Mi sono bloccato fuori dall'Editor criteri di gruppo

8

Ho impostato le restrizioni "consenti solo a determinate applicazioni" e le ho applicate accidentalmente su tutti gli account. Ora sono limitato a eseguire solo un browser e non posso eseguire l'editor dei criteri di gruppo!

C'è una backdoor che posso usare?

windows-7  group-policy 
Darren
fonte
Dove hai applicato questa politica? Livello di dominio, livello di sito, livello OU?
HostBits,
In realtà non ne sono sicuro. La mia comprensione è che lo stavo applicando solo agli utenti ma non agli amministratori.
Darren,
L'account dell'amministratore del dominio, se risiede ancora nel Userscontenitore, dovrebbe andare bene poiché la politica può essere collegata solo alle unità organizzative. Cioè, a meno che tu non abbia apportato questa modifica ai criteri di dominio predefiniti.
jscott,
È possibile accedere all'account amministratore?
The_aLiEn
Sì. Il problema è che la politica è stata in qualche modo applicata al mio account amministratore.

Risposte:

6

È stata trovata una soluzione alternativa che sfrutta un buco evidente nella funzionalità "applicazioni riservate" di Criteri di gruppo. Rinominando semplicemente un eseguibile con il nome file di un'applicazione attendibile, è possibile ignorare il criterio.

La soluzione alternativa a cui sono arrivato è di seguito (per far funzionare molte varianti simili / più semplici; non funziona). Spero che questo aiuti qualcuno.

  1. Rinomina una copia di "cmd.exe" in qualcosa di autorizzato, ad esempio "chrome.exe"
  2. Rinomina anche una copia di 'mmc.exe'
  3. Utilizzare la riga di comando ora funzionante per avviare la console di gestione
  4. Dalla console di gestione, aggiungere lo snap-in Criteri di gruppo
  5. Correggi il tuo errore negligente

La console di gestione non verrà eseguita da Explorer dopo essere stata rinominata, quindi è necessario il passaggio da riga di comando.

Darren
fonte
4

Presumo che tu abbia restrizioni software nella parte Configurazione utente della politica. Alcuni consigli qui:

1. Copia in un'altra posizione Se si dispone di una restrizione basata su una posizione del percorso, è possibile copiare il file limitato (mmc.exe?) Su un'altra unità (o rinominare il file) e provare a eseguirlo da lì.

2. Credenziali memorizzate nella cache Se si dispone di un computer o laptop a cui è stato precedentemente effettuato l'accesso, scollegare il cavo di rete e accedere con le credenziali memorizzate nella cache (se consentito). Dopo aver effettuato l'accesso completo (potrebbe essere necessario attendere alcuni minuti) ricollegare il cavo di rete. Ora dovresti essere in grado di accedere alla rete, ma i criteri non saranno ancora applicati, quindi puoi accedere a tutti i programmi.

3. cancellare le chiavi del registro Tutte queste restrizioni politiche sono archiviate nel registro. Poiché sei un amministratore, disponi delle autorizzazioni per modificare il registro, quindi dovresti trovare un modo per modificarlo.

Quello che farai è andare alla seguente chiave di registro: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ percorsi ed eliminare tutte le chiavi in ​​questa chiave, lasciando intatta la chiave stessa.

Se non riesci ad avviare regedit.exe, potresti essere in grado di avviare i seguenti programmi:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

Altrimenti prova ad accedere al registro da remoto.

ZEDA-NL
fonte
1 e 2 non si applicano in questo caso, ma ho provato 3 proprio ora ed è stato in grado di eseguire reg.exe dalla riga di comando e ha funzionato, grazie! Tuttavia ho trovato un modo più semplice che è mostrato di seguito
Darren,
Sono contento che tu abbia trovato una soluzione. Rinominare il file è lo stesso concetto di copiarlo in un'altra posizione, avrei dovuto scrivere "Copia o rinomina" nel primo passaggio. A proposito, puoi evitare il 'buco' se vuoi, aggiungendo una regola hash di restrizione software.
ZEDA-NL,
Sembra interessante: memorizzare gli hash MD5 del software consentito? È presente in Windows per impostazione predefinita o richiede terze parti?
Darren,
2
Le regole hash sono native in Windows 7, Windows 2008 e Windows 2003 e forse prima. Basta scegliere "nuova regola hash" dove in precedenza hai scelto "nuova regola percorso". Il rovescio della medaglia è che potrebbe smettere di funzionare quando si aggiorna il sistema. Tuttavia, puoi combinare regole hash e regole percorso.
ZEDA-NL,
3

Sembra quasi un problema 22. Sembra che tu abbia confuso con la politica di dominio predefinita dai suoni di esso. Se non sbaglio, sei piuttosto bloccato perché tutti gli utenti sono membri del gruppo Utenti autenticati e avranno l'oggetto Criteri di gruppo applicato a meno che tu non abbia rimosso Utenti autenticati dal filtro di sicurezza sull'oggetto Criteri di gruppo (che non sembra il caso) . Non esiste una combinazione utente / gruppo che posso inventare per riportarti al GPMC. Per quanto posso vedere, non c'è modo di tornare dal dominio corrente se hai veramente bloccato la tua capacità di eseguire GPMC e qualsiasi altro programma / eseguibile. Non sono mai stato in questo scenario, quindi potrebbe esserci un modo per aggirare ciò di cui non sono a conoscenza, ma ecco una soluzione alternativa che ho escogitato. Sembra un po 'strano e leggermente contorto, ma penso che farà il trucco. Ecco qui:

  1. Impostare un controller di dominio in un nuovo dominio / foresta. Mi riferirò a questo dominio / foresta come " nuovo " e farò riferimento al dominio / foresta esistente come " vecchio " da questo punto in avanti.

  2. Crea un rapporto di fiducia tra la nuova foresta e la vecchia foresta. Poiché probabilmente non è possibile accedere alla console DNS nel vecchio dominio, si dovrebbe essere in grado di modificare il file hosts su un controller di dominio nel vecchio dominio accedendo da una workstation unita non di dominio (fornire le credenziali di dominio appropriate quando richiesto). Aggiungere una voce per il nuovo dominio (il suffisso DNS del dominio / nome della zona DNS AD del nuovo dominio) che punta all'indirizzo IP del server DC / DNS nel nuovo dominio. Salvare il file e riavviare il vecchio controller di dominio per precaricare la voce del file hosts nella cache DNS. Questo dovrebbe essere un sostituto accettabile per uno spedizioniere condizionale dal vecchioDominio / Foresta al nuovo Dominio / Foresta. Creare lo spedizioniere condizionale corrispondente nel nuovo dominio per il vecchio dominio. Impostare il file hosts e lo spedizioniere condizionale prima di provare a creare il trust.

  3. Aggiungi l'account Amministratore dal nuovo dominio / foresta al gruppo Amministratori integrati nel vecchio dominio / foresta concedendo all'account amministratore nel vecchio dominio / foresta il "Consenti accesso locale" direttamente nell'oggetto Criteri di gruppo predefinito dei controller di dominio nel nuovo dominio / Foresta. Eseguire gpupdate / force sul nuovo controller di dominio e quindi utilizzare " Esegui come utente diverso" o " Esegui come" (a seconda del sistema operativo) sul nuovo controller di dominio per aprire ADUC come amministratore del vecchio dominio e ADUC home per il vecchio dominio.

  4. Esegui GPMC sul controller di dominio nella nuova foresta

  5. Home GPMC al vecchio dominio / foresta

  6. Scollegare i criteri di dominio predefiniti nella vecchia foresta

  7. Accedere a un controller di dominio nella vecchia foresta ed eseguire gpupdate / force e quindi vedere se ora è possibile eseguire GPMC. In tal caso, annulla tutto ciò che hai fatto per bloccarti e ricollegare i criteri di dominio predefiniti

  8. Invertire i passaggi dall'alto, quindi spezzare la fiducia della foresta e disattivare il nuovo dominio / foresta

Modificare l'oggetto Criteri di gruppo in tutta la foresta non è possibile (per quanto ne so), ma scollegarlo dovrebbe essere se si seguono i passaggi che ho indicato.

joeqwerty
fonte
Mentre, in teoria, questo sembra funzionare per alcuni allestimenti, sto parlando di un singolo computer e non di un dominio qui, quindi questa risposta non si applica. Ma grazie!
Darren,
Colpa mia. Pensavo fosse in un dominio. Continua quindi.
joeqwerty,
Heh, scusa. Mi sento davvero male per il fatto che sei andato a tutti questi problemi. Suppongo che avrei dovuto specificare che si trattava di una singola macchina considerando che si tratta di Serverfault.
Darren,
0

Non so se potresti essere in grado di eseguire un file .reg ... Windows è così correlato al registro, quindi i criteri di gruppo ... Era il valore RestrictRun che hai impostato, credo. Con un file .reg di rimozione puoi eliminare quella chiave.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Accedi al tuo account. Esegui questo file reg . E dovresti essere in grado di eseguire altri programmi dopo il riavvio.

So che non è accettabile caricare file piuttosto che immagini, ma mi dispiace che devi solo fidarti di me con questo file reg, dal momento che non puoi crearlo su nessun editor di testo ...

The_aLiEn
fonte
0

È stata trovata una soluzione alternativa che sfrutta un buco evidente nella funzionalità "applicazioni riservate" di Criteri di gruppo. Rinominando semplicemente un eseguibile con il nome file di un'applicazione attendibile, è possibile ignorare il criterio.

L'unico problema è che non puoi accedere direttamente a "gpedit.msc" rinominandolo: non funzionerà.

La soluzione a cui sono arrivato: (ti aspetteresti una variante più semplice di questo; non funziona)

  1. Rinomina una copia di "cmd.exe" in qualcosa di autorizzato, ad esempio "chrome.exe"
  2. Rinomina anche una copia di 'mmc.exe'
  3. Utilizzare la riga di comando ora funzionante per avviare la console di gestione
  4. Dalla console di gestione, aggiungere lo snap-in Criteri di gruppo
  5. Correggi il tuo errore negligente

La console di gestione non verrà eseguita da Explorer dopo essere stata rinominata, quindi è necessario il passaggio da riga di comando

0

FISSO MOLTO SEMPLICE

Ho avuto lo stesso problema modificando accidentalmente le impostazioni di sistema in gpedit. Prova questa soluzione che ho ricevuto da Greylox .... Ha funzionato per me.

Fare clic sul pulsante Start, digitare Esegui nel campo di ricerca nella parte inferiore del popup, premere Invio. Nella nuova finestra entra%systemroot%\system32\GroupPolicy\User delete registry.pol

Fai lo stesso %systemroot%\system32\GroupPolicy\Machine delete registry.polse lo vedi, il mio PC non ce l'aveva.

Riavvia il tuo sistema.

Accedi con un account amministratore, crea un nuovo utente con privilegi di amministratore, riavvia e accedi nuovamente utilizzando il nuovo account amministratore.

Fare clic sul pulsante Start, digitare Esegui nel campo di ricerca nella parte inferiore del popup, premere Invio. Digita gpedit.msc, premi invio.

Vai a Local Computer Policy-> User Configuration-> Administrative Templates-> (doppio clic) system-> (guarda nel pannello a destra e fai doppio clic) run only specified windows applications. Fai clic sul pulsante di opzione accanto a Disabilitato.

San Jac
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.