Windows 组策略加固攻击及配置方法

1.  直接执行

1.1.   IE地址栏执行

1.1.1.攻击步骤

c:\windows\system32\cmd.exe

dsquery groups

增加账号  net user test111 "Ab123456" /add

查看当前用户 net user

增加用户为administrators组 net localgroup administrators test111 /add

查看当前用户权限 net user test111

删掉该用户netuser test111 /del
查询域用户:net user /domain

查询域用户权限 net user /domain jt_test002

查询域管理员用户:net group “domain admins” /domain
查询域名称:net view/domain
查询域内计算机:net view/domain:XX
查询域控制器:net time/domain
查询所有域控制器:dsqueryserver
查询域内计算机:dsquerycomputer
查询域用户:dsqueryuser
查询域内用户组:dsquerygroup
查询域内组织单位:dsqueryou
查询域内站点: dsquerysite

1.1.2.加固方法

组策略:

用户配置→ 管理模版→ 任务栏和[开始]菜单→从[开始]菜单中删除“运行”菜单:已启用。(windows 2003域控)

用户配置→策略→管理模版→[开始]菜单和任务栏→从[开始]菜单中删除“运行”菜单:已启用。(windows 2008域控)

备注:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

不能有"NoRun"=dword:00000000,否则组策略会失效。如果有则需要删除该键值并重启系统。

另外,20008的组策略都是在策略里面,其他路径跟2003相同,后面不再累述。

1.2.   IE的文件菜单打开

1.2.1.攻击步骤

备注:IE打开不仅可以打开cmd,还可以打开其他exe文件。

1.2.2.加固方法

与上面相同,组策略:

用户配置→ 管理模版→ 任务栏和[开始]菜单→从[开始]菜单中删除“运行”菜单:已启用。

1.3.   IE的查看菜单浏览器栏→文件夹

1.3.1.攻击步骤

备注:如果AD中帐号为domain Admins组帐号,则很容易修改服务器本地管理员及其他普通用户的帐号密码,并将普通帐号加入本地管理员组中。另外,如果配置的软件限制策略排除了本地管理员的话,该软件限制策略会对这些属于本地管理组(默认Domain Admins组属于域成员主机的本地管理员组)的帐号失效;如果不排除本地管理员,该策略如果应用到了域控上面,将会导致域控很难管理。

备注:IE的查看菜单浏览器栏→文件夹,实际已经打开了资源管理器,可以进行URL攻击,下面的加固方法不涉及URL攻击的防范,URL攻击后面单独再描述。虽然可以通过删除SLID来实现屏蔽IE的查看菜单浏览器栏→文件夹显示的内容,但是对管理用户一样会产生效果,使用资源管理器时左侧树形结构不会出现内容,因此先不考虑。

1.3.2.加固方法

需要多个组策略配合:

  1. A.       隐藏"我的电脑"中指定的驱动器

用户配置→ 管理模版→ Windows组件→ Windows资源管理器→隐藏“我的电脑”中的这些指定的驱动器:已启用。

  1. B.       防止从"我的电脑"访问驱动器

用户配置→ 管理模版→ Windows组件→ Windows资源管理器→防止从“我的电脑”访问驱动器:已启用。

  1. C.        将所有的与4A主帐号相同的AD中的帐号从Domain Admins组中移除
  2. D.       软件限制策略,%USERPROFILE%\桌面\和C:\users\%USERNAME%\Desktop\ 路径策略(分别针对2003和2008系统)
  3. E.        软件限制策略,%USERPROFILE%\My Documents\和C:\users\%USERNAME%\My Documents\ 路径策略(分别针对2003和2008系统)
  4. F.        软件限制策略,\\* 路径规则
  5. G.       软件限制策略,mmc.exe 路径规则
  6. H.       软件限制策略,*.url路径规则

1.4.   用户桌面创建文件攻击

1.4.2.加固方法

  1. A.       将所有的与4A主帐号相同的AD中的帐号从Domain Admins组中移除
  2. B.       软件限制策略,%USERPROFILE%\桌面\ 路径规则(2003

计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:\\* 安全级别:不允许的。

  1. C.        软件限制策略,C:\users\%USERNAME%\Desktop\ 路径规则(2008

计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:mmc.exe 安全级别:不允许的。

  1. D.       把桌面的快捷方式删除,防止利用桌面的快捷方式进行攻击

即:C:\Documents and Settings\All Users\桌面目录。(2003

  1. E.        软件限制策略,*.url路径规则

 

1.5.    IE的internet选项

1.5.2.加固方法

通过上面的加固以后,基本上无法再形成有效攻击,如果想把Internet 选项给禁止,可通过如下组策略:

组策略:用户配置→ 管理模版→ Windows组件→ Internet Explorer→ Internet控制面板→禁用**页:已启用(所有列出的页都必须禁用)。

1.5.3.加固效果

加固后,无法呼起Internet 选项,也无法提前手工添加信任站点,但是添加信任站点可以在下载文件时出现提示时添加,如果希望用户手工添加信任站点,可以不禁用安全页。

即使不禁止internet 选项,也无法形成有效攻击:

1.6.   IE的MSN工具栏,打开资源管理器

1.6.1.加固方法

用户配置→管理模板→windows组件→Windows Messenger→不允许运行WindowsMessenger:已启用。

用户配置→管理模板→windows组件→Windows Messenger→初始化时不启动WindowsMessenger:已启用。

1.6.2.加固效果

加固后,无法通过IE界面呼起MSN,同时建议不要在服务器上安全其他多余的软件,特别是即时通讯软件,安装软件后可能会在IE工具栏上添加快捷方式,导致其他攻击方式发生。

2.  IE右键执行

2.1.   IE右键转到图片收藏夹

2.1.2.加固方法

和前面相同,利用组策略禁止访问本地磁盘。

  1. A.       隐藏"我的电脑"中指定的驱动器

用户配置→ 管理模版→ Windows组件→ Windows资源管理器→隐藏“我的电脑”中的这些指定的驱动器:已启用。

  1. B.       防止从"我的电脑"访问驱动器

用户配置→ 管理模版→ Windows组件→ Windows资源管理器→防止从“我的电脑”访问驱动器:已启用。

3.  IE其他攻击

3.1.   IE收藏夹攻击

3.1.1.攻击步骤

编辑收藏夹里面的网站,将其中一个网站的url设置成:file:///c:/windows/system32/cmd.exefile://c:\windows\system32\cmd.exe,双击该网站即可调出cmd界面。

http://blog.cyberdin.com/2010/02/hacking-citrix-and-terminal-server.html

3.1.2.加固方法

组策略,隐藏IE“收藏夹”菜单:

用户配置→管理模版→ Windows组件→ Internet Explorer→浏览器菜单→隐藏“收藏夹”菜单:已启用。

3.2.    通过呼起邮件客户端,邮件附件进行攻击

3.2.1.攻击步骤

3.2.2.加固方法

虽然通过前面的加固方法:禁止访问本地磁盘、软件限制策略等已难形成有效攻击,还是建议把默认的outlook Express卸载,卸载方法:以域管理员帐号登录,命令行运行(可以不用重启):

%HOMEDRIVE%\progra~1\Outloo~1\setup50.exe /APP:OE/CALLER:WINNT /PROMPT /uninstall。

3.2.3.加固效果

加固效果与IE的查看菜单浏览器栏→文件夹加固效果相同。

3.3.   通过windowsupdate进入控制面板进行攻击(2008)

3.3.1.攻击步骤

备注:测试用的是2008 IE7,并且citrix用户为DomainAdmins组或服务器本地管理员组才能形成有效的攻击。

3.3.2.加固方法

  1. A.       将所有的AD中的帐号从Domain Admins组中移除
  2. 组策略:

用户配置→管理模板→控制面板→禁止访问控制面板:已启用。(2003)

用户配置→策略→管理模板→控制面板→禁止访问控制面板:已启用。(2008)

4.  office攻击

4.1.   通过插入附件进行攻击

4.1.2.加固方法

  1. A.       将所有的AD中的帐号从Domain Admins组中移除
  2. B.       软件限制策略,%USERPROFILE%\Local Settings\Temporary InternetFiles\Content.IE5\  路径规则(2003

计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\ 安全级别:不允许的。

  1. C.        软件限制策略,C:\users\%USERNAME%\AppData\Local\Temp\ 路径规则(2008

计算机配置→windows设置→安全设置→软件限制策略→其他规则→右键新路径规则→路径:C:\users\%USERNAME%\AppData\Local\Temp\ 安全级别:不允许的。

时间: 2024-11-06 09:53:27

Windows 组策略加固攻击及配置方法的相关文章

windows组策略和共享

Author: Jin Date: 20140585 ENV: win2008 R2 5年没弄windows了,现在随便弄弄,说实话不太喜欢windows,不出问题时候很方便,一出问题很头大.所有东西都封装好了,之能看到报错信息和报错代码 还是UNIX/LINUX好,只要你愿意你可以把问题搞的很清楚. 一.组策略默认情况下,用户组策略会在后台每隔 90 分钟更新一次,并将时间作 0 到 30 分钟的随机调整.http://jingyan.baidu.com/article/d5a880eb721

自动修改Windows组策略

有的时候需要统一设置某组策略项目,网上流传的修改组策略的自动化方法都是使用修改注册表的方法.这种方法并不总是有效,特别是一些注册表键里含一个随机ID的时候.我经过摸索,给出使用LGPO的自动化修改方案.详文如下. 准备工作 下载LGPO 打开此链接,点击download后,在弹出窗口中选择LGPO.zip下载.我也同步放到了百度云中:链接 密码: mmvv 在你的电脑中将组策略预先设置好 我这里以 启用Internet Explorer 关闭安全设置检查功能配置项为例 处理过程 以管理员身份在L

组策略部署软件-计算机配置和用户配置的区别

在活动目录中,利用组策略来部署软件分为计算机配置和用户配置,这其中有什么区别呢? 计算机配置:在GPO链接的组中的所有计算机,在开机的时候,会部署软件. 用户配置: 已分配:在用户登录的时候会在桌面上加载一个快捷方式,双击的时候会自动安装. 已分布:在用户登录的时候,不会在桌面上作任何改变,只会在用户点击获得程序(从网络上          安装程序)的时候,才会显示软件,用户可以自己选择安装.

Windows组策略同步问题

每当,我们在域控制器上建立一个组策略的时候,我们很希望它能在线马上同步到所有的客户端上去. 当windows2008的域控上的做法:登录到每台windows客户端然后执行,gpupdate /force 手动同步. 当windows2012的域控上的做法:在组策略管理器上,相应的GPO上选择立即同步该组策略. 对于2008一直没有找到更好的办法,默认貌似必须重启客户端才会同步组策略.谁有更好的办法?

windows下apache+php+mysql 环境配置方法

一 准备 1 下载apache http://httpd.apache.org/download.cgi#apache24 httpd-2.2.22-win32-x86-openssl-0.9.8t.msi openssl表示带有openssl模块,利用openssl可给Apache配置SSL安全链接 2 下载php http://windows.php.net/downloads/releases/archives/ php-5.3.5-Win32-VC6-x86.zip 下载vc6版本 VC

Windows Serer 2016 technical preview 3 探究 – 6 配置组策略

配置ie 选项从组策略是最简单的,请确保但前的组策略是linked或者是应用在某一个ou上 你可以通过serve console 右上角的tools来点开 我是习惯通过mmc然后开gpo edit 选择相应的policy,group or domain or site policy 进去一看发现没有ie 维护模板 莫非和我之前的IE SEC关闭了有关?赶紧开了,然并卵 搜索了下,在win8和IE10之后,组策略不再进行IE相关的配置 附录 B:用于 Internet Explorer 维护的功能

[win]AD域组策略wifi自动配置

http://wenku.baidu.com/link?url=MC950wliAZNeVUJ2M6Y1VTi5faqo7kG374fyBjW57r0qyLJkBZLg5ypiql4RFywQ8q7yfdjr5nQMdvolCvNv6RBkogAmcibH0QHAr1NXklG 802.1x认证AD域自动下发客户端配置指导书 这篇文档不再描述radius 服务器和AD 域的搭建过程,只说明通过域下发802.1X客户端配置(即对域的配置过程) 适用的服务器:Win Server2008 radiu

实验四十八微软应用程序虚拟化之三APP-V 5.1 Client部署和通过组策略自定义配置

实验四十八微软应用程序虚拟化之三APP-V 5.1Client部署和通过组策略自定义配置 APP-V  Client分为Application Virtualization Desktop Client和 Application Virtualization Client for Remote Desktop Services,两者都为虚拟化应用程序提供并管理虚拟环境,管理到缓存的程序包传输.发布刷新.传输,以及与 Application Virtualization Server的所有交互.

组策略配置Powershell的Excution Policy

Powershell有自身的安全机制,默认的情况下,Powershell的执行策略是受限的,也就是Restricted,我们想要执行脚本必须先调整这个执行策略,在计算机上以管理员模式打开Powershell,然后输入Set-ExcutionPolicy命令,后面接想要设置的执行策略,Powershell的执行策略有Restricted,Allsigned,RemoteSigned,Unrestricted,Bypass这5种模式,具体的策略大家可以百度学习.今天要介绍的是,如何通过组策略对用户的