그룹 정책 편집기에서 자신을 잠갔습니다.

8

'특정 응용 프로그램 만 허용'제한을 설정하고 실수로 모든 계정에 적용했습니다. 이제는 브라우저 만 실행하도록 제한되었으며 그룹 정책 편집기를 실행할 수 없습니다!

사용할 수있는 백도어가 있습니까?

windows-7 group-policy

— 대런
소스

그 정책을 어디에 적용 했습니까? 도메인 수준, 사이트 수준, OU 수준?

— HostBits

실제로 확실하지 않습니다. 이해하는 것은 사용자에게만 적용하고 관리자에게는 적용하지 않았다는 것입니다.

— Darren

Users정책이 OU에만 연결될 수 있으므로 도메인 관리자 계정이 컨테이너에 여전히있는 경우 괜찮습니다. 즉, 기본 도메인 정책을 변경하지 않은 경우입니다.

— jscott

관리자 계정으로 로그인 할 수 있습니까?

— The_aLiEn

네. 문제는 정책이 관리자 계정에 어떻게 든 적용되었다는 것입니다.

6

그룹 정책의 '제한된 응용 프로그램'기능에 명백한 허점을 이용하는 해결 방법을 찾았습니다. 실행 파일의 이름을 신뢰할 수있는 응용 프로그램의 파일 이름으로 바꾸면 정책을 무시할 수 있습니다.

내가 도달 한 해결 방법은 다음과 같습니다 (이 유사하고 간단한 변형이 많이 작동하지만 작동하지 않습니다). 잘하면 이것은 누군가를 돕는다.

'cmd.exe'의 사본 이름을 'chrome.exe'와 같이 허용되는 이름으로 바꿉니다.
또한 'mmc.exe'의 사본 이름을 바꿉니다.
현재 작동하는 명령 줄을 사용하여 관리 콘솔을 시작하십시오.
관리 콘솔에서 그룹 정책 스냅인을 추가하십시오.
부주의 한 실수 수정

관리 콘솔은 이름이 바뀌면 탐색기에서 실행되지 않으므로 명령 줄 단계가 필요합니다.

— 대런
소스

4

정책의 사용자 구성 부분에 소프트웨어 제한이 있다고 가정합니다. 여기 몇 가지 팁이 있습니다.

1. 다른 위치로 복사 경로 위치에 따라 제한이있는 경우 제한된 파일 (mmc.exe?)을 다른 드라이브로 복사하거나 파일 이름을 바꾸어 실행할 수 있습니다.

2. 캐시 된 자격 증명 이전에 로그온 한 컴퓨터 또는 랩톱이있는 경우 네트워크 케이블을 분리하고 캐시 된 자격 증명으로 로그온합니다 (허용되는 경우). 완전히 로그온 한 경우 (몇 분 정도 기다릴 수 있음) 네트워크 케이블을 다시 연결하십시오. 이제 네트워크에 액세스 할 수 있지만 정책이 아직 적용되지 않아 모든 프로그램에 액세스 할 수 있습니다.

3. 레지스트리 키 삭제 이러한 모든 정책 제한 사항은 레지스트리에 저장됩니다. 관리자는 레지스트리를 편집 할 수있는 권한이 있으므로 편집 방법을 찾아야합니다.

HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ paths 레지스트리 키로 이동 하여이 키 아래의 모든 키를 삭제하고 키 자체는 그대로 둡니다.

regedit.exe를 시작할 수없는 경우 다음 프로그램을 시작할 수 있습니다.

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

그렇지 않으면 원격으로 레지스트리에 액세스하십시오.

— 제다 -NL
소스

1 & 2는이 경우에는 적용되지 않지만 지금은 3을 테스트했으며 명령 줄에서 reg.exe를 실행할 수 있었고 감사했습니다! 그러나 나는 아래에 더 쉬운 방법을 발견했다

— Darren

해결책을 찾아서 다행입니다. 파일 이름을 바꾸는 것은 다른 위치에 파일을 복사하는 것과 같은 개념이므로 1 단계에서 '복사 또는 이름 바꾸기'를 작성해야합니다. 그런데 소프트웨어 제한 해시 규칙을 추가하여 원하는 경우 '구멍'을 막을 수 있습니다.

— ZEDA-NL

허용 된 소프트웨어의 MD5 해시 저장? Windows의 기본 설정입니까 아니면 타사가 필요합니까?

— 대런

2

해시 규칙은 Windows 7, Windows 2008 및 Windows 2003에서 기본으로 제공되며 이전에는 가능할 수도 있습니다. 이전에 '새 경로 규칙'을 선택한 '새 해시 규칙'을 선택하십시오. 단점은 시스템을 업데이트 할 때 작동이 중지 될 수 있다는 것입니다. 그러나 해시 규칙과 경로 규칙을 결합 할 수 있습니다.

— ZEDA-NL

3

그것은 마치 캐치 22와 비슷합니다. 기본 도메인 정책에 따라 들리는 것처럼 들립니다. 내가 실수하지 않으면 모든 사용자가 인증 된 사용자 그룹의 구성원이므로 GPO의 보안 필터링에서 인증 된 사용자를 제거하지 않는 한 GPO가 적용되기 때문에 꽤 잘 잠겨 있습니다 (사례처럼 들리지 않음). . GPMC로 다시 돌아갈 수있는 사용자 / 그룹 조합이 없습니다. 내가 볼 수있는 한, GPMC 및 기타 프로그램 / 실행 파일을 실행할 수있는 기능을 완전히 차단 한 경우 현재 도메인에서 다시 돌아올 수있는 방법이 없습니다. 나는이 시나리오에 가본 적이 없으므로 그 주위에 내가 알지 못하는 방법이있을 수 있지만 여기에 내가 생각해 낸 해결 방법이 있습니다. 약간 멍청하고 약간 복잡하게 들리지만 트릭을 할 것이라고 생각합니다. 간다 :

새 도메인 / 포리스트에 DC를 설정하십시오. 이 도메인 / 포리스트를 " 신규 "라고 하고이 시점부터 기존 도메인 / 포리스트를 " 오래된 "이라고합니다.
새 포리스트와 이전 포리스트 간에 트러스트를 만듭니다 . 이전 도메인 의 DNS 콘솔에 액세스 할 수 없으므로 도메인에 가입되지 않은 워크 스테이션에서 액세스 하여 이전 도메인 의 DC에서 호스트 파일을 편집 할 수 있어야합니다 (프롬프트가 표시되면 적절한 도메인 자격 증명 제공). 에 대한 항목 추가 새 의 DC / DNS 서버의 IP 주소를 가리키는 도메인 (새 도메인의 도메인 DNS 접미사 / AD DNS 영역 이름) 새로운 도메인을. 파일을 저장하고 이전 DC를 재부팅하여 호스트 파일 항목을 DNS 캐시에 사전로드하십시오. 기존 의 조건부 전달자를 대체 할 수있는 대체품이어야합니다.도메인 / 숲을 새로운 도메인 / 숲으로 이전 도메인 의 새 도메인 에서 해당 조건부 전달자를 작성하십시오 . 신뢰를 작성하기 전에 호스트 파일 및 조건부 전달자를 설정하십시오.
로부터 관리자 계정을 추가 새로운 에 내장 관리자 그룹에 도메인 / 숲 된 에 관리자 계정을 부여하여 도메인 / 숲 된 도메인 컨트롤러가에서 GPO 기본에서 사용자 권한 "로컬 로그온 허용"도메인 / 숲 새를 도메인 / 숲. 온에서 gpupdate / force를 실행 새로운 DC 다음에 (OS에 따라) "으로 실행" "다른 사용자로 실행"를 사용하거나 새 의 관리자로 개방 ADUC에 DC 오래된 받는 도메인 및 홈 ADUC 된 도메인입니다.
새 포리스트 의 DC에서 GPMC를 실행합니다.
기존 도메인 / 포리스트에 홈 GPMC
이전 포리스트 에서 기본 도메인 정책 연결 해제
이전 포리스트 의 DC에 로그온하고 gpupdate / force를 실행 한 다음 GPMC를 실행할 수 있는지 확인하십시오. 그렇다면 자신을 잠그고 기본 도메인 정책을 다시 연결하기 위해 수행 한 모든 작업을 취소하십시오.
위의 단계를 반대로 한 다음 포리스트 트러스트를 해제하고 새 도메인 / 포리스트를 해제하십시오.

포레스트 트러스트에서 GPO를 편집하는 것은 불가능하지만 (내가 아는 한) 연결을 끊은 것은 내가 제시 한 단계를 따르는 경우 여야합니다.

— joeqwerty
소스

이론적으로 이것은 일부 설정에서 작동하는 것처럼 들리지만 여기서는 도메인이 아닌 단일 시스템에 대해 이야기하고 있으므로이 답변은 적용되지 않습니다. 그러나 감사합니다!

— Darren

내 잘못이야. 나는 이것이 도메인에 있다고 생각했다. 그때 계속하십시오.

— joeqwerty

미안 나는 당신이이 모든 문제에 갔다고 정말로 기분이 좋지 않습니다. 이것이 Serverfault라는 점을 고려하여 단일 시스템이라고 지정해야한다고 가정합니다.

— Darren

1

Powershell을 사용하여 그룹 정책 링크를 제거하는 방법은 무엇입니까? technet http://technet.microsoft.com/en-us/library/ee461054.aspx 의 명령 참조는 다음과 같습니다.

— uSlackr
소스

시도했지만 제한 사항으로 인해 그룹 정책 cmdlet에 필요한 RSAT 도구를 설치할 수 없었습니다.

0

.reg 파일을 실행할 수 있는지 모르겠습니다 ... Windows는 레지스트리와 관련이 있으므로 그룹 정책은 ... 설정 한 RestrictRun 값이었습니다. .reg 파일을 제거하면 해당 키를 삭제할 수 있습니다.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

자신의 계정으로 로그인하십시오. 이 reg 파일을 실행하십시오 . 그리고 재부팅 후 다른 프로그램을 실행할 수 있어야합니다.

이미지가 아닌 파일을 업로드하는 것이 허용되지 않는다는 것을 알고 있지만 텍스트 편집기를 통해 파일을 만들 수 없으므로이 reg 파일을 신뢰해야합니다.

— The_aLiEn
소스

0

그룹 정책의 '제한된 응용 프로그램'기능에 명백한 허점을 이용하는 해결 방법을 찾았습니다. 실행 파일의 이름을 신뢰할 수있는 응용 프로그램의 파일 이름으로 바꾸면 정책을 무시할 수 있습니다.

유일한 문제는 이름을 변경하여 'gpedit.msc'에 직접 액세스 할 수 없다는 것입니다. 작동하지 않습니다.

내가 도달 한 해결 방법 : (이 간단한 변형이 작동 할 것으로 예상하지만 작동하지 않습니다)

'cmd.exe'의 사본 이름을 'chrome.exe'와 같이 허용되는 이름으로 바꿉니다.
또한 'mmc.exe'의 사본 이름을 바꿉니다.
현재 작동하는 명령 줄을 사용하여 관리 콘솔을 시작하십시오.
관리 콘솔에서 그룹 정책 스냅인을 추가하십시오.
부주의 한 실수 수정

관리 콘솔은 이름이 바뀌면 탐색기에서 실행되지 않으므로 명령 줄 단계가 필요합니다.

0

매우 간단한 수정

gpedit에서 실수로 시스템 설정을 변경하여 동일한 문제가 발생했습니다. 내가 Greylox에서 얻은이 수정을 시도하십시오 ... 그것은 나를 위해 일했다.

시작 버튼을 클릭하고 팝업 하단의 검색 필드에 run을 입력하고 Enter 키를 누릅니다. 새 창에서%systemroot%\system32\GroupPolicy\User delete registry.pol

당신이 %systemroot%\system32\GroupPolicy\Machine delete registry.pol그것을 볼 때도 똑같이 하십시오, 내 PC에는 없었습니다.

시스템을 재부팅하십시오.

관리자 계정으로 로그인하고 관리자 권한으로 새 사용자를 생성 한 다음 재부팅하고 새 관리자 계정을 사용하여 다시 로그인하십시오.

시작 버튼을 클릭하고 팝업 하단의 검색 필드에 run을 입력하고 Enter 키를 누릅니다. gpedit.msc를 입력하고 Enter를 누르십시오.

에 이동 Local Computer Policy> - User Configuration-> Administrative Templates> (더블 클릭) - system> (오른쪽 두 번 클릭하여 패널의 모양) - run only specified windows applications. 사용 안함 옆에있는 단일 선택 단추를 클릭하십시오.

— 산 자크
소스