LGPO
LGPO est un utilitaire de ligne de commande permettant d’automatiser la gestion de la stratégie de groupe locale.
Dans cette partie, nous allons parcourir certaines des fonctionnalités de LGPO.
Installation
- Commencer par télécharger LGPO.
- Aller sur le site de Microsoft Security Compliance Toolkit comme dans la partie précédante.
- Cocher “LGPO”.
- Cliquer sur “Next”.
- Cliquer sur “OK”.
Nous allons dézipper LGPO :
- Cliquer droit sur LGPO.
- Cliquer sur “Extraire tout…”.
- Cliquer sur “Extraire”.
- Fermer la fenêtre qui s’ouvre.
- Nous avons le contenu suivant dans le dossier dézippé.
- Nous allons pouvoir tester l’exécutable LGPO.exe.
- Pour cela, ouvrir l’invite de commandes.
- Dans un premier temps, nous nous rendons dans le dossier contenant LGPO.exe.
Lorsque nous essayons d’exécuter LGPO.exe, nous avons une erreur.
- Tentons alors d’exécuter le programme depuis la racine.
Nous voyons que ça semble fonctionner. Nous avons un message d’erreur, car nous n’avons pas donné d’arguments et LGPO en a besoin.
Nous allons maintenant pouvoir montrer la puissance de LGPO. Pour cela, nous allons utiliser cet outil pour modifier la politique de sécurité local.
- Nous commençons par exporter la politique de sécurité local avec le flag ‘/b’ permettant d’exporter la politique locale vers une sauvegarde GPO.
- Dans le dossier de la GPO se trouve un fichier registry.pol.
- Une autre commande, ‘/parse’, permet de traduire ce fichier en un fichier .txt.
Ce fichier est désormais facilement modifiable à la main, et nous permet d’ajouter les modifications souhaitées dans le fichier texte.
- Une dernière commande, ‘/t’, permet d’appliquer les changements de politique de sécurité locale à partir d’un fichier texte (modifié manuellement).
Exportation d’une politique locale vers une sauvegarde GPO
Nous allons commencer par exporter la politique de sécurité local en sauvegarde GPO.
- Commencer par créer un dossier qui recevra notre sauvegarde GPO.
- Copier le chemin d’accès à ce dossier.
- Appeler LGPO avec l’argument /b et le chemin d’accès à notre dossier.
Le message qui s’affiche indique que cela a fonctionné.
Nous voyons que dans notre dossier, un nouveau dossier contenant notre GPO est apparu.
Nous allons ajouter un dernier paramètre permettant de gérer plus facilement les différentes sauvegardes. En effet, imaginons que nous voulions utiliser LGPO pour exporter les politiques de sécurité locale de toutes les machines du parc pour les centraliser. Il faudra que nos GPOs aient des noms qui puissent nous permettre de les différencier, sinon nous risquons de ne pas pouvoir utiliser les GPOs.
- Dans un premier temps, créons un nouveau dossier, afin de garder l’ancien et de pouvoir comparer.
- Refaire la même commande en ajoutant le paramètre ‘/n’ suivit du nom que nous voulons donner à la GPO.
À la racine de notre dossier GPO, se trouve le fichier “Backup.xml”.
- Ouvrir ce fichier, regarder le champ “DisplayName”.
Par défaut, le nom est “Local Policy Export”.
Dans notre autre GPO, celle à laquelle nous avons nommé, le champ “DisplayName” contient le nom que nous avons donné à notre GPO.
Dans notre dossier contenant la sauvegarde GPO, nous avons 2 dossiers, un user et une machine. Contenant respectivement la politique de sécurité liée à l’utilisateur et à la machine.
Ils contiennent tous les deux un fichier registry.pol contenant les informations de la politique de sécurité locale.
Pour une raison inconnue, notre fichier ne contient rien si ce n’est le mot “PReg”.
Cela n’est pas normal.
Conversion du fichier .pol en .txt
- Appeler le programme LGPO avec le paramètre “/parse” suivis du chemin d’accès au fichier registry.pol.
A l’endroit du cadre 2, nous devrions trouver le texte décrivant notre politique.
Ici, il est vide car notre registry.pol est vide.
- Afin de pouvoir modifier ce texte pour le retransformer ensuite en politique de sécurité, nous redirigeons ce texte dans un fichier.
- Le fichier rendra donc comme ceci.
Appliquer une politique de sécurité à partir du texte LGPO
Enfin, à partir de ce fichier, nous appliquons une politique de sécurité.
- Appeler le programme LGPO avec le paramètre “/t” suivi du chemin d’accès au fichier texte.
