使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目 - AWS 方案指引
Summary先決條件和限制架構工具史詩相關資源附件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目

由 Appasaheb Bagali 建立 (AWS)

Summary

AWS Systems Manager 是 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的遠端管理工具。Systems Manager 提供 Amazon Web Services 上基礎設施的可見性和控制。此多用途工具可用來修正安全性漏洞掃描報告識別為漏洞的 Windows 登錄檔變更。 

此模式涵蓋透過自動化基於環境安全而建議的登錄檔變更,來確保執行 Windows 作業系統之EC2執行個體安全的步驟。模式使用執行命令來執行命令文件。程式碼已連接,且一部分包含在程式碼區段中。

先決條件和限制

  • 作用中AWS帳戶

  • 存取EC2執行個體和 Systems Manager 的許可

架構

目標技術堆疊

  • 虛擬私有雲端 (VPC),具有兩個子網路和網路地址轉譯 (NAT) 閘道

  • 用於新增或更新登錄檔名稱和值的 Systems Manager 命令文件

  • Systems Manager 執行命令以在指定的EC2執行個體上執行命令文件

目標架構

如何使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目。

工具

工具

  • IAM 政策和角色 – AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。

  • Amazon Simple Storage Service – Amazon Simple Storage Service (Amazon S3) 是網際網路的儲存體。此服務旨在降低開發人員進行網路規模運算的難度。在此模式中,會使用 S3 儲存貯體來存放 Systems Manager 日誌。

  • AWS Systems Manager – AWS Systems Manager 是一項AWS服務,可用於在 上檢視和控制您的基礎設施AWS。Systems Manager 透過掃描您的受管執行個體並報告 (或對其採取糾正措施) 偵測到的任何政策違規,來協助您維護安全性和合規性。

  • AWS Systems Manager Command 文件 – AWS Systems Manager Command 文件由 Run Command 使用。Systems Manager 支援的所有 Linux 和 Windows Server 作業系統都支援大多數命令文件。

  • AWS Systems Manager Run Command – AWS Systems Manager Run Command 可讓您遠端安全地管理受管執行個體的組態。使用 Run Command,您可以自動化常見的管理任務,並大規模執行一次性組態變更。

Code

您可以使用下列範例程式碼,將 Microsoft Windows 登錄檔名稱新增至 或更新,將Version登錄檔路徑新增至 HKCU:\Software\ScriptingGuys\Scripts,並將值新增至 2

#Windows registry path which needs to add/update
$registryPath ='HKCU:\\Software\\ScriptingGuys\\Scripts'
#Windows registry Name  which needs to add/update
$Name = 'Version'
#Windows registry value  which needs to add/update
$value = 2
# Test-Path cmdlet to see if the registry key exists. 
IF(!(Test-Path $registryPath))
        {
           New-Item -Path $registryPath -Force | Out-Null
           New-ItemProperty -Path $registryPath -Name $name -Value     $value ` -PropertyType DWORD -                 Force | Out-        Null 
        } ELSE {
                      New-ItemProperty -Path $registryPath -Name $name -Value $value ` -PropertyType            DWORD        -Force | Out-Null
            }
echo 'Registry Path:'$registryPath
 echo 'Registry Name:'$registryPath
 echo 'Registry Value:'(Get-ItemProperty -Path $registryPath -Name $Name).version

已連接完整的 Systems Manager 命令文件 JavaScript 物件標記 (JSON) 程式碼範例。 

史詩

任務描述所需的技能

建立 VPC。

在 AWS 管理主控台上,建立VPC具有公有和私有子網路和NAT閘道的 。如需詳細資訊,請參閱 AWS 文件

雲端管理員

建立安全群組。

確保每個安全群組允許從來源 IP 地址存取遠端桌面通訊協定 (RDP)。

雲端管理員
任務描述所需的技能

建立 IAM 政策。

建立 IAM政策,提供 Amazon S3、Amazon EC2和 Systems Manager 的存取權。

雲端管理員

建立 IAM 角色。

建立 IAM角色,並連接提供 Amazon S3、Amazon EC2和 Systems Manager 存取權IAM的政策。

雲端管理員
任務描述所需的技能

建立 Systems Manager 命令文件。

建立 Systems Manager Command 文件,以部署要新增或更新的 Microsoft Windows 登錄檔變更。

雲端管理員

執行 Systems Manager Run Command。

執行 Systems Manager Run Command,選取 Command 文件和 Systems Manager 目標執行個體。這會將所選命令文件中的 Microsoft Windows 登錄檔變更推送至目標執行個體。

雲端管理員

相關資源

附件

若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip