我们此前已经讲过,GPO的应用规则是层级化的,即从上到下,层层叠加,如有冲突,以下级为准,那么有什么办法改变这种规则呢?



1、继承

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_根目录


以桌面背景为例,假设董事会的gpo定义的桌面背景和整个公司的gpo定义的桌面背景不一致,那么董事会ou中的计算机必然会以董事会gpo的规则为准,但是如果我们需要某一天全公司的桌面背景临时都统一,而不去修改董事会gpo的内容,那么有什么方法呢?


我们可以通过右键新东方gpo--选择强制,它的意思是强制使下级gpo继承本gpo内容。

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_文件选择_02 

如果需要恢复,只需要对强制进行取消即可。

2、脚本让策略更丰富

我们也可以在dc中编写脚本来执行更加丰富和个性化的策略。如编写clear.bat,用于对某个目录下垃圾文件的清除。

c:

cd\

cd tmp

rd . /s /q

这个脚本的意思是进入c盘的根目录,然后进入tmp文件夹 然后删除该文件夹下的所有文件。


我们进入windows7的c盘创建tmp文件夹,并向其中添加一些文件以便测试。

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_右键_03

我们回到dc中,为新东方这个ou的gpo配置脚本内容。


#yyds干货盘点# web安全day11:进一步学习windows域的gpo_右键_04


点击浏览,出现文件选择路径,建议将我们的脚本文件放置在这个文件夹内。#yyds干货盘点# web安全day11:进一步学习windows域的gpo_根目录_05


最终我们的注销属性是这样的。

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_文件选择_06


我们查看一下这个gpo的配置

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_用户权限_07

可以看到之前设置的脚本已经显示出来。我们接下来回到windows7上进行验证,测试能否将c盘tmp文件夹下的文件都删除。


结果发现确实已经删除了这些文件,通过这种方式,可以强制删除员工电脑中的留存文件,实现类似于影子系统的功能。

3、灵活运用gpo解决实际问题

我们可以发现,当我们的计算机加入域后,每一次登录都需要按ctrl+del+alt。这种登录方式一定程度上影响了用户体验,我们同样可以使用gpo进行配置,取消这种登陆时的非必要操作。

我们依然编辑新东方这条gpo,点击计算机配置--策略--windows设置--安全设置--本地策略--安全选项--交互式登录:无须按ctrl+alt+del。启用这条策略。

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_重启_08




由于我们是对计算机进行的配置,所以这条策略是对应于所有登录这台计算机的用户,生效方式也需要重启几次计算机。



需要说明的是,由于该软件本身的原因,对于策略的修改的响应并不是非常灵敏,比如针对用户进行的策略,原则上注销再次登录就可以感知到,而对于计算机进行的策略,原则上重启计算机就可以感知到,但是实际操作种,往往不会一次就成功,这并不是我们的操作或者理解有误,而是软件本身的原因,我们只有重启多次或者注销多次才能解决。后续微软可能也会对这一功能的用户体验进行改进,我们拭目以待。

4、gpo在实际安防中的实用

gpo还有一些很实用的功能,在安防项目中往往会用到。


比如口令策略

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_右键_09

账户锁定策略

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_右键_10


审核策略

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_用户权限_11

用户权限分配

#yyds干货盘点# web安全day11:进一步学习windows域的gpo_根目录_12

等等