บันทึก Group Policy Object (GPO) บน Domain Controlller

เริ่มจาก ไปเห็น post เกี่ยวกับ Ransomware ที่ชื่อว่า WannaCry ที่มันแพร่กระจายผ่าน SMB1 บน Windows ที่ไม่ได้รับการ patch update มีผลกระทบในวงกว้าง ถึงขนาดกระทรวงออกหน้าสือมาให้เตรียมรับมือและป้องกัน ก็เลยหาวิธีปิด SMB1 จนเจอวิธีการตั้งค่า GPO เพื่อจัดการกับ SMB1 เพื่อป้องกันเบื้องต้น และ patch update  Server ให้เป็นปัจจุบัน เพื่อปกป้องเครื่องแม่ข่ายที่สำคัญๆ ก่อน

จนล่วงเลยผ่านมา ransomware ก็เงียบๆ ไป วันนี้มีเรื่องของ coin hive ที่มาแรงกว่า แล้วหลายๆ เว็บก็ใช้วิธีนี้ในการหาเงิน ตัวอย่างเช่น upic เว็บฝากรูปขนาดใหญ่ของไทยเรานี่เอง ที่แอบเอา CoinHive มาติดตั้ง เพื่อใช้ CPU ของผู้เข้าชมเว็บ ขุดบิทคอยน์, รวมไปถึงเว็บดูหนังเถื่อน ก็ลงไว้เหมือนกัน เรื่องราวใหญ่โตลง pantip พอโดนจับได้ก็เอา code ออก แต่ส่วนเจ้าแรกนั่น ปิดเว็บหายเข้าไปในกลีบเมฆ

http://www.thaiseoboard.com/index.php/topic,402422.0.html

ต่อมาก็เลยลองหาวิธีติดตั้ง extension เพื่อป้องกัน coin hive นี้ ด้วย GPO

http://woshub.com/how-to-configure-google-chrome-via-group-policies/

แล้วก็เลยเถิดไปจนถึง เจ้า GPO นี้มันสามารถติดตั้ง software บนเครื่อง client ได้ด้วย!! เพียงแค่ Join Domain ความคิดบังเกิดขึ้นมาในหัว

ทดสอบ block extension ด้วย GPO ครั้งแรก ผลลัพท์คือสามารถ block ได้

ตัดภาพมาที่ติดตั้ง software เนื่องจากผม ESET Remote Administration 6.4 อยู่ แต่ว่าไม่สามารถติดตั้งตัว Agent ได้ทุกเครื่อง ทำให้ใน Dashboard ของ ERA มันเห็นแค่ Computer เพียงหลักสิบเท่านั้น ทั้งที่จริงมีเป็นหลักร้อย เลยหาวิธี Deploy ERA Agent บนเครื่องลูกด้วย GPO ก็เจอวิธี deploy แต่ในตัวอย่างก็ทำไว้แค่ x64 เท่านั้น หาต่อ

มีคำแนะนำใน StackOverflow ตามนี้

ได้ทดลองกับ Adobe Acrobat ก่อน

หลุดๆ

. กำลังหาวิธี
. deployment adobe with GPO
. saw YouTube
. learn
. doing
. share on facebok
#memome short note
. เจอ post น่ายินดี
. comment
. เห็นบุคคลหนึ่งใน post
. former น่าสนใจ
. เข้าไปดู business
. อ้าว มี login
. อ้าววว โดน hack ไปแล้ว
. อ้าวว ดูๆๆๆๆ
. ซนๆๆๆๆ
. อ้อเขาก็รู้นีาว่าโดน
. อืม
.
.
.
เชี่ยยยย กูมาถึงจุดนี้แล้ว
มันถลำลึกเกินไป
จนลืมไปแล้วว่าจะทำอะไร
.
.
สรุป หยิบ post it ติดโต๊ะไว้ จะได้รู้ว่าพรุ่งนี้ต้องทำอะไรต่อ
.
เฮ้อ

เมื่อทดลอง deploy Acrobat Reader แล้วลอง gpupdate /force ปรากฏว่ามันไม่ติดตั้งลงบนเครื่อง Computer ที่ตั้ง GPO ไว้ ก็เลยเข้าไปเพิ่มเงื่อนไข

ซึ่งมารู้ที่หลังว่า มันผิด!!

http://www.itninja.com/blog/view/the-guide-to-deploying-software-using-group-policy

http://kudratsapaev.blogspot.com.es/2009/07/loopback-processing-of-group-policy.html

ยังหาคำตอบว่าทำไม deploy แล้ว policy ที่ตั้งค่ามันไม่ทำงาน ลองเทส loopback ลองหลายวิธี จนถึงบางอ้อ

https://social.technet.microsoft.com/Forums/windows/en-US/56e5ccfe-9769-4880-ab0b-b1c2caa503c0/computer-configurations-gpo-not-working?forum=winserverGP

เมื่อปรับ Computer Group OU แล้ว ก็เลยลองเปลี่ยน logon background ด้วยกระไร

https://community.spiceworks.com/topic/1262253-change-windows-10-lock-screen-background-image-gp

 

สรุป

  • จัดระบบ OU ใหม่ ตามความเหมาะสม ขอบคุณคำแนะนำจาก Thaiadmin Group https://www.facebook.com/groups/thaiadmin/permalink/1557252674311418/
  • ได้เอา Computer ที่อยู่ใน default folder มาใส่ใน OU ใหม่ เพื่อให้ GPO ที่ตั้งค่า Computer Configuration สามารถทำงานได้
  • ทดสอบ Update Group Policy ด้วย DC สั่งไป run tskeng บนเครื่อง computer
  • background ที่ตั้ง GPO ไว้ เปลี่ยนได้หมดทุก OS
  • LogOn background เปลี่ยนแค่ Win7 เท่านั้น กับ Win10 บางเครื่อง ส่วนใหญ่ไม่เปลี่ยน
  • สั่งให้ทุกเครื่อง allow port เพื่อให้สามารถ remote เข้าไปได้ ยังไม่ได้สำรวจ แต่เท่าที่ดูก็มีการเปลี่ยนใน firewall
  • อื่นๆ จำไม่ได้