中国DOS联盟论坛

中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名:www.cn-dos.net  论坛域名:www.cn-dos.net/forum
DOS,代表着自由开放与发展,我们努力起来,学习FreeDOS和Linux的自由开放与GNU精神,共同创造和发展美好的自由与GNU GPL世界吧!

游客:  注册 | 登录 | 命令行 | 搜索 | 上传 | 帮助 »
中国DOS联盟论坛 » DOS批处理 & 脚本技术(批处理室) » [已结]用批处理创建组策略软件限制的散列规则
English/Chinese Fix Translation
作者:
标题: [已结]用批处理创建组策略软件限制的散列规则 上一主题 | 下一主题
87373066
新手上路





积分 12
发帖 21
注册 2008-11-20
状态 离线
『楼 主』:  [已结]用批处理创建组策略软件限制的散列规则 使用 LLM 解释/回答一下

在论坛和GOOGL都找不到相关的内容,麻烦各位指点下.
在C盘下有几个程序,我想通过组策略的软件限制策略中的散列规则来禁止它们运行.因新建规则涉及到这几个文件的选取问题,不知道用批处理能不能实现新建这几个程序的散列规则.

Last edited by HAT on 2009-1-13 at 23:33 ]


2009-1-10 23:39
查看资料  发送邮件  发短消息  网志   编辑帖子  回复  引用回复
dato
高级用户




积分 916
发帖 377
注册 2004-3-8
状态 离线
『第 2 楼』:   使用 LLM 解释/回答一下

搜索一下windows安全指南吧,组策略有个叫secedit通过刷新策略模板来更新系统策略.可惜至今不知道如何生成策略模板.

现在我们采用symantec sep也不错




http://dato.ys168.com
google search bot
http://dato.minidns.net/
2009-1-11 01:11
查看资料  发送邮件  发短消息  网志   编辑帖子  回复  引用回复
yishanju
银牌会员

[b]看你妹啊[/b]


积分 1488
发帖 1357
注册 2006-5-20
状态 离线
『第 3 楼』:   使用 LLM 解释/回答一下

这也我想要解决问题之一,顶一下





有问题请发论坛或者自行搜索,再短消息问我的统统是SB
2009-1-12 01:33
查看资料  发短消息  网志   编辑帖子  回复  引用回复
exzzz
初级用户

游手好闲 + 无所事事 ..



积分 194
发帖 167
注册 2007-4-30
状态 离线
『第 4 楼』:   使用 LLM 解释/回答一下

我用过两种办法来禁止指定程序运行,并非散列规则。方法2可以参考一下,一般情况下没有提示的话,多数人是不知道怎么回事的。。。

方法一:组策略(可指定运行或指定禁止运行)
组策略中的禁用程序功能 运行“gpedit.msc”命令打开组策略控制台,在里面展开“用户配置-管理模板-系统”,
右侧 “只运行许可的Windows应用程序” 以及 “不要运行指定的windows程序” 策略可以帮你很多。
用户试图运行未被允许的程序,一律弹出“……限制被取消。请与系统管理员联系。”的对话框。

方法二:镜像劫持
例如运行 QQ ,实际上启动 ctfmon,系统将没有任何提示。
你也可以考虑启动一个VBS或者BAT进行运行指定程序前的密码验证。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe" /v debugger /t reg_sz /d "C:\WINDOWS\system32\ctfmon.exe" /f

Last edited by exzzz on 2009-1-12 at 10:19 ]


2009-1-12 10:09
查看资料  发送邮件  发短消息  网志   编辑帖子  回复  引用回复
exzzz
初级用户

游手好闲 + 无所事事 ..



积分 194
发帖 167
注册 2007-4-30
状态 离线
『第 5 楼』:   使用 LLM 解释/回答一下

搜索到一点资料

先在自己机器上配置好规则,再导出散列规则:
显示系统文件,显示所有文件。按目录复制出C:\WINDOWS\system32\GroupPolicy\gpt.ini
c:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol

并将以上文件覆盖到目标机器上。。。你试验一下吧,我没地方测试


2009-1-12 10:23
查看资料  发送邮件  发短消息  网志   编辑帖子  回复  引用回复
ZJHJ
高级用户





积分 609
发帖 374
注册 2006-8-2
状态 离线
『第 6 楼』:   使用 LLM 解释/回答一下

先在自己机器上手动配置好要限制的程序和路径(不允许的),或者指定路径下的程序运行(不受限的)。然后复制出Registry.pol文件。如果其他机器上要配置,就将Registry.pol文件复制过去。如果要解除所有设置,将Registry.pol文件删除即可。


2009-1-12 10:52
查看资料  发短消息  网志   编辑帖子  回复  引用回复
exzzz
初级用户

游手好闲 + 无所事事 ..



积分 194
发帖 167
注册 2007-4-30
状态 离线
『第 7 楼』:   使用 LLM 解释/回答一下

如果真的要彻底全自动,考虑这样的思路进行:
1、用VBS或BAT,读取“禁止列表”,并写入变量,主要是程序全路径。
2、用VBS的sendkeys,模拟键盘操作GPEDIT.MSC添加这些变量。
3、vbs或bat复制本机的Registry.pol,并远程登陆覆盖目标机器的文件。


2009-1-12 11:36
查看资料  发送邮件  发短消息  网志   编辑帖子  回复  引用回复
87373066
新手上路





积分 12
发帖 21
注册 2008-11-20
状态 离线
『第 8 楼』:   使用 LLM 解释/回答一下

非常感谢 exzzz和ZJHJ的指点!
问题已经解决,系统的策略文件确实是Registry.pol文件.在服务器上配置好策略后,把Registry.pol和gpt.ini文件同步到客户机的相同目录里,再运行gpupdate /force刷新一下组策略就可以了


2009-1-13 22:30
查看资料  发送邮件  发短消息  网志   编辑帖子  回复  引用回复
qwhw
新手上路





积分 1
发帖 1
注册 2010-2-21
状态 离线
『第 9 楼』:   使用 LLM 解释/回答一下

不错,做个记号!~


2010-10-18 01:12
查看资料  发送邮件  发短消息  网志   编辑帖子  回复  引用回复

请注意:您目前尚未注册或登录,请您注册登录以使用论坛的各项功能,例如发表和回复帖子等。


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转:  



[ 联系联盟系统管理团队 - 中国DOS联盟 ]

Sponsored by ifanr Inc | © 2001-2023