Bloqueado para fora do Editor de Diretiva de Grupo

8

Defino 'permitir apenas restrições de determinados aplicativos e aplico-os acidentalmente em todas as contas. Agora estou restrito a apenas executar um navegador e não posso executar o editor de política de grupo!

Existe um backdoor que eu possa usar?

    
por Darren 18.04.2012 / 00:48

7 respostas

6

Encontrou uma solução alternativa que explora um buraco óbvio no recurso "aplicativos restritos" da Diretiva de Grupo. Simplesmente renomeando um executável para o nome do arquivo de um aplicativo confiável, você pode ignorar a política.

A solução que eu cheguei está abaixo (você teria muitas variantes similares / mais simples disso para funcionar; elas não funcionam). Espero que isso ajude alguém.

  1. Renomeie uma cópia de 'cmd.exe' para algo permitido, por exemplo 'chrome.exe'
  2. Também renomeie uma cópia de 'mmc.exe'
  3. Use a linha de comando em funcionamento para iniciar o console de gerenciamento
  4. No console de gerenciamento, adicione o snap-in da Diretiva de grupo
  5. Resolva seu erro descuidado

O console de gerenciamento não será executado a partir do explorer depois de ser renomeado, portanto, a etapa da linha de comando é necessária.

    
por 18.04.2012 / 14:56
4

Suponho que você tenha restrições de software na parte Configuração do usuário da política. Algumas dicas aqui:

1. Copiar para outro local Se você tiver uma restrição baseada em um local de caminho, poderá copiar o arquivo que é restrito (mmc.exe?) Para outra unidade (ou renomear o arquivo) e tentar executá-lo a partir daí.

2. Credenciais em cache Se você tiver um computador ou laptop em que tenha feito logon anteriormente, desconecte o cabo de rede e faça logon com credenciais armazenadas em cache (se permitido). Quando estiver totalmente logado (você pode querer esperar por alguns minutos), conecte o cabo de rede novamente. Agora você deve conseguir acessar a rede, mas as políticas ainda não serão aplicadas, para que você possa acessar todos os programas.

3. excluir chaves de registro Todas essas restrições de diretiva são armazenadas no registro. Como você é um administrador, você tem permissão para editar o registro, então você deve encontrar uma maneira de editá-lo.

O que você fará é ir para a seguinte chave de registro: HKEY_CURRENT_USER \ Software \ Políticas \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ paths e elimine todas as chaves sob esta chave, deixando a chave inalterada.

Se você não conseguir iniciar o regedit.exe, poderá iniciar os seguintes programas:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

Caso contrário, tente acessar o registro remotamente.

    
por 18.04.2012 / 14:38
3

Isso soa como a captura 22. Parece que você se escondeu com a Política de Domínio Padrão pelos sons dela. Se não me engano, você está muito bem bloqueado porque todos os usuários são membros do grupo Usuários autenticados e terão o GPO aplicado, a menos que você tenha removido Usuários autenticados da Filtragem de segurança no GPO (que não parece ser o caso) . Não há combinação de usuário / grupo que eu possa criar para você voltar ao GPMC. Tanto quanto eu posso ver, não há como voltar do domínio atual se você realmente bloqueou sua capacidade de executar o GPMC e qualquer outro programa / executável. Eu nunca estive nesse cenário, então pode haver uma maneira de contornar isso que eu não conheço, mas aqui está uma solução que eu inventei. Parece um pouco maluco e um pouco complicado, mas acho que vai dar certo. Aqui vai:

  1. Configure um controlador de domínio em um novo domínio / floresta. Vou me referir a este domínio / floresta como " novo " e vou me referir ao domínio / floresta existente como " antigo " desse ponto em diante.

  2. Crie uma confiança entre a floresta nova e a floresta antiga . Como você provavelmente não pode acessar o console DNS no domínio antigo , poderá editar o arquivo de hosts em um controlador de domínio no domínio antigo acessando-o de um domínio não Estação de trabalho associada a domínio (forneça as credenciais de domínio apropriadas quando solicitado). Adicionar uma entrada para o domínio novo (o sufixo DNS do domínio / nome DNS da zona AD do novo domínio) apontando para o endereço IP do servidor DC / DNS no novo domínio. Salve o arquivo e reinicie o antigo DC para pré-carregar a entrada do arquivo hosts no cache do DNS. Este deve ser um substituto aceitável para um encaminhador condicional do domínio / floresta antigo para o novo domínio / floresta. Crie o encaminhador condicional correspondente no domínio novo para o domínio antigo . Configure o arquivo hosts e o encaminhador condicional antes de tentar criar a confiança.

  3. Adicione a conta de Administrador do novo Domínio / Floresta ao grupo Administradores Internos no domínio / floresta antigo concedendo a conta de Administrador no > old Domínio / Floresta o direito de usuário "Permitir logon local" no GPO Default Domain Controllers no novo Domínio / Floresta. Execute gpupdate / force no novo controlador de domínio e use "executar como usuário diferente" ou "executar como" (dependendo do SO) no novo DC para abrir o ADUC como o administrador do domínio antigo e o ADUC inicial para o domínio antigo .

  4. Execute o GPMC no controlador de domínio na nova floresta

  5. Início do GPMC para o domínio / floresta antigo

  6. Desvincule a política de domínio padrão na floresta antiga

  7. Faça logon em um controlador de domínio na floresta antiga e execute gpupdate / force e veja se você agora pode executar o GPMC. Em caso afirmativo, desfaça o que você fez para se proteger e vincule novamente a Diretiva de Domínio Padrão

  8. Inverta as etapas acima e, em seguida, quebre a confiança da floresta e desative o novo domínio / floresta

A edição do GPO em toda a floresta não é possível (até onde eu sei), mas desvincular deve ser se você seguir as etapas que descrevi.

    
por 18.04.2012 / 05:12
1

Que tal usar o PowerShell para remover o link da política de grupo? Aqui está a referência de comando no link technet

    
por 18.04.2012 / 04:41
0

Eu não sei se você pode executar um arquivo .reg ... O Windows é tão relacionado ao registro, então as políticas de grupo ... Foi o valor de RestrictRun que você definiu, eu acho. Com um arquivo .reg removido, você pode excluir essa chave.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Faça login na sua conta. Execute este arquivo reg . E você deve ser capaz de executar outros programas após a reinicialização.

Eu sei que não é aceitável fazer upload de arquivos em vez de imagens, mas lamento que você tenha que confiar em mim com esse arquivo reg, já que não é possível criá-lo em qualquer editor de texto ...

    
por 18.04.2012 / 06:37
0

Encontrou uma solução alternativa que explora um buraco óbvio no recurso "aplicativos restritos" da Diretiva de Grupo. Simplesmente renomeando um executável para o nome do arquivo de um aplicativo confiável, você pode ignorar a política.

O único problema é que você não pode acessar diretamente o 'gpedit.msc' renomeando-o: ele não funcionará.

A solução alternativa na qual eu cheguei: (você esperaria que uma variante mais simples disso funcionasse; mas não)

  1. Renomeie uma cópia de 'cmd.exe' para algo permitido, por exemplo 'chrome.exe'
  2. Também renomeie uma cópia de 'mmc.exe'
  3. Use a linha de comando em funcionamento para iniciar o console de gerenciamento
  4. No console de gerenciamento, adicione o snap-in da Diretiva de grupo
  5. Resolva seu erro descuidado

O console de gerenciamento não será executado a partir do explorer depois de ser renomeado, portanto, a etapa da linha de comando é necessária

    
por 18.04.2012 / 15:05
0

FIXAÇÃO MUITO SIMPLES

Eu tive o mesmo problema ao alterar acidentalmente as configurações do sistema em gpedit. Tente esta correção que recebi do Greylox .... Funcionou para mim.

Clique no botão Iniciar, digite Executar no campo de pesquisa na parte inferior do pop-up e pressione Enter. Na nova janela, insira %systemroot%\system32\GroupPolicy\User delete registry.pol

Faça o mesmo em %systemroot%\system32\GroupPolicy\Machine delete registry.pol , se o vir, o meu PC não o tem.

Reinicie seu sistema.

Faça login na conta de administrador, crie um novo usuário com privilégios de administrador, reinicialize e faça login novamente usando a nova conta de administrador.

Clique no botão Iniciar, digite Executar no campo de pesquisa na parte inferior do pop-up e pressione Enter. Digite gpedit.msc, pressione enter.

Vá para Local Computer Policy - > User Configuration - > Administrative Templates - > (clique duas vezes) system - > (procure no painel à direita e clique duas vezes) run only specified windows applications . Clique no botão de opção ao lado de Desativado.

    
por 12.11.2013 / 07:36