隐藏注册表设置

Question 1

根据这篇 TechNet 文章看来，该政策的关键是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

我想不出任何不会推送注册表项的 GPO 设置，因此您可以简单地执行以下操作：

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

没有“隐藏”分支或类似的东西。我不确定你在说什么。如果密钥不存在，则与未配置相同。

Answer

根据这篇 TechNet 文章看来，该政策的关键是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

我想不出任何不会推送注册表项的 GPO 设置，因此您可以简单地执行以下操作：

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

没有“隐藏”分支或类似的东西。我不确定你在说什么。如果密钥不存在，则与未配置相同。

Question 2

我知道我迟到了，但是今天我自己也花了一些时间在这件事上。

这就是我如何获取网络访问设置的值：允许匿名 SID/名称转换

$null = secedit /export /cfg $env:temp/secexport.cfg
$(gc $env:temp/secexport.cfg | Select-String "LSAAnonymousNameLookup").ToString().Split('=')[1].Trim()

0如果已禁用或1已启用，则应返回。

看起来好像没有为这个设置创建任何 regkey，至少我没有办法追踪到它procmon。

Answer

我知道我迟到了，但是今天我自己也花了一些时间在这件事上。

这就是我如何获取网络访问设置的值：允许匿名 SID/名称转换

$null = secedit /export /cfg $env:temp/secexport.cfg
$(gc $env:temp/secexport.cfg | Select-String "LSAAnonymousNameLookup").ToString().Split('=')[1].Trim()

0如果已禁用或1已启用，则应返回。

看起来好像没有为这个设置创建任何 regkey，至少我没有办法追踪到它procmon。

Question 3

更新：这里有一个较新的工具可用：http://blogs.technet.com/b/secguide/archive/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0.aspx

此外，我发现并非所有项目都是通过获取基于注册表的 GPO 来枚举的，而是需要使用 secedit 进行审核，并进行非常具体和复杂的注册表解析以检测与 BigFix 相关的更改。

您可以使用 Microsoft 提供的名为“LGPO_实用程序“

更多详情请阅读： http://blogs.technet.com/b/fdcc/archive/2008/05/07/lgpo-utilities.aspx

此工具可用于设置本地 GPO，但它也可以用来出口所有当前的本地 GPO 保存到一个文本文件。

我使用此工具为许多需要通过本地 GPO 进行设置的事情设置本地 GPO，或者我想要使用本地 GPO 对用户强制执行的设置，但通过 BigFix/IBM Endpoint Manager 部署。

看看这个例子： http://bigfix.me/fixlet/details/3827

我还发布了其他一些例子BigFix.me

这个问题让我想到创建一个任务，设置为每隔几天运行一次，导出所有本地 GPO 设置，以便可以使用 BigFix 分析对其进行审核。

与本地 GPO 注册相关：

与特殊安全相关物品相关：

Answer

更新：这里有一个较新的工具可用：http://blogs.technet.com/b/secguide/archive/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0.aspx

此外，我发现并非所有项目都是通过获取基于注册表的 GPO 来枚举的，而是需要使用 secedit 进行审核，并进行非常具体和复杂的注册表解析以检测与 BigFix 相关的更改。

您可以使用 Microsoft 提供的名为“LGPO_实用程序“

更多详情请阅读： http://blogs.technet.com/b/fdcc/archive/2008/05/07/lgpo-utilities.aspx

此工具可用于设置本地 GPO，但它也可以用来出口所有当前的本地 GPO 保存到一个文本文件。

我使用此工具为许多需要通过本地 GPO 进行设置的事情设置本地 GPO，或者我想要使用本地 GPO 对用户强制执行的设置，但通过 BigFix/IBM Endpoint Manager 部署。

看看这个例子： http://bigfix.me/fixlet/details/3827

我还发布了其他一些例子BigFix.me

这个问题让我想到创建一个任务，设置为每隔几天运行一次，导出所有本地 GPO 设置，以便可以使用 BigFix 分析对其进行审核。

与本地 GPO 注册相关：

与特殊安全相关物品相关：

Question 4

GPO 和注册表项的官方列表如下：Windows 和 Windows Server 的组策略设置参考

这将生成一个很大的 Excel 文件，其中包含如下信息：

计算机
管理模板\系统\用户配置文件将管理员安全组添加到漫游用户配置文件至少 Microsoft Windows XP Professional 或 Windows Server 2003 家族此设置将管理员安全组添加到漫游用户配置文件共享。一旦管理员配置了用户的漫游配置文件，将在用户下次登录时创建配置文件。配置文件在管理员指定的位置创建。对于 Windows 2000 Professional 和 Windows XP Professional 操作系统，新生成的配置文件的默认文件权限是完全控制，即用户具有读写访问权限，而管理员组则无文件访问权限。通过配置此设置，您可以改变此行为。如果启用此设置，管理员组也被授予对用户配置文件文件夹的完全控制权。如果禁用或未配置它，则只有用户被授予对其用户配置文件的完全控制权，管理员组无权访问此文件夹的文件系统。注意：如果在创建配置文件后启用此设置，则此设置无效。注意：此设置必须在客户端计算机（而不是服务器）上配置才能生效，因为客户端计算机在创建漫游配置文件时会设置文件共享权限。注意：在默认情况下，管理员无权访问用户配置文件的文件，但他们仍可拥有此文件夹的所有权，以授予自己文件权限。注意：启用此设置时的行为与 Windows NT 4.0 中的行为完全相同。
HKLM\Software\Policies\Microsoft\Windows\System!AddAdminGroupToRUP

因此，从该文档中找到您想要审核的密钥。

Answer

GPO 和注册表项的官方列表如下：Windows 和 Windows Server 的组策略设置参考

这将生成一个很大的 Excel 文件，其中包含如下信息：

计算机
管理模板\系统\用户配置文件将管理员安全组添加到漫游用户配置文件至少 Microsoft Windows XP Professional 或 Windows Server 2003 家族此设置将管理员安全组添加到漫游用户配置文件共享。一旦管理员配置了用户的漫游配置文件，将在用户下次登录时创建配置文件。配置文件在管理员指定的位置创建。对于 Windows 2000 Professional 和 Windows XP Professional 操作系统，新生成的配置文件的默认文件权限是完全控制，即用户具有读写访问权限，而管理员组则无文件访问权限。通过配置此设置，您可以改变此行为。如果启用此设置，管理员组也被授予对用户配置文件文件夹的完全控制权。如果禁用或未配置它，则只有用户被授予对其用户配置文件的完全控制权，管理员组无权访问此文件夹的文件系统。注意：如果在创建配置文件后启用此设置，则此设置无效。注意：此设置必须在客户端计算机（而不是服务器）上配置才能生效，因为客户端计算机在创建漫游配置文件时会设置文件共享权限。注意：在默认情况下，管理员无权访问用户配置文件的文件，但他们仍可拥有此文件夹的所有权，以授予自己文件权限。注意：启用此设置时的行为与 Windows NT 4.0 中的行为完全相同。
HKLM\Software\Policies\Microsoft\Windows\System!AddAdminGroupToRUP

因此，从该文档中找到您想要审核的密钥。

隐藏注册表设置

答案1

答案2

答案3

与本地 GPO 注册相关：

与特殊安全相关物品相关：

答案4

相关内容