Tự nhốt mình khỏi Trình chỉnh sửa chính sách nhóm

Tôi đặt 'chỉ cho phép các hạn chế của một số ứng dụng nhất định và vô tình áp dụng chúng trên bảng cho tất cả các tài khoản. Bây giờ tôi bị hạn chế chỉ chạy trình duyệt và không thể chạy trình chỉnh sửa chính sách nhóm!

Có một cửa hậu tôi có thể sử dụng?

Đã tìm thấy một cách giải quyết khai thác lỗ hổng rõ ràng trong tính năng 'ứng dụng bị hạn chế' của Chính sách nhóm. Chỉ cần đổi tên tệp thực thi thành tên tệp của ứng dụng đáng tin cậy, bạn có thể bỏ qua chính sách.

Cách giải quyết mà tôi đã đưa ra là bên dưới (bạn sẽ có nhiều biến thể tương tự / đơn giản hơn để làm việc này; chúng không hoạt động). Hy vọng điều này sẽ giúp được ai đó.

1. Đổi tên một bản sao của 'cmd.exe' thành một cái gì đó được cho phép, ví dụ 'chrome.exe'
2. Đồng thời đổi tên một bản sao của 'mmc.exe'
3. Sử dụng dòng lệnh hiện hoạt động để khởi chạy bảng điều khiển quản lý
4. Từ bảng điều khiển quản lý, thêm phần đính vào Chính sách nhóm
5. Sửa lỗi bất cẩn của bạn

Bảng điều khiển quản lý sẽ không chạy từ explorer sau khi được đổi tên, vì vậy bước dòng lệnh là cần thiết.

Tôi giả sử bạn có các hạn chế phần mềm trong phần Cấu hình người dùng của chính sách. Một vài lời khuyên ở đây:

1. Sao chép sang một vị trí khác Nếu bạn có một hạn chế dựa trên vị trí đường dẫn, bạn có thể sao chép tệp bị hạn chế (mmc.exe?) Sang một ổ đĩa khác (hoặc đổi tên tệp) và thử chạy nó từ đó.

2. Thông tin lưu trong bộ nhớ cache Nếu bạn có máy tính hoặc máy tính xách tay nơi bạn đã đăng nhập trước đó, hãy rút cáp mạng và đăng nhập bằng thông tin đăng nhập được lưu trong bộ nhớ cache (nếu được phép). Khi bạn đã đăng nhập đầy đủ (bạn có thể muốn đợi trong vài phút), hãy cắm lại cáp mạng. Bây giờ bạn sẽ có thể truy cập mạng, nhưng các chính sách sẽ chưa được áp dụng, vì vậy bạn có thể truy cập tất cả các chương trình.

3. xóa khóa đăng ký Tất cả những hạn chế chính sách này được lưu trữ trong sổ đăng ký. Vì bạn là quản trị viên nên bạn có quyền chỉnh sửa sổ đăng ký, vì vậy bạn nên tìm cách chỉnh sửa sổ đăng ký.

Những gì bạn sẽ làm là đi tới khóa đăng ký sau: HKEY_CURRENT_USER \ Software \ Chính sách \ Microsoft \ Safer \ CodeIdentifier \ 0 \ và xóa tất cả các khóa bên dưới khóa này, không để lại khóa.

Nếu bạn không thể khởi động regedit.exe, bạn có thể bắt đầu các chương trình sau:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

Nếu không hãy thử truy cập vào sổ đăng ký từ xa.

Nghe có vẻ khá hấp dẫn 22. Nghe có vẻ như bạn bị nhầm lẫn với Chính sách miền mặc định bởi âm thanh của nó. Nếu tôi không nhầm thì bạn đã bị khóa khá tốt vì tất cả người dùng là thành viên của nhóm Người dùng được xác thực và sẽ áp dụng GPO trừ khi bạn xóa Người dùng xác thực khỏi Bộ lọc bảo mật trên GPO (không giống như trường hợp) . Không có kết hợp người dùng / nhóm mà tôi có thể đưa ra sẽ đưa bạn trở lại GPMC. Theo như tôi có thể thấy, không có cách nào để quay lại từ tên miền hiện tại nếu bạn thực sự khóa khả năng chạy GPMC và bất kỳ chương trình / chương trình thực thi nào khác. Tôi chưa bao giờ ở trong kịch bản này vì vậy có thể có một cách xung quanh nó mà tôi không biết nhưng đây là một cách giải quyết mà tôi đã đưa ra. Nghe có vẻ hơi kooky và hơi phức tạp nhưng tôi nghĩ nó sẽ làm được điều đó. Đây là:

1. Thiết lập một DC trong Miền / Rừng mới. Tôi sẽ gọi Miền / Rừng này là " mới " và tôi sẽ gọi Miền / Rừng hiện tại là " cũ " từ thời điểm này trở đi.

2. Tạo niềm tin giữa rừng mới và rừng cũ . Vì có thể bạn không thể truy cập bảng điều khiển DNS trong miền cũ, nên bạn có thể chỉnh sửa tệp máy chủ trên DC trong miền cũ bằng cách truy cập nó từ máy trạm không tham gia miền (cung cấp thông tin xác thực tên miền phù hợp khi được nhắc). Thêm một mục nhập cho tên miền mới (hậu tố DNS tên miền / tên vùng AD AD của tên miền mới) trỏ đến địa chỉ IP của máy chủ DC / DNS trong tên miền mới . Lưu tệp và khởi động lại DC cũ để tải trước mục nhập tệp máy chủ vào bộ đệm DNS. Đây phải là một thay thế có thể vượt qua cho một giao nhận có điều kiện từ cũMiền / Forest đến mới miền / Forest. Tạo trình chuyển tiếp có điều kiện tương ứng trong miền mới cho miền cũ . Thiết lập tệp máy chủ và chuyển tiếp có điều kiện trước khi cố gắng tạo lòng tin.

3. Thêm tài khoản Administrator từ mới Domain / Forest vào nhóm Builtin Administrators trong cũ Domain / Forest bằng cách cấp tài khoản Administrator trong cũ Domain / Rừng "Cho phép đăng nhập cục bộ" sử dụng ngay trong Default Domain Controller GPO trong mới Miền / Rừng. Chạy gpupdate / force trên DC mới và sau đó sử dụng "run as other user" hoặc "run as" (tùy theo HĐH) trên DC mới để mở ADUC với tư cách Quản trị viên của miền cũ và ADUC tại nhà cho miền cũ .

4. Chạy GPMC trên DC trong khu rừng mới

5. Trang chủ GPMC đến Miền / Rừng cũ

6. Bỏ liên kết Chính sách miền mặc định trong khu rừng cũ

7. Đăng nhập vào một DC trong khu rừng cũ và chạy gpupdate / force và sau đó xem bây giờ bạn có thể chạy GPMC không. Nếu vậy, hãy hoàn tác bất cứ điều gì bạn đã làm để tự khóa và xem lại Chính sách miền mặc định

8. Đảo ngược các bước từ trên xuống và sau đó phá vỡ sự tin tưởng của rừng và ngừng hoạt động Miền / Rừng mới

Việc chỉnh sửa GPO trên toàn rừng không thể tin tưởng (theo như tôi biết) nhưng việc hủy liên kết sẽ là nếu bạn làm theo các bước tôi đã đặt ra.

Làm thế nào về việc sử dụng powershell để loại bỏ liên kết chính sách nhóm. Đây là tài liệu tham khảo lệnh trên Technet http://technet.microsoft.com/en-us/l Library / ee461054.aspx

Tôi không biết liệu bạn có thể chạy tệp .reg không ... Windows có liên quan đến đăng ký, vì vậy các chính sách nhóm ... Đó là giá trị RestrictRun bạn đã đặt. Với tệp .reg xóa, bạn có thể xóa khóa đó.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Đăng nhập vào tài khoản của riêng bạn. Chạy tệp reg này . Và bạn sẽ có thể chạy các chương trình khác sau khi khởi động lại.

Tôi biết không thể chấp nhận tải lên tệp hơn là hình ảnh, nhưng tôi xin lỗi vì bạn chỉ cần tin tưởng tôi với tệp reg này, vì bạn không thể tạo nó trên bất kỳ trình soạn thảo văn bản nào ...

Đã tìm thấy một cách giải quyết khai thác lỗ hổng rõ ràng trong tính năng 'ứng dụng bị hạn chế' của Chính sách nhóm. Chỉ cần đổi tên tệp thực thi thành tên tệp của ứng dụng đáng tin cậy, bạn có thể bỏ qua chính sách.

Vấn đề duy nhất là bạn không thể truy cập trực tiếp 'gpedit.msc' bằng cách đổi tên nó: nó sẽ không hoạt động.

Cách giải quyết tôi đã đến: (bạn sẽ mong đợi một biến thể đơn giản hơn của nó hoạt động; nó không)

1. Đổi tên một bản sao của 'cmd.exe' thành một cái gì đó được cho phép, ví dụ 'chrome.exe'
2. Đồng thời đổi tên một bản sao của 'mmc.exe'
3. Sử dụng dòng lệnh hiện hoạt động để khởi chạy bảng điều khiển quản lý
4. Từ bảng điều khiển quản lý, thêm phần đính vào Chính sách nhóm
5. Sửa lỗi bất cẩn của bạn

Bảng điều khiển quản lý sẽ không chạy từ trình thám hiểm sau khi được đổi tên, vì vậy bước dòng lệnh là cần thiết

RẤT ĐƠN GIẢN

Tôi gặp vấn đề tương tự do vô tình thay đổi cài đặt hệ thống trong gpedit. Hãy thử sửa lỗi này tôi nhận được từ Greylox .... Nó hiệu quả với tôi.

Nhấp vào nút bắt đầu, nhập chạy vào trường tìm kiếm ở dưới cùng của cửa sổ bật lên nhấn enter. Trong cửa sổ mới, nhập%systemroot%\system32\GroupPolicy\User delete registry.pol

Làm tương tự %systemroot%\system32\GroupPolicy\Machine delete registry.polnếu bạn thấy nó, PC của tôi không có nó.

Khởi động lại hệ thống của bạn.

Đăng nhập dưới tài khoản quản trị viên, tạo người dùng mới với quyền quản trị viên, khởi động lại và đăng nhập lại bằng tài khoản quản trị viên mới.

Nhấp vào nút bắt đầu, nhập chạy vào trường tìm kiếm ở dưới cùng của cửa sổ bật lên nhấn enter. Nhập gpedit.msc, nhấn enter.

Chuyển đến Local Computer Policy-> User Configuration-> Administrative Templates-> (nhấp đúp chuột) system-> (nhìn vào bảng bên phải và nhấp đúp chuột) run only specified windows applications. Nhấp vào nút radio bên cạnh Đã tắt.