使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目 - AWS 方案指引
Summary先決條件和限制架構工具史詩相關資源附件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目

由 Appasaheb Bagali 建立 (AWS)

環境:PoC 或試行

技術:管理與治理 CloudNative; DevOps;基礎設施;現代化;安全性、身分、合規

工作負載:Microsoft

AWS 服務:AWSSystems Manager

Summary

AWS Systems Manager 是 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的遠端管理工具。Systems Manager 提供對 Amazon Web Services 上基礎設施的可見性和控制。此多用途工具可用於修正安全漏洞掃描報告識別為漏洞的 Windows 登錄檔變更。 

此模式涵蓋透過自動化基於環境安全而建議的登錄檔變更,來確保執行 Windows 作業系統之EC2執行個體安全的步驟。此模式使用執行命令來執行命令文件。程式碼已連接,且一部分包含在程式碼區段中。

先決條件和限制

  • 作用中AWS帳戶

  • 存取EC2執行個體和 Systems Manager 的許可

架構

目標技術堆疊

  • 具有兩個子網路和網路地址轉譯 (VPC) 閘道的虛擬私有雲端 (NAT)

  • 用於新增或更新登錄檔名稱和值的 Systems Manager 命令文件

  • Systems Manager 執行命令以在指定的EC2執行個體上執行命令文件

目標架構

如何使用 AWS Systems Manager 自動新增或更新 Windows 登錄項目。

工具

工具

  • IAM 政策和角色 – AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制誰經過驗證 (登入) 和授權 (具有許可) 來使用 資源。

  • Amazon Simple Storage Service – Amazon Simple Storage Service (Amazon S3) 是網際網路的儲存體。此服務旨在降低開發人員進行網路規模運算的難度。在此模式中,S3 儲存貯體用於存放 Systems Manager 日誌。

  • AWS Systems Manager – AWS Systems Manager 是一項AWS服務,可用於在 上檢視和控制您的基礎設施AWS。Systems Manager 透過掃描您的受管執行個體並報告 (或對偵測到的任何政策違規採取糾正措施),協助您維護安全性和合規性。

  • AWS Systems Manager 命令文件 – AWS Systems Manager 命令文件由 Run Command 使用。Systems Manager 支援的所有 Linux 和 Windows Server 作業系統都支援大多數命令文件。

  • AWS Systems Manager Run Command – AWS Systems Manager Run Command 可讓您遠端安全地管理受管執行個體的組態。您可以使用 Run Command 自動化常見的管理任務,並大規模執行一次性組態變更。

Code

您可以使用下列範例程式碼,將 Microsoft Windows 登錄檔名稱新增至 或更新至 Version、將登錄檔路徑新增至 HKCU:\Software\ScriptingGuys\Scripts,並將值新增至 2

#Windows registry path which needs to add/update
$registryPath ='HKCU:\\Software\\ScriptingGuys\\Scripts'
#Windows registry Name  which needs to add/update
$Name = 'Version'
#Windows registry value  which needs to add/update
$value = 2
# Test-Path cmdlet to see if the registry key exists. 
IF(!(Test-Path $registryPath))
        {
           New-Item -Path $registryPath -Force | Out-Null
           New-ItemProperty -Path $registryPath -Name $name -Value     $value ` -PropertyType DWORD -                 Force | Out-        Null 
        } ELSE {
                      New-ItemProperty -Path $registryPath -Name $name -Value $value ` -PropertyType            DWORD        -Force | Out-Null
            }
echo 'Registry Path:'$registryPath
 echo 'Registry Name:'$registryPath
 echo 'Registry Value:'(Get-ItemProperty -Path $registryPath -Name $Name).version

已連接完整的 Systems Manager 命令文件 JavaScript 物件記號 (JSON) 程式碼範例。 

史詩

任務描述所需的技能

建立 VPC。

在 AWS 管理主控台上,建立VPC具有公有和私有子網路和NAT閘道的 。如需詳細資訊,請參閱 AWS 文件

雲端管理員

建立安全群組。

確保每個安全群組允許從來源 IP 地址存取遠端桌面通訊協定 (RDP)。

雲端管理員
任務描述所需的技能

建立IAM政策。

建立提供 Amazon S3、Amazon EC2和 Systems Manager 存取權IAM的政策。

雲端管理員

建立 IAM 角色。

建立IAM角色,並連接提供 Amazon S3、Amazon EC2和 Systems Manager 存取權IAM的政策。

雲端管理員
任務描述所需的技能

建立 Systems Manager 命令文件。

建立 Systems Manager Command 文件,以部署要新增或更新的 Microsoft Windows 登錄檔變更。

雲端管理員

執行 Systems Manager Run Command。

執行 Systems Manager Run Command,選取 Command 文件和 Systems Manager 目標執行個體。這會將所選命令文件中的 Microsoft Windows 登錄檔變更推送至目標執行個體。

雲端管理員

相關資源

附件

若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip