我遇到过这样一种情况:客户的 SecOps 团队中的某个人更改了 GPO,但并没有承认,因为这导致了相当大的中断。
从受影响服务器上的 Windows 事件日志中,我可以看到事件发生前后的日志:
The Group Policy settings for the computer were processed successfully. New settings from 4 Group Policy objects were detected and applied.
假设该人进行了更改,那么在我们报告中断后撤消了这些更改,有没有办法让我们准确确定所应用的 GPO 策略做了哪些更改?
事件涉及多方,包括两家第三方 MSP。所有人(包括客户的新任安全分析师)都试图利用这种情况,举手投降,说“没有变化”。我们才是被坑的人,因为它影响了我们为客户管理的服务器上运行的服务。因此,如果您对我们如何确定发生了哪些变化有任何想法,我们将不胜感激。
答案1
这取决于情况,如果幸运的话,错误的设置会被困在卷影副本快照中。
就像在 DC 上一样,您可以看到 SYSVOL 卷策略文件夹内的更改。在 GPO 本身上,它将列出上次更改的时间,但更重要的是,如果您有卷影副本,您可能能够看到前后情况。
gpt.ini 列出了版本,在文件夹中,您可以使用文本编辑器检查策略的文件。有些设置很难阅读,但它会给你一个想法。