使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目

由阿帕薩赫布巴加利(AWS)創建

建立者:AWS

環境:PoC 或試驗

技術:雲端原生;DevOps;基礎架構;現代化;安全性、身分識別、法規遵循;管理與控管

工作負載:微軟

AWS 服務:AWS Systems Manager

Summary

AWS Systems Manager 是 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的遠端管理工具。Systems Manager 提供您在 Amazon Web Services 上的基礎設施的能見度和控制。這個多功能工具可用來修正安全性弱點掃描報告識別為弱點的 Windows 登錄變更。 

此模式涵蓋了執行 Windows 作業系統的 EC2 執行個體安全性的步驟,方法是自動化建議使用的登錄變更,以確保您執行 Windows 作業系統的 EC2 執行個體安全。該模式使用「執行」命令來執行命令文件。代碼已附加,其中的一部分包含在程式碼部分。

先決條件和限制

  • 作用中的 AWS 帳戶

  • 可存取 EC2 執行個體和 Systems Manager 的 AWS Identity and Access Management (IAM) 使用者

Architecture

目標技術堆疊

  • 含兩個子網路和網路位址轉譯 (NAT) 閘道的虛擬私有雲端 (VPC)

  • 新增或更新登錄名稱和值的 Systems Manager 命令文件

  • Systems Manager 執行命令以在指定的 EC2 執行個體上執行命令文件

目標架構

Tools

工具

  • IAM 政策和角色— AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。

  • Amazon Simple Storage Service— Amazon Simple Storage Service (Amazon S3) 是網際網路儲存服務。此服務旨在降低開發人員進行網路規模運算的難度。在此模式中,S3 儲存貯體是用來儲存 Systems Manager 記錄。

  • AWS Systems Manager— AWS Systems Manager 是一種 AWS 服務,可讓您用來檢視和控制 AWS 上的基礎設施。Systems Manager 可協助您透過掃描您的受管執行個體並報告(或對其偵測到的任何策略違規採取更正處理行動)。

  • AWS Systems Manager 指令文件— 執行命令使用 AWS Systems Manager 命令文件。Systems Manager 支援的所有 Linux 和 Windows 伺服器作業系統都支援大部分的命令文件。

  • AWS Systems Manager Run Command— AWS Systems Manager Run Command 可讓您以遠端的方式安全地管理受管執行個體的組態。使用 Run Command (執行指令),您可以自動執行常見的管理工作,並進行大規模的一次

Code

您可以使用下列範例程式碼,將 Microsoft Windows 登錄名稱新增或更新至Version,登錄路徑HKCU:\Software\ScriptingGuys\Scripts,並將值設為2

#Windows registry path which needs to add/update $registryPath ='HKCU:\\Software\\ScriptingGuys\\Scripts' #Windows registry Name  which needs to add/update $Name = 'Version' #Windows registry value  which needs to add/update $value = 2 # Test-Path cmdlet to see if the registry key exists.  IF(!(Test-Path $registryPath))         {            New-Item -Path $registryPath -Force | Out-Null            New-ItemProperty -Path $registryPath -Name $name -Value     $value ` -PropertyType DWORD -                 Force | Out-        Null          } ELSE {                       New-ItemProperty -Path $registryPath -Name $name -Value $value ` -PropertyType            DWORD        -Force | Out-Null             } echo 'Registry Path:'$registryPath  echo 'Registry Name:'$registryPath  echo 'Registry Value:'(Get-ItemProperty -Path $registryPath -Name $Name).version

附加完整的 Systems Manager 指令文件 JavaScript 物件標記法 (JSON) 程式碼範例。 

Epics

任務描述所需技能
建立 VPC。

在 AWS 管理主控台上,建立含公有和私有子網路以及 NAT 閘道的 VPC。如需詳細資訊,請參閱 AWS 文件

雲端管理員
建立安全群組。

確定每個安全性群組都允許從來源 IP 位址存取遠端桌面通訊協定 (RDP)。

雲端管理員
任務描述所需技能
建立 IAM 政策。

建立 IAM 政策,提供 Amazon S3、Amazon EC2 和 Systems Manager 的存取權。

雲端管理員
建立 IAM 角色。

建立 IAM 角色,並附加提供 Amazon S3、Amazon EC2 和 Systems Manager 存取的 IAM 政策。

雲端管理員
任務描述所需技能
建立 Systems Manager 命令文件。

建立 Systems Manager 命令文件,將部署 Microsoft Windows 登錄變更以新增或更新。

雲端管理員
執行 Systems Manager Run Command。

執行 Systems Manager 執行命令,選取命令文件和 Systems Manager 目標執行個體。這會將選取的命令文件中的 Microsoft Windows 登錄變更推送到目標執行個體。

雲端管理員

Attachments

attachment.zip