服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 隐藏的registry设置
Intereting Posts
AMIs存储在哪里? 如何手动编辑gitoliteconfiguration文件(使用redmine运行) QMail不断closures…如何检查和重新启动? 使用普通邮件服务器的子域的SPF设置 我需要在Windows Server 2012上授予对NetworkService的System32文件夹的访问权限 在path中的sudo问题 如何阻止传出的垃圾邮件 Debian 6 Xen主机上的ATA错误,但磁盘没问题 如何在SQL Server数据库上发生自动增长时获得警报? 托pipe,哪一个select? 共享,VPS,专用,科洛? 为什么在rpmforge中找不到mod_dav_svn 1.6? 尝试使用PRO / 1000 MT在Server 2008 R2上进行NIC组合 运行第二个mysqld实例进行备份还原 Systemd:监督进程XXXX,这不是我们的孩子。 我们很可能不会注意到什么时候退出 Postfix SSL证书validation失败的问题

隐藏的registry设置

场景:我正在对连接到域的服务器执行configuration审计。 对于强制性安全configuration设置,定义了组策略并将其推送到域成员,但不是所有的设置。 其余设置应该通过多个configuration接口之一在服务器上本地定义。 一些设置很容易审核,因为有创build的registry项。 其他…不是那么多。

例如,如果我想检查“networking访问:允许匿名SID /名称转换”设置是否已正确configuration,则必须使用RSOP调用(通过Powershell或其他工具,如BigFix / TEM)。 问题是由本地GPE定义的设置不反映在RSOP中。

所以,最终的问题是:registry中是否存在隐藏的configuration单元以及其他与此类似的设置?

根据这篇TechNet文章 ,看起来有关策略的关键是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

我想不出任何GPO设置不下推registry键,所以你可以简单地做一些事情: 

 reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock

没有“隐藏”的分支或类似的东西。 我不确定你在说什么。 如果密钥不存在,则与未configuration相同。

我知道我迟到了,但是我今天在这里花了一些时间。

这就是我能够获得设置的值networking访问:允许匿名SID /名称翻译 

 $null = secedit /export /cfg $env:temp/secexport.cfg $(gc $env:temp/secexport.cfg | Select-String "LSAAnonymousNameLookup").ToString().Split('=')[1].Trim()

这应该返回0如果禁用, 1如果启用。

看起来没有为这个设置创build一个regkey,至less没有一个我可以跟踪procmon

更新:这里有一个更新的工具: http : //blogs.technet.com/b/secguide/archive/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0。 ASPX

另外,我发现并不是所有的项目都通过获取基于registry的GPO来枚举,而是需要使用secedit来审计和非常特定和复杂的registryparsing来检测BigFix相关性的更改。

您可以使用Microsoft提供的名为“ LGPO_Utilities ”的工具来审核系统上设置的本地GPO

阅读更多信息: http : //blogs.technet.com/b/fdcc/archive/2008/05/07/lgpo-utilities.aspx

此工具可用于设置本地GPO ,但也可用于所有当前本地GPO 导出到文本文件。

我使用此工具来设置本地GPO的许多事情,要么通过本地GPO设置设置,要么使用本地GPO对用户强制执行设置,但通过BigFix / IBM Endpoint Manager进行部署。

看到这个例子: http : //bigfix.me/fixlet/details/3827

我还有其他一些例子,发布到BigFix.me

这个问题给了我一个想法,即创build一个任务,每隔几天运行一次,导出所有本地GPO设置,以便可以通过BigFix分析进行审计。

与本地GPOregistry相关:

涉及特殊安全相关项目:

GPO和registry项的官方列表位于以下位置: 适用于Windows和Windows Server的组策略设置参考

这给了一个大的Excel文件的信息,如:


pipe理模板\系统\用户configuration文件将pipe理员安全组添加到漫游用户configuration文件至lessMicrosoft Windows XP Professional或Windows Server 2003系列此设置将pipe理员安全组添加到漫游用户configuration文件共享。 一旦pipe理员configuration了用户的漫游configuration文件,configuration文件将在用户下次login时创build。 configuration文件在pipe理员指定的位置创build。 对于Windows 2000 Professional和Windows XP Professional操作系统,新生成的configuration文件的默认文件权限是完全控制,或者是对用户的读写访问权限,对于pipe理员组没有文件访问权限。 通过configuration此设置,可以改变这种行为。 如果启用此设置,pipe理员组也将完全控制用户的configuration文件文件夹。 如果禁用或不configuration它,则只有用户完全控制其用户configuration文件,并且pipe理员组对此文件夹没有文件系统访问权限。 注意:如果在创buildconfiguration文件后启用该设置,则该设置不起作用。 注意:必须在客户端计算机上configuration此设置,而不是在服务器上进行configuration,因为客户端计算机在创build时将为漫游configuration文件设置文件共享权限。 注意:在默认情况下,pipe理员对用户的configuration文件没有文件访问权限,但是他们仍然可以拥有该文件夹的所有权以授予他们自己的文件权限。 注意:启用此设置时的行为与Windows NT 4.0中的行为完全相同。
HKLM \ SOFTWARE \政策\微软\ WINDOWS \ SYSTEM!AddAdminGroupToRUP

所以,find你想要从那个文件审计的关键。