我设置了“只允许某些应用程序”的限制,并意外地将它们全部应用于所有帐户。 现在我仅限于运行浏览器,无法运行组策略编辑器!
有没有我可以利用的后门?
find一个解决方法,利用组策略的“受限制的应用程序”function中的一个明显的漏洞。 通过简单地将可执行文件重命名为受信任应用程序的文件名,您可以绕过该策略。
我到达的解决方法是(你可能会有许多类似/更简单的变种来工作;他们不)。 希望这有助于某人。
重命名后,pipe理控制台将不会从资源pipe理器运行,因此命令行步骤是必需的。
我假设你在策略的用户configuration部分有软件限制。 这里有一些提示:
1.复制到其他位置如果您有一个基于path位置的限制,可以将受限制的文件(mmc.exe?)复制到另一个驱动器(或重命名该文件),然后尝试从该位置运行该文件。
2.caching的凭据如果您有以前login过的计算机或笔记本电脑,请拔下网线并使用caching的凭据login(如果允许)。 当您完全login时(您可能需要等待几分钟)再次插入networking电缆。 现在你应该可以访问networking,但这些策略还没有被应用,所以你可以访问所有的程序。
3.删除registry项所有这些策略限制都存储在registry中。 由于您是pipe理员,您有权编辑registry,所以您应该find一种方法来编辑它。
你要做的是转到下面的registry项: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ paths并删除这个键下的所有键,保持键本身不变。
如果您无法启动regedit.exe,则可以启动以下程序:
%windir%\regedit.exe %windir%\System32\regedt32.exe %windir%\System32\reg.exe (commandline) %windir%\SysWOW64\regedit.exe (64bit computer only) %windir%\SysWOW64\regedt32.exe (64bit computeronly) %windir%\SysWOW64\reg.exe (64bit computer only, commandline)
否则,请尝试远程访问registry。
这听起来像是一个捕获22.这听起来像你用它的声音与默认域策略混淆。 如果我没有弄错,你会被locking,因为所有的用户都是Authenticated Users组的成员,并且将会应用GPO,除非你从GPO上的Security Filtering中删除了Authenticated Users(听起来不是这样) 。 没有用户/组合,我可以拿出来,会让你回到GPMC。 据我所知,如果你真的locking了运行GPMC和任何其他程序/可执行文件的能力,就没有办法从目前的领域回来了。 我从来没有在这种情况下,所以可能有一种方法,我不知道,但这是一个解决方法,我已经想出了。 这听起来有点怪异,稍微有点复杂,但我认为它会做的伎俩。 开始:
在新的域/林中设置DC。 我将这个域/森林称为“ 新 ”,从这一点我将把现有的域/森林称为“ 老 ”。
在新的森林和旧的森林之间build立信任。 由于您可能无法访问旧域中的DNS控制台,因此您应该可以通过从非域join的工作站(在出现提示时提供相应的域凭据)访问它来编辑旧域中的DC上的主机文件。 为指向新域中DC / DNS服务器的IP地址的新域添加一个条目( 新域的域DNS后缀/ AD DNS区域名称)。 保存该文件并重新引导旧的 DC以将主机文件条目预加载到DNS高速caching中。 这应该是从旧的域/森林到新的域/森林的有条件的货运代理的通行替代品。 在旧域的新域中创build相应的条件转发器。 在尝试创build信任之前设置主机文件和条件转发器。
通过授予旧域/林中的pipe理员帐户在新的默认域控制器GPO中的“允许本地login”用户权限,将新域/林中的pipe理员帐户添加到旧域/林中的内置pipe理员组域/森林。 在新 DC上运行gpupdate / force,然后在新 DC上使用“作为不同用户运行”或“运行方式”(具体取决于操作系统),作为旧域pipe理员以及ADUC 旧域pipe理员打开ADUC。
在新林中的DC上运行GPMC
主页GPMC到旧的域/林
取消旧森林中的默认域策略链接
login到旧林中的DC,然后运行gpupdate / force,然后查看您是否可以运行GPMC。 如果是这样,请撤消您所做的任何操作,将自己locking并重新链接“默认域策略”
颠倒上面的步骤,然后打破森林信任,并停用新的域/森林
编辑整个森林的GPO信任是不可能的(据我所知),但取消它的联系应该是如果你按照我已经制定的步骤。
如何使用PowerShell来删除组策略链接。 以下是technet上的命令参考http://technet.microsoft.com/en-us/library/ee461054.aspx
我不知道你是否可以运行一个.reg文件… Windows是如此registry相关的,所以组策略…这是你设置的RestrictRun值我想。 使用.reg文件删除您可以删除该密钥。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "RestrictRun"=-
login到您自己的帐户。 运行这个reg文件 。 你应该可以在重新启动后运行其他程序。
我知道这是不能接受的上传文件,而不是图像,但对不起,你只需要相信我这个reg文件,因为你不能创build它通过任何文本编辑器…
find一个解决方法,利用组策略的“受限制的应用程序”function中的一个明显的漏洞。 通过简单地将可执行文件重命名为受信任应用程序的文件名,您可以绕过该策略。
唯一的问题是,你不能通过重命名直接访问“gpedit.msc”:它不会工作。
我得到的解决方法:(你会期望这个更简单的变种工作,它不)
重命名后,pipe理控制台将不会从资源pipe理器运行,因此命令行步骤是必需的
非常简单的修复
我有意外更改gpedit中的系统设置,同样的问题。 试试我从Greylox得到的这个修复程序….它为我工作。
点击开始button,在popup的input框底部的search栏inputrun。 在新窗口中input%systemroot%\system32\GroupPolicy\User delete registry.pol
如果你看到它,在%systemroot%\system32\GroupPolicy\Machine delete registry.pol ,我的电脑没有它。
重新启动您的系统。
以pipe理员帐户login,创build具有pipe理员权限的新用户,重新启动并使用新的pipe理员帐户重新login。
点击开始button,在popup的input框底部的search栏inputrun。 inputgpedit.msc,按回车。
转到Local Computer Policy – > User Configuration – > Administrative Templates – >(双击) system – >(在右侧的面板中,双击) run only specified windows applications 。 点击Disabled(禁用)旁边的单选button。