AppLocker rules. Demonstration: How to Configure Application Control Policies https://skillpipe. only the AppLocker rules are enforced and the SRP rules are ignored. If you implement the AppLocker rules incrementally. all processing of SRP rules stops.courseware-marketplace. you will lose the functionality provided by SRP rules that have not yet been replaced with corresponding AppLocker rules.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings group policies.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 97/105 . Note SRP is still the standard method to restrict software usage in versions of Windows prior to Windows Server 2008 and Windows 7. you must implement all AppLocker rules that you require at one time. Therefore. However. When you add a single AppLocker rule in Windows Server 2008 R2 or Windows 7. if Windows Server 2008 R2 or Windows 7 have both AppLocker and SRP rules applied in a group policy.

 you will see how to: • Create a GPO to enforce the default AppLocker Executable rules.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings In this demonstration. • Apply the GPO to the domain.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . 98/105 https://skillpipe. Open the Group Policy Management Console.courseware-marketplace. Demonstration Steps 1. • Test the AppLocker rule.

3. 5. Lab D: Configure Application Control Policies https://skillpipe.com domain Switch to NYC­CL1. 6.courseware-marketplace. Configure the AppLocker default rules in the GPO. 4. Attempt to open WordPad.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 99/105 . Create a new GPO. Link the GPO to the Contoso.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 2.

 click Start. In the Actions pane. point to Administrative Tools. click Connect. click Start. Wait until the virtual machine starts. you must complete the following steps: 1. and in the Actions pane. and then click Hyper­V Manager. Log on by using the following credentials: • User name: Pat.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 100/105 . you will use the same virtual machine environment used in previous labs. https://skillpipe. Do not log on to the machine until directed to do so. If required. 2. On the host computer. In Hyper­V Manager. Lab Scenario You have been asked to ensure that a widely used application in the environment that has been recently replaced by a new software suite is no longer used at Contoso.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Lab Setup For this lab. Repeat steps 2 and 3 for 6425C­NYC­CL1.courseware-marketplace. 4. Ltd. click 6425C­NYC­DC1. 3.Coleman • Password: Pa$$w0rd • Domain: Contoso 5.

 If necessary.com domain. Previously. Wordpad Restriction Policy. On NYC­DC1. use the account Pat. Create a GPO to enforce the default AppLocker® Executable rules. WordPad was used for word­ processing tasks in the Research department. https://skillpipe. create a new GPO entitled. To encourage users to use the new word­processing capabilities of Office Word 2007. 1. you have been asked to restrict users in the Research department from running WordPad on their computers. in the Group Policy Management console. 3. The main tasks for this exercise are as follows: 1.Coleman_Admin with the password Pa$$w0rd. Apply the GPO to the Contoso.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 101/105 . 2. Ltd on all client computers. Test the AppLocker rule.courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Exercise 1: Configure Application Control Policies Scenario Microsoft Office 2007 has recently been installed in the Research department at Contoso. Task 1: Create a GPO to enforce the default AppLocker Executable rules.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe .brewer with the password. 1. Task 3: Test the AppLocker rule. Edit the new GPO with the following settings: • Application Control Policy: Under Executable Rules.com domain. 3. • Configure Executable rules to be enforced.exe that denies Everyone access to run any version of wordpad. Pa$$w0rd.com domain container. 2. Try to run Start ­ All Programs ­ Accessories – WordPad. 102/105 https://skillpipe. Refresh Group Policy by running gpudate /force from the command prompt.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings 2. Task 2: Apply the GPO to the Contoso. • Configure the Application Identity service to run and set it to Automatic. Restart and then log on to NYC­CL1 as Contoso\Alan.courseware-marketplace. create a new executable publisher rule for C:\Program Files\Windows NT \Accessories\wordpad.exe. • Apply the WordPad Restriction Policy GPO to the Contoso.

courseware-marketplace. https://skillpipe. 4. and then click Revert.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Note The AppLocker policy should restrict you from running this application. 3. Repeat these steps for 6425C­NYC­SVR1 and6425C­NYC­CL1. 2. the application will be restricted. On the host computer. To prepare for the next module When you finish the lab. It may take a few minutes for the policy setting to apply to NYC­ CL1. you restricted an application by using AppLocker.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 103/105 . click Revert. Right­click 6425C­NYC­DC1 in the Virtual Machines list. To do this. After the policy setting is applied. start Hyper­V Manager. Results: In this exercise. complete the following steps: 1. revert the virtual machines to their initial state. log off from NYC­CL1 and log on again. In the Revert Virtual Machine dialog box. If the application runs.

07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Lab Review Question Question: How can you permit access to only a specific set of applications for a set of computers in your environment? Module Review and Takeaways Review Questions 1. Why must AppLocker rules be defined in a GPO separate from SRP rules? 104/105 https://skillpipe. Describe the procedure used to apply a security template to a computer.courseware-marketplace.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe . 2.

courseware-marketplace.07/06/13 Module 8: Managing Enterprise Security and Configuration with Group Policy Settings Windows Server 2008 R2 Features Introduced in This Module Windows Server 2008 R2 feature AppLocker Used to control how users can access and use applications Description https://skillpipe.com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=10&FontSize=3&FontType=segoe 105/105 .