下载掌阅APP,畅读海量书库
立即打开
组策略(Group Policy)主要用来控制应用程序、系统设置和网络资源。通过组策略,可以统一设置各种软件、计算机、用户策略。组策略的核心价值在于对计算机账户及用户账户在当前计算机上的行为操作进行管控。组策略可进一步分为“本地组策略”和“域组策略”。
本地组策略(Local Group Policy)是组策略的基础版本,它面向独立且非域的计算机,包括计算机配置策略及用户配置策略,如图1-4所示。我们可以通过本地组策略编辑器去更改计算机中的组策略设置。例如,管理员可以通过本地组策略编辑器对计算机或者特定的组策略用户进行多种配置,如桌面配置和安全配置等。
1)通过“Windows键+R”调出运行窗口,输入gpedit.msc来运行本地组策略编辑器,如图1-5所示。
2)进入本地组策略编辑器,如图1-6所示。
图1-4 本地组策略
图1-5 运行本地组策略编辑器
图1-6 本地组策略编辑器
3)在“计算机配置→Windows设置→脚本(启动/关机)”的路径中选择“启动”,如图1-7所示。
图1-7 在“脚本(启动/关机)”页面选择“启动”
4)进一步点击“属性”按钮,如图1-8所示。
5)具体设置在开机的时候同时启动的脚本,如图1-9所示。
图1-8 点击“属性”
图1-9 设置开机启动的脚本
6)如图1-10所示,点击“显示文件”,就会打开一个目录。可以向该目录投放后门木马实现权限维持,如图1-11所示。
图1-10 显示目录文件
图1-11 投放后门木马
域组策略(Domain Policy)是一组策略的集合,可通过设置整个域的组策略来影响域内用户以及计算机成员的工作环境,以此来减少用户单独配置错误的情况。
1)在DC中打开“组策略管理”界面,如图1-12所示。
图1-12 打开“组策略管理”界面
2)新建“组策略对象”,利用组策略对内网中的用户批量执行文件,如图1-13所示。
图1-13 新建“组策略对象”
3)右击编辑新建的组策略,如图1-14所示。
图1-14 编辑新建的组策略
4)使用组策略管理用户登录配置,如图1-15所示。
图1-15 组策略管理用户登录配置
5)点击“登录”按钮后,打开“显示文件”,如图1-16所示。
图1-16 “登录属性”界面
6)如图1-17所示,在显示的文件夹中,手动创建一个test.bat批处理文件,其主要作用是在启动时自动打开计算器。
图1-17 创建test.bat批处理文件
7)创建test.bat批处理文件后,将其添加到登录的脚本中,如图1-18所示。
图1-18 创建并加载test.bat批处理文件到登录脚本中
8)使当前域组策略链接现有GPO,如图1-19、图1-20所示。
图1-19 使当前域组策略链接现有GPO(1)
9)使用命令“gpupdate/forCE”强制更新我们刚才创建的组策略,如图1-21所示。
10)登录域账号进行策略验证,验证发现当域账号登录成功时,会自动弹出我们创建的“计算器”,如图1-22所示。
图1-20 使当前域组策略链接现有GPO(2)
图1-21 使用“gpupdate/forCE”强制更新组策略
图1-22 登录域账号验证策略