Mengunci diri saya dari Editor Kebijakan Grup

8

Saya menetapkan batasan 'hanya izinkan aplikasi tertentu' dan secara tidak sengaja menerapkannya di seluruh papan ke semua akun. Sekarang saya dibatasi hanya menjalankan browser dan tidak dapat menjalankan editor kebijakan grup!

Apakah ada pintu belakang yang bisa saya manfaatkan?

windows-7 group-policy Darren
sumber
Di mana Anda menerapkan kebijakan itu? Level domain, level situs, level OU?
HostBits
Saya sebenarnya tidak yakin. Pemahaman saya adalah bahwa saya hanya menerapkannya pada pengguna tetapi bukan administrator.
Darren
Akun administrator domain, jika masih berada di dalam Userswadah harus baik-baik saja karena kebijakan hanya dapat ditautkan ke OU. Yaitu, kecuali Anda membuat perubahan ini ke Kebijakan Domain Default.
jscott
Bisakah Anda masuk ke akun Administrator?
The_aLiEn
Ya. Masalahnya adalah bahwa kebijakan tersebut entah bagaimana telah diterapkan ke akun administrator saya.

Jawaban:

6

Menemukan solusi yang mengeksploitasi lubang yang jelas dalam fitur 'aplikasi terbatas' dari Kebijakan Grup. Dengan hanya mengubah nama executable ke nama file aplikasi tepercaya, Anda dapat mengabaikan kebijakan.

Solusinya saya tiba di bawah (Anda akan banyak varian serupa / sederhana ini untuk bekerja; mereka tidak). Semoga ini bisa membantu seseorang.

  1. Ganti nama salinan 'cmd.exe' menjadi sesuatu yang diizinkan, misalnya 'chrome.exe'
  2. Juga ganti nama salinan 'mmc.exe'
  3. Gunakan baris perintah yang sekarang berfungsi untuk meluncurkan konsol manajemen
  4. Dari konsol manajemen, tambahkan snap-in Kebijakan Grup
  5. Perbaiki kesalahan ceroboh Anda

Konsol manajemen tidak akan berjalan dari explorer setelah diubah namanya, sehingga langkah baris perintah diperlukan.

Darren
sumber
4

Saya menganggap Anda memiliki batasan perangkat lunak di bagian Konfigurasi Pengguna dari kebijakan. Beberapa tips di sini:

1. Salin ke lokasi lain Jika Anda memiliki batasan berdasarkan lokasi jalur, Anda dapat menyalin file yang dibatasi (mmc.exe?) Ke drive lain (atau mengganti nama file) dan mencoba menjalankannya dari sana.

2. Kredensial yang di-cache Jika Anda memiliki komputer atau laptop tempat Anda sebelumnya masuk, cabut kabel jaringan dan masuk dengan kredensial yang di-cache (jika diizinkan). Ketika Anda sepenuhnya logon (Anda mungkin ingin menunggu beberapa menit) pasang kembali kabel jaringan. Sekarang Anda harus dapat mengakses jaringan, tetapi kebijakan belum diterapkan, sehingga Anda dapat mengakses semua program.

3. hapus kunci registri Semua pembatasan kebijakan ini disimpan dalam registri. Karena Anda adalah seorang administrator, Anda memiliki izin untuk mengedit registri, jadi Anda harus menemukan cara untuk mengeditnya.

Apa yang akan Anda lakukan adalah pergi ke kunci registri berikut: HKEY_CURRENT_USER \ Software \ Kebijakan \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ path dan hapus semua kunci di bawah kunci ini, biarkan kunci itu sendiri tidak tersentuh.

Jika Anda tidak dapat memulai regedit.exe, Anda mungkin dapat memulai program berikut:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

Kalau tidak, coba akses registri dari jarak jauh.

ZEDA-NL
sumber
1 & 2 tidak berlaku dalam kasus ini tetapi saya menguji 3 sekarang dan dapat menjalankan reg.exe dari baris perintah dan itu berhasil, terima kasih! Namun saya menemukan cara yang lebih mudah yang ditunjukkan di bawah ini
Darren
Saya senang Anda menemukan solusinya. Mengganti nama file adalah konsep yang sama dengan menyalinnya ke lokasi lain, saya seharusnya menulis 'Salin atau ganti nama' pada langkah pertama. Omong-omong, Anda dapat mencegah 'lubang' jika ingin, dengan menambahkan aturan hash pembatasan perangkat lunak.
ZEDA-NL
Itu terdengar menarik - menyimpan hash MD5 dari perangkat lunak yang diizinkan? Apakah ini di Windows secara default atau apakah memerlukan pihak ke-3?
Darren
2
Aturan hash adalah asli pada Windows 7, Windows 2008 dan Windows 2003 dan mungkin sebelumnya. Cukup pilih 'aturan hash baru' di mana Anda sebelumnya memilih 'aturan jalur baru'. Kelemahannya adalah bahwa itu mungkin berhenti bekerja ketika Anda memperbarui sistem Anda. Anda dapat menggabungkan aturan hash dan aturan jalur.
ZEDA-NL
3

Kedengarannya seperti cukup menangkap 22. Kedengarannya seperti Anda mucked dengan Kebijakan Domain Default oleh suara itu. Jika saya tidak salah, Anda cukup dikunci karena semua pengguna adalah anggota grup Pengguna yang Diotentikasi dan akan menerapkan GPO kecuali Anda menghapus Pengguna yang Diotentikasi dari Pemfilteran Keamanan pada GPO (yang tidak terdengar seperti kasing) . Tidak ada kombinasi pengguna / grup yang dapat saya buat yang akan membuat Anda kembali ke GPMC. Sejauh yang saya lihat, tidak ada cara untuk kembali dari domain saat ini jika Anda benar-benar mengunci kemampuan Anda untuk menjalankan GPMC dan program / eksekusi lainnya. Saya tidak pernah berada dalam skenario ini sehingga mungkin ada cara lain yang tidak saya sadari tetapi inilah solusi yang saya buat. Kedengarannya agak kooky dan sedikit berbelit-belit tapi saya pikir itu akan melakukan trik. Ini dia:

  1. Siapkan DC di Domain / Hutan baru. Saya akan merujuk ke Domain / Hutan ini sebagai " baru " dan saya akan merujuk ke Domain / Hutan yang ada sebagai " lama " sejak saat ini.

  2. Buat kepercayaan antara hutan baru dan hutan lama . Karena Anda mungkin tidak dapat mengakses konsol DNS di domain lama, Anda harus dapat mengedit file host pada DC di domain lama dengan mengaksesnya dari workstation yang bukan domain bergabung (berikan kredensial domain yang sesuai saat diminta). Tambahkan entri untuk domain baru (akhiran DNS domain / nama zona DNS AD dari domain baru) yang menunjuk ke alamat ip server DC / DNS di domain baru . Simpan file dan reboot DC yang lama untuk memuat entri file hosts ke cache DNS. Ini harus menjadi pengganti yang lumayan untuk forwarder bersyarat dari yang lamaDomain / Hutan ke baru domain / Forest. Buat forwarder kondisional yang sesuai di domain baru untuk domain lama . Siapkan file host dan forwarder bersyarat sebelum mencoba membuat kepercayaan.

  3. Tambahkan account Administrator dari baru Domain / Forest untuk kelompok Built-in Administrator di tua Domain / Hutan dengan memberikan account Administrator di tua Domain / Hutan "Izinkan login secara lokal" pengguna tepat di Default Domain Controller GPO di baru Domain / Hutan. Jalankan gpupdate / force pada DC baru dan kemudian gunakan "jalankan sebagai pengguna yang berbeda" atau "jalankan sebagai" (tergantung pada OS) pada DC baru untuk membuka ADUC sebagai Administrator dari domain lama dan home ADUC ke domain lama .

  4. Jalankan GPMC di DC di hutan baru

  5. Rumah GPMC ke tua Domain / Hutan

  6. Putuskan tautan Kebijakan Domain Default di hutan lama

  7. Masuk ke DC di hutan tua dan jalankan gpupdate / force dan lihat apakah Anda sekarang dapat menjalankan GPMC. Jika demikian, batalkan apa pun yang Anda lakukan untuk mengunci diri dan menautkan kembali Kebijakan Domain Default

  8. Balikkan langkah-langkah dari atas dan kemudian hancurkan kepercayaan hutan dan nonaktifkan Domain / Hutan baru

Mengedit GPO di kepercayaan Hutan tidak mungkin (sejauh yang saya tahu) tetapi memutuskan tautannya jika Anda mengikuti langkah-langkah yang telah saya susun.

joeqwerty
sumber
Sementara, secara teori, ini sepertinya bekerja untuk beberapa set-up, saya berbicara tentang satu mesin bukan domain di sini sehingga jawaban ini tidak berlaku. Tapi terima kasih!
Darren
Salahku. Saya pikir ini ada di domain. Lanjutkan.
joeqwerty
Heh, maaf. Saya merasa sangat buruk karena Anda mengalami semua masalah ini. Saya kira saya seharusnya sudah menentukan itu satu mesin mengingat ini adalah Serverfault.
Darren
1

Bagaimana dengan menggunakan PowerShell untuk menghapus tautan kebijakan grup. Inilah referensi perintah pada technet http://technet.microsoft.com/en-us/library/ee461054.aspx

uSlackr
sumber
Mencoba itu tetapi karena pembatasan saya tidak dapat menginstal alat RSAT yang cmdlet Kebijakan Grup butuhkan.
0

Saya tidak tahu apakah Anda bisa menjalankan file .reg ... Windows sangat terkait dengan registri, jadi kebijakan grup ... Itu adalah nilai RestrictRun yang Anda tetapkan menurut saya. Dengan menghapus .reg file, Anda dapat menghapus kunci itu.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Masuk ke akun Anda sendiri. Jalankan file reg ini . Dan Anda harus dapat menjalankan program lain setelah reboot.

Saya tahu itu tidak dapat diterima untuk mengunggah file daripada gambar, tapi saya minta maaf Anda hanya harus mempercayai saya dengan file reg ini, karena Anda tidak dapat membuatnya di atas editor teks apa pun ...

Alien
sumber
0

Menemukan solusi yang mengeksploitasi lubang yang jelas dalam fitur 'aplikasi terbatas' dari Kebijakan Grup. Dengan hanya mengubah nama executable ke nama file aplikasi tepercaya, Anda dapat mengabaikan kebijakan.

Satu-satunya masalah adalah Anda tidak dapat langsung mengakses 'gpedit.msc' dengan mengganti nama: itu tidak akan berfungsi.

Solusinya saya tiba di: (Anda akan mengharapkan varian yang lebih sederhana ini bekerja; tidak)

  1. Ganti nama salinan 'cmd.exe' menjadi sesuatu yang diizinkan, misalnya 'chrome.exe'
  2. Juga ganti nama salinan 'mmc.exe'
  3. Gunakan baris perintah yang sekarang berfungsi untuk meluncurkan konsol manajemen
  4. Dari konsol manajemen, tambahkan snap-in Kebijakan Grup
  5. Perbaiki kesalahan ceroboh Anda

Konsol manajemen tidak akan berjalan dari explorer setelah diubah namanya, sehingga langkah baris perintah diperlukan


sumber
0

FIX SANGAT SEDERHANA

Saya memiliki masalah yang sama dengan secara tidak sengaja mengubah pengaturan sistem di gpedit. Coba perbaikan ini yang saya dapatkan dari Greylox .... Ini berhasil untuk saya.

Klik tombol start, ketik run ke dalam kolom pencarian di bagian bawah popup tekan enter. Di jendela baru masuk%systemroot%\system32\GroupPolicy\User delete registry.pol

Lakukan hal yang sama %systemroot%\system32\GroupPolicy\Machine delete registry.poljika Anda melihatnya, PC saya tidak memilikinya.

Mulai ulang sistem Anda.

Masuk di bawah akun admin, buat pengguna baru dengan hak admin, reboot dan masuk kembali menggunakan akun admin baru.

Klik tombol start, ketik run ke dalam kolom pencarian di bagian bawah popup tekan enter. Ketik gpedit.msc, tekan enter.

Pergi ke Local Computer Policy-> User Configuration-> Administrative Templates-> (klik dua kali) system-> (lihat panel di sebelah kanan dan klik dua kali) run only specified windows applications. Klik tombol radio di sebelah Dinonaktifkan.

San Jac
sumber