Me tranquei fora do Editor de Diretiva de Grupo

8

Defino "permitir apenas restrições de certos aplicativos" e as aplico acidentalmente em todas as contas. Agora estou restrito a executar apenas um navegador e não consigo executar o editor de políticas de grupo!

Existe um backdoor que eu possa usar?

windows-7 group-policy Darren
fonte
Onde você aplicou essa política? O nível do domínio, do site, da UO?
HostBits
Na verdade, não tenho certeza. Meu entendimento é que eu estava aplicando apenas aos usuários, mas não aos administradores.
21712 Darren
A conta de administrador do domínio, se ainda residir no Userscontêiner, deve estar correta, pois a política pode estar vinculada apenas às OUs. Ou seja, a menos que você tenha feito essa alteração na Diretiva de Domínio Padrão.
jscott
Você pode fazer login na conta de administrador?
The_aLiEn
Sim. O problema é que a política foi aplicada de alguma forma à minha conta de administrador.

Respostas:

6

Foi encontrada uma solução alternativa que explora um buraco óbvio no recurso de 'aplicativos restritos' da Diretiva de Grupo. Simplesmente renomeando um executável para o nome do arquivo de um aplicativo confiável, você pode ignorar a política.

A solução alternativa que cheguei está abaixo (você pode usar muitas variantes semelhantes / mais simples para funcionar; elas não funcionam). Espero que isso ajude alguém.

  1. Renomeie uma cópia de 'cmd.exe' para algo permitido, por exemplo, 'chrome.exe'
  2. Renomeie também uma cópia do 'mmc.exe'
  3. Use a linha de comando que está funcionando agora para iniciar o console de gerenciamento
  4. No console de gerenciamento, adicione o snap-in Diretiva de Grupo
  5. Corrija seu erro descuidado

O console de gerenciamento não será executado no explorer depois de renomeado, portanto, a etapa da linha de comando é necessária.

Darren
fonte
4

Suponho que você tenha restrições de software na parte de configuração do usuário da política. Algumas dicas aqui:

1. Copiar para outro local Se você tiver uma restrição baseada no local do caminho, poderá copiar o arquivo restrito (mmc.exe?) Para outra unidade (ou renomear o arquivo) e tentar executá-lo a partir daí.

2. Credenciais em cache Se você possui um computador ou laptop no qual efetuou logon anteriormente, desconecte o cabo de rede e faça logon com credenciais em cache (se permitido). Quando você estiver totalmente logado (aguarde alguns minutos), conecte novamente o cabo de rede. Agora você deve poder acessar a rede, mas as políticas ainda não serão aplicadas, para que você possa acessar todos os programas.

3. excluir chaves do registro Todas essas restrições de política são armazenadas no registro. Como você é um administrador, você tem permissões para editar o registro, portanto, você deve encontrar uma maneira de editá-lo.

O que você fará é ir para a seguinte chave do Registro: caminhos HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ e excluir todas as chaves dessa chave, deixando a própria chave intocada.

Se você não conseguir iniciar o regedit.exe, poderá iniciar os seguintes programas:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

Caso contrário, tente acessar o registro remotamente.

ZEDA-NL
fonte
1 e 2 não se aplicam nesse caso, mas eu testei 3 agora e consegui executar o reg.exe na linha de comando e funcionou, obrigado! No entanto eu encontrei uma maneira mais fácil que é mostrado abaixo
Darren
Estou feliz que você encontrou uma solução. Renomear o arquivo é o mesmo conceito que copiá-lo para outro local; eu deveria ter escrito 'Copiar ou renomear' na etapa um. A propósito, você pode impedir o 'buraco', se quiser, adicionando uma regra de hash de restrição de software.
ZEDA-NL
Isso parece interessante - armazenar os hashes MD5 do software permitido? Isso está no Windows por padrão ou requer terceiros?
21712 Darren
2
As regras de hash são nativas no Windows 7, Windows 2008 e Windows 2003 e talvez antes. Basta escolher 'nova regra de hash' onde você escolheu anteriormente 'nova regra de caminho'. A desvantagem é que ele pode parar de funcionar quando você atualiza seu sistema. Você pode combinar regras de hash e regras de caminho.
ZEDA-NL
3

Isso parece bastante difícil 22. Parece que você se interessou pela Política de Domínio Padrão pelos sons dela. Se não me engano, você está bem bloqueado porque todos os usuários são membros do grupo Usuários Autenticados e terão o GPO aplicado, a menos que você tenha removido Usuários Autenticados da Filtragem de Segurança no GPO (o que não parece ser o caso) . Não há uma combinação de usuário / grupo que eu possa trazer de volta ao GPMC. Tanto quanto eu posso ver, não há como voltar do domínio atual se você realmente bloqueou sua capacidade de executar o GPMC e qualquer outro programa / executável. Eu nunca estive nesse cenário, então pode haver uma maneira de contornar isso que eu não conheço, mas aqui está uma solução alternativa que eu criei. Parece um pouco excêntrico e um pouco complicado, mas acho que vai dar certo. Aqui vai:

  1. Configure um controlador de domínio em um novo domínio / floresta. Vou me referir a este domínio / floresta como " novo " e ao domínio / floresta existente como " antigo " a partir deste momento.

  2. Crie uma confiança entre a nova floresta e a floresta antiga . Como você provavelmente não pode acessar o console DNS no domínio antigo, poderá editar o arquivo de hosts em um controlador de domínio no domínio antigo acessando-o de uma estação de trabalho sem domínio (forneça as credenciais de domínio apropriadas quando solicitado). Adicione uma entrada para o novo domínio (o sufixo DNS do domínio / nome da zona DNS do AD do novo domínio) apontando para o endereço IP do servidor DC / DNS no novo domínio. Salve o arquivo e reinicie o controlador de domínio antigo para pré-carregar a entrada do arquivo de hosts no cache DNS. Deve ser um substituto aceitável para um encaminhador condicional do antigoDomínio / Floresta para o novo Domínio / Floresta. Crie o encaminhador condicional correspondente no novo domínio para o domínio antigo . Configure o arquivo hosts e o encaminhador condicional antes de tentar criar a confiança.

  3. Adicione a conta de administrador do novo domínio / floresta ao grupo Administradores internos no antigo domínio / floresta, concedendo à conta de administrador no antigo domínio / floresta o usuário "Permitir logon local" no direito GPO padrão de controladores de domínio no novo Domínio / Floresta. Execute gpupdate / force no novo controlador de domínio e use "executar como usuário diferente" ou "executar como" (dependendo do sistema operacional) no novo controlador de domínio para abrir o ADUC como administrador do domínio antigo e o ADUC doméstico no domínio antigo .

  4. Execute o GPMC no controlador de domínio na nova floresta

  5. GPMC inicial para o antigo domínio / floresta

  6. Desvincular a diretiva de domínio padrão na floresta antiga

  7. Faça logon em um controlador de domínio na floresta antiga , execute gpupdate / force e verifique se agora você pode executar o GPMC. Nesse caso, desfaça o que você fez para se bloquear e vincular novamente a Diretiva de domínio padrão

  8. Inverta as etapas acima e depois quebre a confiança da floresta e desative o novo Domínio / Floresta

Não é possível editar o GPO na floresta (até onde eu sei), mas desvincular isso se você seguir as etapas descritas.

joeqwerty
fonte
Embora, em teoria, isso pareça funcionar para algumas configurações, estou falando de uma única máquina e não de um domínio aqui, então essa resposta não se aplica. Mas obrigada!
Darren
Foi mal. Eu pensei que isso estava em um domínio. Continue então.
joeqwerty
Heh, desculpe. Eu me sinto muito mal por você ter enfrentado todo esse problema. Suponho que deveria ter especificado que era uma única máquina, considerando que isso é Serverfault.
21712 Darren
1

Que tal usar o PowerShell para remover o link da política de grupo. Aqui está a referência de comando no technet http://technet.microsoft.com/en-us/library/ee461054.aspx

uSlackr
fonte
Tentei isso, mas devido às restrições, não consegui instalar as ferramentas RSAT exigidas pelos cmdlets da Diretiva de Grupo.
0

Não sei se você pode executar um arquivo .reg ... O Windows é tão relacionado ao registro, então as políticas de grupo ... Foi o valor RestrictRun que você definiu, eu acho. Com um arquivo .reg de remoção, você pode excluir essa chave.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Entre na sua própria conta. Execute este arquivo de registro . E você deve conseguir executar outros programas após a reinicialização.

Sei que não é aceitável fazer upload de arquivos em vez de imagens, mas lamento que você apenas confie em mim com esse arquivo reg, pois não pode criá-lo sobre nenhum editor de texto ...

O alienígena
fonte
0

Foi encontrada uma solução alternativa que explora um buraco óbvio no recurso de 'aplicativos restritos' da Diretiva de Grupo. Simplesmente renomeando um executável para o nome do arquivo de um aplicativo confiável, você pode ignorar a política.

O único problema é que você não pode acessar diretamente 'gpedit.msc' renomeando-o: ele não funcionará.

A solução alternativa que cheguei: (você esperaria que uma variante mais simples disso funcionasse; não funciona)

  1. Renomeie uma cópia de 'cmd.exe' para algo permitido, por exemplo, 'chrome.exe'
  2. Renomeie também uma cópia do 'mmc.exe'
  3. Use a linha de comando que está funcionando agora para iniciar o console de gerenciamento
  4. No console de gerenciamento, adicione o snap-in Diretiva de Grupo
  5. Corrija seu erro descuidado

O console de gerenciamento não será executado no explorer depois de renomeado, portanto, a etapa da linha de comando é necessária


fonte
0

CORREÇÃO MUITO SIMPLES

Eu tive o mesmo problema ao alterar acidentalmente as configurações do sistema no gpedit. Experimente esta correção que recebi do Greylox ... Funcionou para mim.

Clique no botão Iniciar, digite executar no campo de pesquisa na parte inferior da janela pop-up e pressione Enter. Na nova janela, digite%systemroot%\system32\GroupPolicy\User delete registry.pol

Faça o mesmo %systemroot%\system32\GroupPolicy\Machine delete registry.polse você o vir, meu PC não o possui.

Reinicie seu sistema.

Faça login na conta de administrador, crie um novo usuário com privilégios de administrador, reinicie e faça login novamente usando a nova conta de administrador.

Clique no botão Iniciar, digite executar no campo de pesquisa na parte inferior da janela pop-up e pressione Enter. Digite gpedit.msc, pressione enter.

Vá para Local Computer Policy-> User Configuration-> Administrative Templates-> (clique duas vezes) system-> (procure no painel à direita e clique duas vezes) run only specified windows applications. Clique no botão de opção ao lado de Desativado.

San Jac
fonte