2006 年 03 月 26日, 星期日

组策略设置不当无法登陆?

组策略设置不当->无法登陆?有招!


在WINMAG杂志上笔者看到了在域环境上如果由于组策略设置不当,在拒绝本地登陆策略里设置了everyone组或管理员组造成管理员无法登陆的解决的办法,但前提似乎要在域环境下,通过在DC上优先策略的发布替换原有策略,从而达到解决问题的目的,那么如果在对等网或单机的情况下该如何解决此类问题呢?在单机下可以解决的话,笔者想就不用区别是否是域环境了,也可以说是通用的方法了。来看看笔者的具体实话过程吧。(本实验全部在虚拟机上完成,磁盘格式为NTFS,系统为XP。)

  首先需要声明的是,在单机环境下,如果在组策略的拒绝本地登陆上直接加入“everyone”或“administrator”是不允许的,会出现如下提示:

             图1:添加“everyone”组时系统拒绝提示

  看来微软也意识到了用户可以会犯这么低级的错误,但令人感到遗憾的是这个功能只是检测“everyone”或管理员,并不检查其它组的组成员,如果某个组包含everyone或管理员的话,系统是允许通过的,于是就造成了问题所在,在实验环境里,笔者新建了一个SLE的组,组成员为“everyone”,如图:

  

确定以后,再运行“组策略”,并在“拒绝本地用户”里添加了“SLE”组,系统并没有给出任何提示,完全通过,如图:

  


   图3:在拒绝本地登陆里添加包含“everyone”组成员的“sle”组

  然后把系统重启,不出所料,当笔者用“administrator”进行登陆时,系统给出了出错提示:

  


          图4:系统拒绝登陆
很明显,如果是在单机环境下,已经没有什么办法可想了,只能转移。笔者先用XP的安装光盘启动,选修复,输入管理员密码后,进入控制台,因为在控制台下,组策略不起作用,所以不会拒绝登陆的,如图:


         图5:进入控制台

  把当前目录切换到“c:windowssystem32”下面,然后把“cmd.exe”拷至其它目录,笔者是拷到了C盘根目录下,然后把“cmd.exe”改名为“logon.scr”,再把这个由“cmd.exe”改名而来的“logon.scr”重新拷到“c:windowssystem32”下,系统提示:“要改写logon.scr吗?”,选择“Yes”,最后输入“exit”退出重启。



   图6:将“cmd.exe”改成“logon.scr”并覆盖原有文件

  启动到登陆画面时,请不要动键盘鼠标,过一会,系统就会启动“logon.scr”的屏保程序,但由于笔者们在前面已经把“cmd.exe”改成了“logon.scr”,所以这回启动的可不是屏保,而是“cmd.exe”,如图:

 图7:系统启动了由“cmd.exe”改名的“logon.scr”

  接下来就方便了,只要输入“gpedit.msc”,就可以启动组策略了:



               图8:运行组策略

  然后笔者再到“用户权利指派”里,双击“拒绝本地登陆”:


 图9:删除包含成员everyone组的sle

  把笔者添加的那个包含“everyone”的组“sle”删除。确定退出,然后再在登陆画面里输入管理员帐号的密码,成功登陆!

  此方法主要是利用了在登陆界面里,如果长时间不动键盘鼠标,则系统自动启动“logon.scr”这一漏洞解决问题的。现在笔者模拟的环境是在知道管理员密码的情况下完成的,如果不知道密码也没有关系,只要用2K PRO的安装光盘启动XP,进入控制台里是不用输入密码的(又是一个安全漏洞),此方法不仅可以解决单机环境下的组策略设置不当问题,还可以破解系统的管理员密码,包括DC在内,希望微软下一系统—Longhorn能避免此类问题,使系统更加安全!


nedlinma 发表于:2006.03.26 22:11 ::分类: ( windows系统 ) ::阅读:(17667次) :: 评论 (0) :: 引用 (0)

如何应用组策略

组策略用于从一个单独的点对多个 Microsoft Active Directory® 目录服务用户和计算机对象进行配置。在默认情况下,策略不仅影响应用该策略的容器中的对象,还影响子容器中的对象。

组策略包含了“计算机配置 | Windows 设置 | 安全设置”下的安全设置。您可将预先配置的安全模板导入策略,来完成对这些设置的配置。

应用组策略

下列步骤显示了如何应用组策略,以及如何向“用户权限分配”添加安全组。

将组策略应用于组织单位或域

1.

依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。

2.

突出显示相关域或组织单位,单击“操作”菜单,选择“属性”。

3.

选择“组策略”选项卡。

注意:每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突,最后应用的策略优先。

4.

单击“新建”创建一个策略,并为其指定有实际意义的名称,如“域策略”。

注意:单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的,而不是为整个容器;“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突,“禁止替代”设置优先。要配置“阻止策略继承”,请选中 OU 属性中的复选框。

组策略可自动更新,但为了立即启动更新过程,可在命令提示符下使用下面的 GPUpdate 命令:

GPUpdate /force

向“用户权限分配”添加安全组

1.

依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。

2.

突出显示相关 OU(如“成员服务器”),单击“操作”菜单,选择“属性”。

3.

单击“组策略”选项卡,选择相关策略(如“成员服务器基准策略”),然后单击“编辑”。

4.

在“组策略对象编辑器”中,依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后突出显示“用户权限分配”。

5.

在右侧窗格中,右键单击相关用户权限。

6.

选中“定义这些策略设置”复选框,单击“添加用户和组”修改该列表。

7.

单击“确定”。

将安全模板导入组策略

下列步骤显示了如何向组策略导入安全模板。

导入安全模板

1.

依次单击“开始”、“管理工具”、“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。

2.

突出显示相关域或 OU,单击“操作”菜单,选择“属性”。

3.

选择“组策略”选项卡。

4.

突出显示相关策略,单击“编辑”。

5.

依次展开“计算机配置”、“Windows 设置”,然后突出显示“安全设置”。

6.

单击“操作”菜单,选择“导入策略”。

7.

导航到 Security GuideJob Aids,选择相关模板,单击“打开”。

8.

在“组策略对象编辑器”中,单击“文件”菜单,选择“退出”。

9.

在容器属性中,单击“确定”。

使用“安全配置和分析”

下列步骤显示了如何使用“安全配置和分析”来导入、分析和应用安全模板。

导入安全模板

1.

依次单击“开始”、“运行”。在“打开”文本框中键入 mmc,然后单击“确定”。

2.

在 Microsoft 管理控制台中,单击“文件”,选择“添加/删除管理单元”。

3.

单击“添加”,突出显示列表中的“安全配置和分析”。

4.

依次单击“添加”、“关闭”、“确定”。

5.

突出显示“安全配置和分析”,单击“操作”菜单,选择“打开数据库”。

6.

键入新的数据库名称(如 Bastion Host),单击“打开”。

7.

在“导入模板”界面中,导航到 Security GuideJob Aids,选择相关模板。单击“打开”。

分析导入的模板并与当前设置比较

1.

突出显示 Microsoft 管理单元中的“安全配置和分析”,单击“操作”菜单,并选择“立即分析计算机”。

2.

单击“确定”,接受默认的“错误日志文件路径”。

3.

完成分析后,展开节点标题对结果进行研究。

应用安全模板

1.

突出显示 Microsoft 管理单元中的“安全配置和分析”,单击“操作”菜单,选择“立即配置计算机”。

2.

单击“确定”,接受默认的“错误日志文件路径”。

3.

在 Microsoft 管理控制台,单击“文件”,然后选择“退出”关闭“安全配置和分析”。


nedlinma 发表于:2006.03.26 21:34 ::分类: ( windows系统 ) ::阅读:(307次) :: 评论 (0) :: 引用 (0)

组策略使用的技巧(1)

需要说明的是“计算机配置”是对整个计算机中的系统配置进行设置的,是对计算机中所有用户的运行环境起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用,步入正题。

1、隐藏电脑的驱动器
位置:用户配置管理模板Windows组件Windows资源管理器

启用后,发现我的电脑里的磁盘驱动器全不见了,但在地址栏输入盘符后,仍然可以访问,如果再把下面的防止从“我的电脑”访问驱动器设置为启用,在地址栏输入盘符就无法访问了,但在运行里直接输入cmd,在Dos下仍然可以看见,接下来就是把CMD命令也禁用了。
位置:用户配置管理模板系统
2、禁用注册表
位置:用户配置管理模板系统
3、禁用控制面板
位置:用户配置管理模板系统
如果你只想显示隐藏某些配置,就选择下面的
如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看WindowsSystem32里以cpl结尾的文件。

4、隐藏文件夹
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:
位置:用户配置管理模板Windows组件Windows资源管理器
5、关闭缩略图缓存
有时我们在文件夹中放过图片,后来移除了,但以缩略图缓存仍然能被其他人读取。
位置:用户配置管理模板Windows组件Windows资源管理器
6、去除开始菜单中的“文档”菜单
开始菜单中的文档一栏,会记载我们曾经编辑过的文档,我们可以去掉这个菜单:
位置:用户配置管理模板Windows组件任务栏和“开始”菜单
7、隐藏‘屏幕保护程序“”选项卡
有时我们设置了屏幕密码保护,但很容易被人修改,我们可以隐藏这一选项。
用户配置管理模板控制面板显示、
8、禁止更改TCP/IP属性
我们设定的IP地址可能会被更改,那么只要关闭它的属性页就可以了。
位置:用户配置管理模板网络网络连接
把下面两项设为启用:
9、删除任务管理器
可别小看了任务管理器,它除了可以终止程序、进程外还可以重启、关机,搜索程序的执行文件名,及更改程序运行的优先顺序。
位置:用户配置管理模板系统C trl+Alt+Del选项
10、禁用“添加/删除程序”
阻止其他用户通过它来安装或卸载程序,可利用组策略来实现。
位置:用户配置管理模板控制面板添加/删除程序
11、禁用IE“工具”菜单下的“Internet选项”
为了阻止别人对IE浏览器设置的随意更改。
位置:用户配置管理模板 Windows组件 Internet Explorer 浏览器菜单
12、只运行许可的Windows应用程序
如果您启用这个设置,用户只能运行您加入“允许运行的应用程序列表”中的程序。
总的来说,组策略功能强大,还有很多功能,就靠你自己慢慢挖搅了,最后补充一下,为了防止其它用户通过组策略来更改我们的设置,可以在System32下把gpedit.msc更名,比如改为myedit.msc,不影响正常使用。


nedlinma 发表于:2006.03.26 21:31 ::分类: ( windows系统 ) ::阅读:(497次) :: 评论 (0) :: 引用 (0)

用组策略限制软件使用

可以设置NT系统平台下的软件运行许可和策略.
必须保证使用NTFS文件系统.保证合理的分配了组策略和用户权限.

具体如下:“开始”:->“运行”输入

“GPEDIT.MSC”

弹出组策略编辑画面.选择 "本地计算机策略"

选择 "WINDOWS设置" => "安全策略" => "软件限制策略"

默认的是 "没有定义软件限制策略"

鼠标右键点选 "软件限制策略" => "创建软件限制策略"

然后会增加一个 "安全级别" 和 "其他策略"

选中 "其他策略" => "新建路径规则"

然后在目录里指向你的软件目录.可以选择 "受限制的" 和 "不受限制"

然后进入CMD命令行.使用:

Gpupdate /Target:computer /force

这行的意思是:强制刷新组策略.
如果还是不行.是由于注册表没有立即更新.重新注销登陆就可以了.

上面的适合于W2K和WIN2003.但是W2K有个问题.
如果修改了软件的文件名.上面的做法就没有用了.
怎么解决呢?说到这里我又要夸WIN2003几句了.
在WIN2003里面有个新的策略.就是哈希算法.
nedlinma 发表于:2006.03.26 21:24 ::分类: ( windows系统 ) ::阅读:(293次) :: 评论 (0) :: 引用 (0)

2006 年 03 月 25日, 星期六

如何删除WIN2000的默认管理共享(C$,D$等)?

win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
如果您想禁止%DriveLetter%$的默认共享,您可以在注册表的以下位置

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters
新建名称:AutoShareServer
类型: REG_DWORD
值: 0
如果您想禁止Admin$的默认共享,您可以在注册表的以下位置
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters
新建名称:AutoShareWks
类型: REG_DWORD
值: 0

默认共享目录路径和功能:

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator 和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录,ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如 c:winnt。
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到
PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机
nedlinma 发表于:2006.03.25 15:50 ::分类: ( windows系统 ) ::阅读:(328次) :: 评论 (0) :: 引用 (0)