Templat GPO untuk CWDIllegalInDllSearch - Bagaimana Untuk

Templat GPO untuk CWDIllegalInDllSearch

Dilampirkan adalah templat ringkas untuk melaksanakan pengurusan berasaskan GPO mengenai tetapan pendaftaran CWDIllegalInDllSearch.
Templat mungkin relevan untuk tujuan ini kerana kami mungkin akan hidup dengan pengurangan ini untuk beberapa abad yang akan datang, dan perlu melaksanakan tweak registri kami pada setiap mesin BARU yang kami bayar selama tempoh itu. Melakukannya melalui GPO membolehkan kami menggunakan OUs dan / atau Penapisan WMI untuk meluaskan pengecualian aplikasi pelbagai, seperti yang diperlukan, sambil mengelakkan keperluan untuk Budaya Koboi untuk melaksanakan pengecualian kami.

Komen, pembetulan, dan kebijaksanaan tambahan akan sangat dihargai.

Changelog -
20100831 Tawaran awal
Cadangan 20100831 rempah-rempah untuk menjelaskan "sesi_manager" harus menjadi 2 apabila anda selesai menggerakkan

6 langkah total

Langkah 1: Memahami tingkah laku.

Templat GPO ini mungkin akan menyebabkan beberapa perubahan pendaftaran kepada beberapa mesin sasaran. Templat ini akan melibatkan tetapan "tidak diurus", jadi terdapat satu kaveat.

Versi Layman - dengan tetapan "terurus" biasa, pendaftaran mesin sasaran tidak diubahsuai oleh dasar - tidak ada nilai dalam registri itu yang sebenarnya berubah. Apabila anda MENYINGKATKAN nilai registri yang diberikan adalah, walau bagaimanapun, nilai dasar akan diganti pada saat yang kedua, dan nilai yang akan digunakan. Sekiranya polisi hilang? Penggantian berhenti berlaku ... jadi nilai REAL digunakan sekali lagi.

Dasar yang tidak dikendalikan tidak melakukan perkara itu. Dasar yang tidak diurus meniru penggabungan fail .reg. Peraturan dengan tetapan "tidak dikelola", "menulis terakhir menang". Dan sama seperti penggabungan .reg, seting tetap jika dasarnya dipadam atau Dilumpuhkan.

Perbezaan "terurus / tidak diurus" ini secara amnya tidak akan menjadi masalah dengan senario CWD tertentu ini, kerana kita berhadapan dengan eksploitasi mitigasi yang perlu "melekat" tidak kira apa pun, dan sebahagian besar daripada kita akan melakukannya melalui fail tetap anyway . Sekiranya anda mengadaptasikan taktik ADM ini kepada tugas-tugas lain, ingatlah kelakuan ini.

Akhirnya ... penyebaran dan penggantian replikasi mungkin wujud dalam kebanyakan pengeluaran, jadi bersabarlah.

Langkah 2: Gunakan patch yang sesuai dari MS.

Pada satu ketika, gunakan alat CWDIllegalInDllSearch. MSKB di sini:

http://support.microsoft.com/kb/2264107

Anda boleh menggunakan patch dengan serta-merta dan THEN berfungsi pada templat ini, atau anda mungkin bekerja pada (dan menggunakan) templat ini, SEBELUM patch telah digunakan.

Setiap susunan penempatan mempunyai kelebihan berbanding yang lain. Oleh kerana dasar itu tidak mempunyai kesan tanpa tampalan, yang tidak dipatuhi akan menjadikan hidup mudah jika anda ingin melihat di mana / bagaimana GPO diterapkan. Walau bagaimanapun, anda sepenuhnya terdedah sehingga patch dilaksanakan - jadi risiko mungkin menentukan bahawa anda melancarkan patch ASAP, dengan pemahaman bahawa anda mesti berhati-hati dengan percubaan GPO anda.

Langkah 3: Peribadikan templat

Fail yang dilampirkan mengandungi dua dasar "Starter". Anda dijangkakan untuk menyesuaikan fail ini dengan Notepad untuk menampung sebarang aplikasi tersuai dalam pengeluaran anda.

Apabila membuka fail dalam editor teks kegemaran anda, anda akan perhatikan bahawa setiap blok dasar khusus ditetapkan oleh "POLISI" dan "AKHIRNYA".

Dasar pertama dalam fail, "Kelakuan Laluan Carian Global", boleh ditinggalkan sendirian. Dasar ini merangkumi entri dalam kunci sesi_manager, dan akan menjadi kelakuan lalai.

Dasar kedua adalah untuk menindih aplikasi khusus. Anda akan menyalin / tampal keseluruhan "POLISI" Outlook ... "END POLICY" blok (inklusif) untuk setiap aplikasi yang memerlukan penyesuaian.

Saya memilih Outlook.exe sebagai sampel; semasa anda menyalin / paste setiap pengecualian tambahan, anda perlu mengubah teks "outlook.exe" di dua tempat: yang pertama dalam nama DASAR, dan yang kedua di penghujung KEYNAME.

Sebagai contoh,
POLISI "my_other.exe"
KEYNAME "Perisian Microsoft Windows NT CurrentVersion Imej Fail Pelaksanaan Pilihan my_other.exe"
...
POLISI TETAP

Sebaik sahaja semua pengecualian yang diketahui telah ditambah ke templat, simpan di mana tempat mesin pengeditan GPO anda boleh mencapai (Pada kotak 2k3, konvensyen untuk fail ADM adalah c: windows inf).


CWDIllegalInDllSearch.adm

Langkah 4: Membangunkan strategi pembayaran

Dalam penulisan ini, saya berharap mesin yang berbeza akan mempunyai keperluan pengecualian yang berlainan. Walau bagaimanapun, ini mungkin tidak berlaku untuk anda. Walau bagaimanapun, jika anda ingin bermain hierarki OU anda, dan / atau anda boleh menggunakan penapisan WMI et al untuk menyediakan skop permohonan dasar. Sekiranya anda tidak melakukan penapisan WMI sebelum ini, ia boleh kelihatan menakutkan - tetapi sebenarnya tidak. Tinjauan ringkas penapisan WMI boleh didapati di sini:
http://technet.microsoft.com/en-us/library/cc754488%28WS.10%29.aspx
Memberi bacaan, dan kemudian pergi bermain dengan GPO palsu dan nikmatilah!

Kembali ke GPO kami - kaedah terbaik untuk pembayaran adalah untuk membuat GPO baru (kosong) yang didedikasikan untuk satu set pengecualian tertentu. Kedai-kedai kecil hanya akan membuat satu GPO. Persekitaran yang lebih kompleks tentu akan mempunyai beberapa. Untuk yang baru dimulakan, setiap GPO akan didasarkan pada template tunggal yang diedit; anda hanya akan memberi setiap GPO beberapa tetapan yang berbeza.

Langkah 5: Buat Objek Dasar, Buat template anda kelihatan

Untuk melihat templat yang diedit dalam editor GPO, anda perlu menambahnya. Pertama, Alat Pentadbiran -> Pengurusan Dasar Kumpulan. Buat objek dasar baru (atau edit sedia ada). Kemudian dalam editor:
Config Computer -> (klik kanan) Templat Pentadbiran -> Tambah / Buang.

Di mana anda akhirnya menempel fail ADM yang diedit, dapatkannya. Apabila mengklik "Tutup", entri baru akan muncul dalam kategori "Sistem" yang dipanggil "Kelakuan Carian DLL". Apabila anda mula-mula melihat kategori itu, ia mungkin kosong. Tiada kebimbangan, penyertaan hanya tersembunyi. Marilah kita mendedahkan mereka:

Dalam menu Bantuan Tindakan Tindakan Tindakan Bar di bahagian atas? Klik Lihat -> Penapisan
Uncheck "Hanya tunjukkan tetapan dasar yang boleh diurus sepenuhnya".

Penyertaan anda sekarang akan dapat dilihat dalam kategori baru.

Anda perlu mengulangi proses ini setiap GPO baru yang anda buat. Selain itu, MSC mempunyai tabiat untuk memulihkan penapis paparan - jadi anda mungkin perlu menyemak semula kotak semak "Hanya tunjukkan" kadangkala.

Nota pantas tentang mengedit fail ADM "semasa anda pergi": Editor GPO memuat fail ADM pada permulaan. Jika anda membuat perubahan pada fail ADM semasa mengedit GPO, anda akan mahu keluar / menjalankan semula editor GPO untuk melihat perubahan anda. Anda perlu ingat ini jika anda membuat (dan membetulkan) kesilapan kesilapan dalam fail ADM.

Langkah 6: Melaksanakan!

Sebaik sahaja anda telah menambah templat anda kepada GPO, anda boleh mengagumi pengeditan anda di bahagian itu
Config Computer -> Templat Pentadbiran -> Sistem -> Perlakuan Cari Dll.

Sila ambil perhatian - nilai lalai template untuk "Kelakuan Laluan Cari Global" ialah 0 ("Kelakuan Legacy"), untuk mengelakkan sebarang perkara buruk yang berlaku jika anda mendayakan dasar tanpa pertimbangan. Pada satu ketika, anda mungkin mahu nilai itu menjadi 2, "Blok WebDAV dan CWD UNC".

Tetapkan, simpan dan hubungkan dengan OU seperti yang sesuai.

Beberapa taktik "ujian" yang pantas kerana kebanyakan kita mengedit fail dan dasar ADM (* batuk *) setiap hari:

- ujian dengan membuat objek GPO baru yang mengandungi tweak dari templat yang diedit.

- memohon objek GPO kepada OU tunggal dengan mesin tunggal di dalamnya.

- Klien-sisi, regedit Perisian Microsoft Windows NT CurrentVersion Imej Pilihan Pelaksanaan somexefile.exe untuk melihat penyesuaian anda.

- Dalam regedit, sebelum memukul F5 untuk menyegarkan paparan registri - jalankan gpupdate.exe untuk memaksa dasar menyegarkan. Perhatikan bahawa template anda memberi kesan kepada dasar mesin sahaja, jadi tiada reboot atau logo yang diperlukan, dan tiada / kekerasan diperlukan. Hanya gpupdate, hitung ke 10, kemudian smack F5 (dengan mengandaikan anda tidak terperangkap menunggu dasar untuk meniru antara beberapa DC).