我设置了“仅允许某些应用程序”限制,并意外地将它们应用于所有帐户。现在我只能运行浏览器,无法运行组策略编辑器!
是否有我可以利用的后门?
答案1
发现了一种利用组策略“受限应用程序”功能中明显漏洞的解决方法。只需将可执行文件重命名为受信任应用程序的文件名,即可绕过该策略。
我找到的解决方法如下(您可以使用许多类似/更简单的变体来实现;但它们不行)。希望这对某些人有帮助。
- 将“cmd.exe”的副本重命名为允许的名称,例如“chrome.exe”
- 同时重命名“mmc.exe”的副本
- 使用现在运行的命令行启动管理控制台
- 从管理控制台添加组策略管理单元
- 改正你的粗心大意所犯的错误
一旦重命名,管理控制台将无法从资源管理器运行,因此命令行步骤是必要的。
答案2
我假设您在策略的用户配置部分中设置了软件限制。这里有一些提示:
1. 复制到另一个位置 如果您有基于路径位置的限制,您可以将受限的文件(mmc.exe?)复制到另一个驱动器(或重命名该文件)并尝试从那里运行它。
2. 缓存凭证 如果您有一台之前登录过的计算机或笔记本电脑,请拔下网线并使用缓存的凭据登录(如果允许)。完全登录后(您可能需要等待几分钟),再次插入网线。现在您应该能够访问网络,但策略尚未应用,因此您可以访问所有程序。
3.删除注册表项 所有这些策略限制都存储在注册表中。由于您是管理员,因此您有编辑注册表的权限,因此您应该找到编辑注册表的方法。
您要做的是转到以下注册表项: HKEY_CURRENT_USER\Software\Policies\Microsoft\Safer\CodeIdentifiers\0\paths 并删除此项下的所有项,但项本身保持不变。
如果您无法启动 regedit.exe,您可以启动以下程序:
%windir%\regedit.exe
%windir%\System32\regedt32.exe
%windir%\System32\reg.exe (commandline)
%windir%\SysWOW64\regedit.exe (64bit computer only)
%windir%\SysWOW64\regedt32.exe (64bit computeronly)
%windir%\SysWOW64\reg.exe (64bit computer only, commandline)
否则,请尝试远程访问注册表。
答案3
这听起来很像一个难题。听起来你搞砸了默认域策略。如果我没有记错的话,你几乎被锁定了,因为所有用户都是经过身份验证的用户组的成员,并且除非你从 GPO 上的安全筛选中删除经过身份验证的用户(听起来不像是这样),否则将应用 GPO。我无法想出任何用户/组组合可以让你重新进入 GPMC。据我所知,如果你真的锁定了运行 GPMC 和任何其他程序/可执行文件的能力,那么就没有办法从当前域重新进入。我从来没有遇到过这种情况,所以可能有我不知道的解决方法,但这是我想到的一个解决方法。听起来有点古怪,有点复杂,但我认为它会起作用。如下:
在新的域/林中设置 DC。我将这个域/林称为“新的“我将现有的域/林称为”老的“从现在起。
在新的森林和老的森林。由于您可能无法访问 DNS 控制台老的域中,你应该能够编辑 DC 上的 hosts 文件老的从未加入域的工作站访问域(在提示时提供适当的域凭据)。为新的域(新域的域 DNS 后缀/AD DNS 区域名称)指向新的域。保存文件并重新启动老的DC 将 hosts 文件条目预加载到 DNS 缓存中。这应该是来自老的域/林到新的域/林。在新的域名为老的域。在尝试创建信任之前,请设置 hosts 文件和条件转发器。
从添加管理员帐户新的域/林添加到内置管理员组老的域/林中授予管理员帐户老的域/林中的默认域控制器 GPO 中的“允许本地登录”用户权限新的域/林。在新的DC,然后使用“以不同用户身份运行”或“以...身份运行”(取决于操作系统)新的DC 以管理员身份开设 ADUC老的域和主 ADUC 到老的领域。
在 DC 上运行 GPMC新的森林
首页 GPMC 到老的域/林
取消链接默认域策略老的森林
登录到 DC老的forest 并运行 gpupdate /force,然后查看您现在是否能够运行 GPMC。如果可以,请撤消您锁定自己的所有操作,然后重新链接默认域策略
反向执行上述步骤,然后断开林信任并停用新的域/林
跨森林信任编辑 GPO 是不可能的(据我所知),但如果您按照我列出的步骤操作,应该可以取消链接。
答案4
如何使用 powershell 删除组策略链接。以下是 technet 上的命令参考http://technet.microsoft.com/en-us/library/ee461054.aspx