使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目

創建者：巴加利（AWS）

創建者：AWS	環境：PoC 或試點	技術：雲端原生；基礎架構 DevOps；現代化；安全性、身分識別、合規性；管理與治理
工作量：Microsoft	AWS 服務：AWS Systems Manager

Summary

AWS 系統管理器是亞馬遜彈性運算雲端 (Amazon EC2) 執行個體的遠端管理工具。Systems Manager 可讓您在 Amazon Web Services 上掌握和控制基礎設施。這個多功能工具可用來修正安全性弱點掃描報告識別為弱點的 Windows 登錄變更。 

此模式涵蓋透過自動化登錄變更以確保環境安全而建議的登錄變更，以確保執行 Windows 作業系統的 EC2 執行個體安全的步驟。該模式使用運行命令來運行命令文檔。代碼已附加，其中一部分包含在「代碼」部分中。

先決條件和限制

• 有效的 AWS 帳戶

• 存取 EC2 執行個體和 Systems Manager 的權限

架構

目標技術堆疊

• 具有兩個子網路和一個網路位址轉譯 (NAT) 閘道的虛擬私有雲 (VPC)

• Systems Manager 命令文檔添加或更新註冊表名稱和值

• Systems Manager 運行命令在指定的 EC2 實例上運行命令文檔

目標架構

工具

工具

• IAM 政策和角色 — AWS Identity and Access Management (IAM) 是一種 Web 服務，可協助您安全地控制 AWS 資源的存取。您可以使用 IAM 來控制能通過身分驗證 (登入) 和授權使用資源的 (具有許可) 的人員。

• Amazon 簡單存儲服務 — Amazon Simple Storage Service (Amazon S3) 是互聯網的存儲。此服務旨在降低開發人員進行網路規模運算的難度。在這種模式中，S3 存儲桶用於存儲 Systems Manager 日誌。

• AWS Systems Manager — AWS Systems Manager 是一項 AWS 服務，可讓您在 AWS 上檢視和控制基礎設施。Systems Manager 會掃描您的代管執行個體，並報告偵測到的任何政策違規情況 (或採取修正措施)，協助您維護安全性與合規性。

• AWS Systems Manager 命令文件 — 執行命令使用 AWS Systems Manager 命令文件。系統 Systems Manager 理員支援的所有 Linux 和 Windows 伺服器作業系統都支援大多數指令文件。

• AWS Systems Manager 執行命令 — AWS Systems Manager 執行命令可讓您從遠端安全地管理受管執行個體的組態。使用 Run Command，您可以自動執行一般管理工作，並大規模執行一次性的組態變更。

Code

您可以使用下列範例程式碼，將 Microsoft Windows 登錄名稱Version、登錄路徑和值新增至2。HKCU:\Software\ScriptingGuys\Scripts

#Windows registry path which needs to add/update
$registryPath ='HKCU:\\Software\\ScriptingGuys\\Scripts'
#Windows registry Name  which needs to add/update
$Name = 'Version'
#Windows registry value  which needs to add/update
$value = 2
# Test-Path cmdlet to see if the registry key exists. 
IF(!(Test-Path $registryPath))
        {
           New-Item -Path $registryPath -Force | Out-Null
           New-ItemProperty -Path $registryPath -Name $name -Value     $value ` -PropertyType DWORD -                 Force | Out-        Null 
        } ELSE {
                      New-ItemProperty -Path $registryPath -Name $name -Value $value ` -PropertyType            DWORD        -Force | Out-Null
            }
echo 'Registry Path:'$registryPath
 echo 'Registry Name:'$registryPath
 echo 'Registry Value:'(Get-ItemProperty -Path $registryPath -Name $Name).version

附上完整的 Systems Manager 命令文件 JavaScript 物件符號 (JSON) 程式碼範例。 

史诗

設定 VPC

任務	描述	所需技能
建立 VPC。	在 AWS 管理主控台上，建立具有公有和私有子網路的 VPC 以及 NAT 閘道。如需詳細資訊，請參閱 AWS 文件。	雲端管理員
建立安全性群組。	確定每個安全性群組都允許從來源 IP 位址存取遠端桌面通訊協定 (RDP)。	雲端管理員

建立 IAM 政策和 IAM 角色

任務	描述	所需技能
建立 IAM 政策。	建立可讓您存取 Amazon S3、Amazon EC2 和 Systems Manager 的 IAM 政策。	雲端管理員
建立 IAM 角色。	建立 IAM 角色，並附加可讓您存取 Amazon S3、Amazon EC2 和 Systems Manager 的 IAM 政策。	雲端管理員

執行自動化

任務	描述	所需技能
建立系 Systems Manager 指令文件。	創建一個 Systems Manager 命令文檔，將部署 Microsoft Windows 註冊表更改添加或更新。	雲端管理員
運行系 Systems Manager 運行命令。	運行 Systems Manager 運行命令，選擇命令文檔和 Systems Manager 目標實例。這會將所選命令文件中的 Microsoft Windows 登錄變更推送至目標執行個體。	雲端管理員

相關資源

• AWS Systems Manager

• AWS Systems Manager 文件

• AWS Systems Manager 運行命令

附件

若要存取與此文件相關聯的其他內容，請解壓縮下列檔案：attachment.zip