Kun tehdään esimerkiksi tietoturva-kovennuksia Windows-palvelinympäristössä, monesti samat kovennukset halutaan tehdä kaikille- ei vain yhdelle tai tämänhetkisille palvelimille.

Ryhmäkäytännöt (Group Policy Objects tai yleisesti GPO) ovat Windowsin ominaisuus, joka on osa Windowsin Active Directorya. GPO:iden avulla palvelinten ylläpitäjät voivat hallita ja konfiguroida käyttöjärjestelmän asetuksia, sovelluksia ja käyttäjien ympäristöjä keskitetysti Active Directory -palvelussa.

Niitä käytetään yleensä yritysympäristöissä, kouluissa ja muissa organisaatioissa, joissa on tarpeen hallita suuria määriä tietokoneita ja käyttäjiä.

Määrittää asetuksia, kuten taustakuvan, verkkotulostimet tai turvapäivitykset.

Estää tai sallia pääsyn tiettyihin ohjelmiin tai Windowsin ominaisuuksiin.

Konfiguroida tietoturva-asetuksia, kuten palomuuri- ja virustorjuntasäädöksiä.

Hallita käyttäjäprofiileja ja kirjautumisskriptejä.

Avaa ryhmäkäytäntöjen hallinta (Group Policy Management tai gpmc.msc) hakemalla se Windows-napin haulla: 

Laajenna toimialue johon haluat tehdä GPO:n. Tässä tapauksessa evilcorp.local.

Napsauta hiiren kakkospainikkeella organisaatioyksikköä (OU), johon haluat politiikan soveltuvan, ja valitse "Luo uusi GPO tässä toimialueessa ja linkitä se tähän".

Napsauta GPO:ta ja valitse "Muokkaa" avataksesi Group Policy Management Editorin. Täältä voit määrittää käyttäjä- ja tietokonekohtaiset politiikat. Asetukset on jaettu kahteen pääkategoriaan: "Käyttäjän asetukset" ja "Tietokoneen asetukset".

Voit nyt muokata GPO:ta. Esimerkiksi, jos haluat poistaa tehtävienhallinnan (task manager) käytöstä, voit tehdä tämän seuraavasti: 

Käyttäjäasetukset (User Configuration) > Järjestelmäasetukset (Administrative Templates) > Järjestelmä (System) > Ctrl+Alt+Del -vaihtoehdot (Ctrl+Alt+Del Options).

"Poista Tehtävienhallinnan käyttö" (Remove Task Manager).

Kun olet määrittänyt haluamasi asetukset, sulje editori. GPO sovelletaan automaattisesti AD:n määrittelemän aikataulun mukaan, tai voit pakottaa päivityksen käyttämällä komentoa "gpupdate /force" kohdekoneessa.

Avaa PowerShell ja suorita se järjestelmänvalvojana (klikkaa oikealla ja "Run as administrator").

Muutosten pitäisi nyt olla voimassa palvelimella jolla ajoit komennon.

Estä tehtävienhallinnen (task manager) käyttäminen yllä kuvatulla tavalla. Yritä sitten avata se: 

Labra kestää pari minuuttia käynnistyä, odotathan kärsivällisesti ja lisää aikaa tarvittaessa. Sinun ei tarvitse sulkea labraa välissä kun siirryt moduulista toiseen tällä kurssilla. Voit kirjautua RDP:llä palvelimelle tunnuksella "

Windows -harjoittelua

## Mitä ryhmäkäytännöt ovat?

Kun tehdään esimerkiksi tietoturva-kovennuksia Windows-palvelinympäristössä, monesti samat kovennukset halutaan tehdä kaikille- ei vain yhdelle tai tämänhetkisille palvelimille.

Ryhmäkäytännöt (Group Policy Objects tai yleisesti GPO) ovat Windowsin ominaisuus, joka on osa Windowsin Active Directorya. GPO:iden avulla palvelinten ylläpitäjät voivat hallita ja konfiguroida käyttöjärjestelmän asetuksia, sovelluksia ja käyttäjien ympäristöjä keskitetysti Active Directory -palvelussa.

Niitä käytetään yleensä yritysympäristöissä, kouluissa ja muissa organisaatioissa, joissa on tarpeen hallita suuria määriä tietokoneita ja käyttäjiä.

---

## Mitä GPO:illa voi tehdä?

GPO:iden avulla voit muun muassa:

- Määrittää asetuksia, kuten taustakuvan, verkkotulostimet tai turvapäivitykset.
- Estää tai sallia pääsyn tiettyihin ohjelmiin tai Windowsin ominaisuuksiin.
- Konfiguroida tietoturva-asetuksia, kuten palomuuri- ja virustorjuntasäädöksiä.
- Hallita käyttäjäprofiileja ja kirjautumisskriptejä.
- Tehdä muita tietoturvakovennuksia.

---

## Kuinka GPO:ita käytetään?

Avaa ryhmäkäytäntöjen hallinta (Group Policy Management tai gpmc.msc) hakemalla se Windows-napin haulla: 

![](sanity:image-68a5f23c9f3c4d5967c476b18de5a36e4b2c52c5-1500x1276-png)

Laajenna toimialue johon haluat tehdä GPO:n. Tässä tapauksessa evilcorp.local.

![](sanity:image-14eafbde4a8113821683c656d5e3277831f0da02-814x494-png)

### Uuden GPO:n luominen

Napsauta hiiren kakkospainikkeella organisaatioyksikköä (OU), johon haluat politiikan soveltuvan, ja valitse "Luo uusi GPO tässä toimialueessa ja linkitä se tähän".

### Olemassa olevan GPO:n muokkaaminen

Napsauta GPO:ta ja valitse "Muokkaa" avataksesi Group Policy Management Editorin. Täältä voit määrittää käyttäjä- ja tietokonekohtaiset politiikat. Asetukset on jaettu kahteen pääkategoriaan: "Käyttäjän asetukset" ja "Tietokoneen asetukset".

![](sanity:image-0d98824657ecb2089d312e1607ee5c0356d018b2-686x258-png)

![](sanity:image-dd2351944688e6b69d42640997f80f165e469cb0-1392x654-png)

### Uuden säännön määrittäminen

Voit nyt muokata GPO:ta. Esimerkiksi, jos haluat poistaa tehtävienhallinnan (task manager) käytöstä, voit tehdä tämän seuraavasti: 

- Laajenna puurakennetta seuraavasti: **Käyttäjäasetukset (User Configuration) > Järjestelmäasetukset (Administrative Templates) > Järjestelmä (System) > Ctrl+Alt+Del -vaihtoehdot (Ctrl+Alt+Del Options).**

![](sanity:image-70ce45ee208810e2df5aa8f61ddc19d972ea373c-1550x682-png)

- Tuplaklikkaa **"Poista Tehtävienhallinnan käyttö" (Remove Task Manager).**
- Muuta arvoksi "Enabled".

![](sanity:image-45f939b7942bf111dd87ea8ae7745a4ff1bc8470-706x430-png)

- Paina lopuksi "OK".

### Päivitetyn politiikan käyttöönotto

Kun olet määrittänyt haluamasi asetukset, sulje editori. GPO sovelletaan automaattisesti AD:n määrittelemän aikataulun mukaan, tai voit pakottaa päivityksen käyttämällä komentoa "gpupdate /force" kohdekoneessa.

Avaa PowerShell ja suorita se järjestelmänvalvojana (klikkaa oikealla ja "Run as administrator").

![](sanity:image-fe81c080ba7cc00efff00acf420ed60119823236-1204x1294-png)

Aja sitten **gpupdate /force**

![](sanity:image-b0cd041ad1fa9529176506651bc8b1a8bac7921f-882x344-png)

Muutosten pitäisi nyt olla voimassa palvelimella jolla ajoit komennon.

---

## Harjoitus

Estä tehtävienhallinnen (task manager) käyttäminen yllä kuvatulla tavalla. Yritä sitten avata se: 

![](sanity:image-a36516b2a9020ebc719325d3f84a119439dfd618-1710x1290-png)

@exercise 8c0eb23215a1

@exercise af2a1ec3ebcc


Ryhmäkäytännöt (Group Policy Objects / GPO)

Tällä kurssilla käymme läpi perusasioita liittyen Windows -järjestelmien hallintaan ja tietoturvan ylläpitoon.

Tutustumme Windowsin virustorjuntaan, palomuuriin ja automaattisiin päivityksiin. Opettelemme käyttämään etätyöpöytäyhteyksiä, rekisterieditoria, powershellia, server manageria ja ryhmäkäytäntöihin.

Kurssilla ei mennä erityisen syvälle Windows-toimialueisiin, niihin kohdistuviin hyökkäyksiin tai koventamiseen. Näitä edistyneempiä aiheita käsitellään kurssilla "Windows - Hyökkäys ja puolustus".

Ryhmäkäytännöt (Group Policy Objects / GPO)

Mitä ryhmäkäytännöt ovat?

Hakkeroinnin oppiminen alkaa tästä