GPO-malli CWDIllegalInDllSearchille - Miten

GPO-malli CWDIllegalInDllSearchille

Liitteenä on yksinkertainen mallipohja CWDIllegalInDllSearch-rekisterin asetusten GPO-pohjaiseen hallintaan.
Malli saattaa olla merkityksellinen tähän tarkoitukseen, koska voimme todennäköisesti elää tämän lieventämisen kanssa lähivuosisatojen ajan, ja meidän on toteutettava rekisterimerkkimme jokaisesta uudesta koneesta, jonka me maksamme tänä aikana. Näin tehden GPO: n avulla voimme käyttää OU: ita ja / tai WMI: n suodatusta sovellusten poikkeusten kattamiseksi tarpeen mukaan välttäen samalla Cowboy-kulttuurin tarpeen poikkeuksemme toteuttamiseksi.

Kommentteja, korjauksia ja lisää viisautta arvostetaan suuresti.

Changelog -
20100831 Alkuperäinen tarjous
20100831 Spiceuserin ehdotus selventää "session_manager" -näppäintä tulisi olla 2, kun olet valmis käyttöön

6 vaihetta yhteensä

Vaihe 1: Ymmärrä käyttäytyminen.

Tämä GPO-malli saattaa johtaa joidenkin kohdemekanismien muutoksiin. Tämä malli sisältää "hallitsemattomia" asetuksia, joten siellä on yksi varoitus.

Vankila-versio - normaaleilla "hallinnoiduilla" asetuksilla kohdekoneen rekisteriä ei muuteta käytännöillä - mikään kyseisen rekisterin arvoista ei muutu. Kun kysyt, mikä tietty rekisteriarvo on, käytäntöarvo korvataan viimeisellä sekunnilla, ja arvoa käytetään. Jos käytäntö menee pois? Korvaus lakkaa tapahtumasta ... joten REAL-arvoa käytetään uudelleen.

Hallitsemattomat käytännöt eivät tee sitä. Hallitsemattomat käytännöt jäljittelevät .reg-tiedoston yhdistämisen. Sääntö, jossa on "hallitsemattomat" asetukset, on "viimeinen kirjoitus voittaa". Ja samoin kuin .reg-tiedostojen yhdistäminen, asetukset pysyvät kiinni, jos käytäntö on irrotettu tai poistettu käytöstä.

Tämä "hallinnoitu / hallitsematon" ero ei yleensä ole ongelma tämän nimenomaisen CWD-skenaarion kanssa, koska olemme tekemisissä sellaisten hyväksikäytön lieventämisten kanssa, jotka on "kiinni" riippumatta siitä, mitä useimmat meistä tekevät, ja useimmat meistä tekivät sen reg-tiedostojen kautta. . Jos kuitenkin mukautat tätä ADM-taktiikkaa muihin tehtäviin, pidä tämä käytös mielessä.

Lopuksi ... lisääntymis- ja replikointiviiveet voivat esiintyä useimmissa tuotannoissa, joten ole kärsivällinen.

Vaihe 2: Asenna sopiva laastari MS: ltä.

Asenna jossain vaiheessa CWDIllegalInDllSearch-työkalu. MSKB on täällä:

http://support.microsoft.com/kb/2264107

Voit käyttää korjaustiedostoa välittömästi ja sitten työ tällä mallilla, tai voit työskennellä (ja ottaa käyttöön) tämän mallin, ENNEN korjaustiedoston käyttöönottoa.

Jokaisella käyttöönottojärjestyksellä on etu muihin. Koska käytännöllä ei ole vaikutusta ilman korjaustiedostoa, suorituksen purkaminen helpottaisi elämää, jos haluat nähdä, missä / miten GPO: ta sovelletaan. Olet kuitenkin täysin alttiina siihen asti, kunnes korjaustiedosto on otettu käyttöön, joten riski saattaa johtaa siihen, että korjaat laastarin ASAP: n, sillä ymmärretään, että sinun täytyy huolehtia GPO-kokeistasi.

Vaihe 3: Muokkaa mallia

Liitteenä oleva tiedosto sisältää kaksi "Starter" -käytäntöä. Sinun odotetaan mukauttavan tämän tiedoston Notepadilla kattamaan tuotannossasi olevat mukautetut sovellukset.

Kun avaat tiedoston suosikkisi tekstieditorissa, huomaat, että jokainen tietty toimintalohko on merkitty "POLITIIKKA" ja "END POLICY".

Tiedoston ensimmäinen käytäntö, "Global Search Path Behavior", voidaan jättää yksin. Tämä käytäntö kattaa session_manager-avaimen merkinnän, ja se on oletusarvoinen.

Toinen käytäntö on sovelluskohtaisia ​​ohituksia. Voit kopioida / liittää koko Outlookin "POLICY" ... "END POLICY" -lohkon (mukaan lukien) jokaiselle sovellukselle, joka vaatii mukauttamisen.

Valitsin Outlook.exe: n näytteeksi; kun kopioit / liität jokaisen ylimääräisen poikkeuksen, sinun on muutettava teksti "outlook.exe" kahdessa paikassa: ensimmäinen POLICY-nimessä ja toinen KEYNAME: n lopussa.

Esimerkiksi,
POLICY "my_other.exe"
KEYNAME "Ohjelmisto Microsoft Windows NT Nykyinen versio" Image File Execution Options
...
LOPULLINEN POLITIIKKA

Kun kaikki tunnetut poikkeukset on lisätty malliin, tallenna se paikkaan, johon GPO-muokkauskoneesi voi päästä (2k3-laatikossa ADM-tiedostojen yleissopimus on c: windows).


CWDIllegalInDllSearch.adm

Vaihe 4: Kehitä maksustrategia

Tätä kirjoitettaessa odotan, että eri koneilla on erilaiset poikkeusvaatimukset. Tämä voi kuitenkin olla sinulle tapahduttava. Jos kuitenkin on, haluatko pelata OU-hierarkiatasi ja / tai voit käyttää WMI-suodatusta ja muita toimintoja tarjoamaan käytännön sovelluksen soveltamisalan. Jos et ole aikaisemmin tehnyt WMI-suodatusta, se voi näyttää pelottavalta - mutta ei oikeastaan. Yksinkertainen yleiskuva WMI-suodatuksesta löytyy täältä:
http://technet.microsoft.com/en-us/library/cc754488%28WS.10%29.aspx
Anna se lukea ja sitten pelata väärällä GPO: lla ja nauti!

Takaisin GPO-palveluun - paras tapa maksaa on luoda uusi (tyhjä) GPO, joka on omistettu tietylle poikkeukselle. Pienemmät kaupat tekevät lopulta vain yhden GPO: n. Monimutkaisemmissa ympäristöissä on tietenkin useita. Äskettäin käynnistetyille jokaiselle GPO: lle tulee pois yksi muokattu malli; annat jokaiselle GPO: lle joitakin eri asetuksia.

Vaihe 5: Luo käytäntöobjekti, tee mallisi näkyväksi

Jos haluat nähdä muokatun mallin GPO-editorissa, sinun on lisättävä se. Ensimmäinen, hallintatyökalut -> Ryhmäkäytännön hallinta. Luo uusi (tai muokkaa olemassa olevaa) käytäntöobjektia. Sitten editorissa:
Tietokoneen määritys -> (napsauta hiiren kakkospainikkeella) Hallintamallit -> Lisää / poista.

Missä tahansa päädyit tarttumaan muokattuun ADM-tiedostoon, mene saamaan se. Kun napsautat "Sulje", uusi merkintä ilmestyy "Järjestelmä" -luokkaan "DLL-hakukäyttäytyminen". Kun tarkastelet tätä luokkaa aluksi, se on todennäköisesti tyhjä. Ei hätää, merkinnät piilotetaan. Paljastakaamme ne:

Onko Tiedoston toimintakatseluohje-valikkorivillä ylhäällä? Valitse Näytä -> Suodatus
TARKISTA "Näytä vain käytännölliset asetukset, jotka voidaan hallita täysin".

Merkinnät näkyvät nyt uudessa luokassa.

Sinun täytyy toistaa tämä prosessi jokaisen uuden luomasi GPO: n avulla. Lisäksi MSC: llä on tapana palauttaa kyseinen näyttösuodatin - joten saatat joutua tarkastelemaan uudelleen "Vain näytä" -valintaruutua joskus.

Nopea huomautus ADM-tiedoston muokkaamisesta "kun menet": GPO-editori lataa ADM-tiedoston käynnistyksen yhteydessä. Jos muutat ADM-tiedostoa muokkaatessasi GPO-tiedostoa, haluat poistua GPO-editorista tai käynnistää sen uudelleen nähdäksesi muutokset. Sinun täytyy muistaa tämä, jos teet (ja korjaat) virheen ADM-tiedostossa.

Vaihe 6: Toteuta!

Kun olet lisännyt mallisi GPO: han, voit ihmetellä muokkauksia osiossa
Tietokoneen määritys -> Hallintamalli -> Järjestelmä -> Dll-hakukäyttäytyminen.

Huomaa - mallin oletusarvo "Global Search Path Behavior" -asetukselle on 0 ("Legacy Behavior"), jotta estetään huonojen asioiden tapahtuminen, jos käytät tätä käytäntöä harkitsematta. Jossain vaiheessa haluat, että arvo on 2, "Block WebDAV ja UNC CWDs".

Aseta, tallenna ja liitä OU: t sopivaksi.

Jotkut nopeat "testaustaktiikat", koska useimmat meistä muokkaavat päivittäin ADM-tiedostoja ja -käytäntöjä (* yskä *):

- Testaa luomalla uusi GPO-objekti, joka sisältää tweakteja tarkasti muokatusta mallista.

- soveltaa tätä GPO-objektia yhdelle OU: lle yhdellä koneella.

- Client-side, regedit Ohjelmisto Microsoft Windows NT CurrentVersion Image File Execution Options ixefile.exe nähdä mukautuksesi.

- Regeditissa ennen F5: n virittämistä päivittääksesi rekisterinäkymän - ajaa gpupdate.exe pakottaaksesi käytännön päivityksen. Huomaa, että mallisi vaikuttaa vain konepolitiikkaan, joten uudelleenkäynnistyksiä tai kirjautumisia ei tarvita. Pelkkä gpupdate, lasketaan 10: een, sitten smack F5 (olettaen, että et ole juuttunut odottamaan politiikan toistamista useiden DC: ien joukossa).