Обход групповых политик в домене windows 10

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

Или в оснастке Службы (Services).

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLMSYSTEMCurrentControlSetServicesgpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

И еще. Отключив таким образом службу клиента групповой политики, вы  периодически будете получать в трее уведомления о недоступности службы Windows.

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂  Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Администраторы просто обожают редактор локальных групповых политик, используя его для ограничения доступа к различным функциям и приложениям. Например, ваш администратор может отключить возможность запуска всех имеющихся на корпоративном компьютере приложений, кроме тех, которые находятся в белом списке. Если вы попробуете открыть, скажем, командную строку или Regedit, чтобы там чего-то нашаманить, то получите уведомление.

«Операция отменена из-за ограничений, действующих на этом компьютере»

К счастью, многие админы не особо заморачиваются с тем, чтобы сделать эти ограничения по-настоящему эффективными, поэтому их сравнительно легко обойти.

Для этого мы будем использовать лазейки в самой политике «Выполнять только указанные приложения Windows».

Во-первых, обратите внимание, что оная политика запрещает запуск приложений только из процесса Проводника, но не из командной строки.

Во-вторых, речь идет именно об именах программ белого списка, а не о самих исполняемых файлах.

Переименуйте файл программы

Соответственно, если переименовать исполняемый файл программы, не находящейся в списке разрешенного ПО, то ее можно будет запускать.

Правда, здесь есть одно «но».

Для переименования исполняемых файлов приложений в папке Program Files вам понадобятся права администратора, которых у вас может и не быть. Поэтому вам придется скопировать каталог программы из папки Program Files на рабочий стол, а затем переименовать исполняемый файл, присвоив ему название любого приложения из белого списка.

Многие портированные таким образом программы остаются в рабочем состоянии, если не считать потери части настроек, хранящихся в реестре. Со штатными приложениями всё немного сложнее, так как вам придется копировать еще и связанные с их исполняемыми файлами динамические библиотеки.

Исключение составляет командная строка, скопируйте ее файл cmd.exe из каталога System32 на рабочий стол или в отдельную папку, переименуйте и запустите.

Готово, теперь вы можете запускать через консоль другие штатные приложения, например, именно таким образом мы открыли заблокированный графический редактор Microsoft Paint.

Отредактируйте белый список программ из-под LiveCD

Второй способ обхода ограничений на запуск программ более продвинутый, требующий наличия загрузочного диска WinPE 10-8 Sergei Strelec.

С его помощью мы получаем доступ к реестру и редактируем белый список, добавляя в него программу, доступ к которой хотим открыть.

Сделать это с помощью редактора реестра в работающей системе, скорее всего, не получится, так как у вас не будет необходимых прав.

Загрузите компьютер с LiveCD Стрельца, запустите с рабочего стола утилиту Registry Editor PE и разверните в ней ключ:

HKLM_С_user_adminSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun

Заменив «admin» именем локальной учетной записи, из-под которой устанавливались ограничения.

Создайте в правой колонке редактора новый строковый параметр,

с именем добавляемого в белый список приложения и установите в качестве его значения имя исполняемого файла программы.

Всё готово, вы отредактировали локальные групповые политики в обход манипуляций вашего администратора, тем самым разрешив самому себе запускать заблокированную им программу.

Некоторые администраторы применяют в своей инфраструктуре Active Directory (AD) функционал Software Restriction Policies (SRP), имеющийся в составе Group Policy, для того, чтобы явным образом ограничивать запуск и исполнение каких-либо приложений. То есть используется сценарий ограничительных мер по типу «разрешено всё, кроме того, что явно запрещено». Например, в рамках мероприятий по противодействию новомодным комплексным шифровальщикам, у некоторых администраторов может возникнуть желание явно запретить запуск некоторых исполняемых файлов, используемых вредительским ПО, не запрещая при этом запуск всех прочих приложений и не используя механизмы проверки цифровых подписей.

В данной заметке мы поговорим о том, почему мероприятия подобного рода могут оказаться малоэффективны, наглядно продемонстрировав пример того, как любой непривилегированный пользователь может без особых сложностей обойти некоторые механизмы защиты. В качестве наглядного примера мы рассмотрим ситуацию с запретом исполнения небезызвестной утилиты PsExec из пакета PsTools Sute.

Итак, предположим, что администратор домена настроил общую для всех компьютеров политику, в которой в разделе Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies > Additional Rules несколькими правилами запретил запуск утилиты PsExec по двум критериям – Path и Hash. То есть при запуске приложений проверяется, как путь так и хеш файла

При этом в Security Level администратор выбрал режим работы SRP — Unrestricted, то есть разрешено всё, кроме исключений, описанных в Additional Rules

Назначив такую политику на доменные компьютеры, администратор выполняет попытку запуска утилиты PsExec, и убедившись в том, что система вещает о невозможности запуска — «This program is blocked by group policy. For more information, contact your system administrator«, считает свою задачу выполненной.

Спустя некоторое время возникает ситуация, в которой на каком-то условном доменном компьютере, условный пользователь и отъявленный проказник Петя Резинкин, хочет во чтобы то ни стало воспользоваться выше обозначенным приложением. Но совершенно справедливо этот пользователь получает от системы «отлуп»:

Пользователь конечно может попытаться переименовать файл, чтобы выйти из под действия Path-правила SRP, но система всё равно не даст запустить приложение, так как хеш приложения будет совпадать с запрещающим Hash-правилом SRP.

Таким образом перед нашим пользователем встаёт задача изменения хеша исполняемого файла, чтобы SRP больше не считал его запрещённым приложением. Но как изменить хеш файла, не повредив при этом сам файл? Если пользователь имеет доступ на изменение файла, то для решения поставленной задачи можно использовать механизм подмены цифровой подписи файла, при условии, что в системе не используется никаких механизмов форсированной проверки цифровых подписей запускаемых приложений и самому приложению «фиолетово» до подвешенной на него цифровой подписи.

Чтобы продемонстрировать простоту и доступность этого метода, в первую очередь нашему Пете потребуется цифровой сертификат с поддержкой Code Signing (1.3.6.1.5.5.7.3.3).

Получение Code Signing сертификата

Получить Code Signing сертификат можно разными путями. Если администратор доменных служб сертификации AD любезно предоставил всем желающим использовать шаблон сертификата, в котором есть поддержка Code Signing, то Петя сможет получить сертификат, которому любая доменная система уже будет отчасти доверять. С другой стороны, если нет необходимости заморачиваться с доверием сертификату (если проверка подписания исполняемых файлов не обязательна), то нашему Пете вполне подойдёт самоподписанный сертификат, который он способен сделать и установить в своё хранилище личных сертификатов без чьей-либо помощи и без необходимости иметь какие-то административные привилегии.

Если Петя сидит на модной Windows 10, где администратором домена не запрещено использовать PowerShell, то создать само-подписанный сертификат нужного типа – вопрос вызова буквально одного командлета:

New-SelfSignedCertificate -CertStoreLocation cert:currentusermy `
-Subject "CN=Petya Code Signing" `
-KeyAlgorithm RSA `
-KeyLength 2048 `
-Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
-KeyExportPolicy Exportable `
-KeyUsage DigitalSignature `
-Type CodeSigningCert `
-NotAfter $([datetime]::now.AddYears(25))

В результате такого запроса будет сгенерирован самоподписанный сертификат с правом подписывания кода сроком действия в 25 лет. Созданный сертификат автоматически будет помещён в хранилище личных сертификатов пользователя.

Если злобный администратор закрыл доступ к оснасткам MMC, то Петя, не прибегая лишний раз к инструментам командной строки, без особых трудностей может визуально убедиться в присутствии сгенерированного сертификата в хранилище личных сертификатов, например, через окно управления настройками браузера, которое может быть вызвано как из меню браузера Internet Explorer, так и из Панели управления.

А если система у нашего Пети более старая, чем Windows 10, или администратор настолько коварен, что ограничил доступ к оболочке PowerShell, то можно прибегнуть к помощи старой доброй «on-board» утилиты certreq.

Создаём конфигурационный файл запроса по типу:

[NewRequest]
Subject = "CN=Petya Code Signing v2"
KeyLength = 2048
KeyAlgorithm = RSA
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"
MachineKeySet = false
Exportable = true
KeySpec = 2
KeyUsage = 0x80
RequestType = Cert
NotAfter = "29.03.2043"
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.3 ; Code signing

Выполняем запрос, указав конфигурационный файл:

certreq -new C:TempPetyaRequest.inf

В результате выполнения такого запроса сертификат будет сгенерирован и также  автоматически установлен в личное хранилище сертификатов пользователя

Итак, нужный сертификат имеется. Далее нам потребуется любой инструмент, который умеет работать с цифровыми подписями исполняемых файлов Windows.

Подмена цифровой подписи

Для работы с цифровой подписью существуют разные утилиты, но мы по традиции выбираем ту, которая «родней» с точки зрения вендора – утилита SignTool. Эту утилиту можно найти в составе Visual Studio или Windows SDK (например, для SDK Windows 8.1 x64 эту утилиту можно найти в каталоге C:Program Files (x86)Windows Kits8.1binx64). Подробней о работе этой утилиты можно почитать здесь. 

Посмотреть текущие цифровые подписи интересующего нас приложения можно командой:

signtool verify /pa /v C:ToolsPsExec.exe

либо,  просто заглянув в графической оболочке Windows Explorer в свойства интересующего нас исполняемого файла на вкладку Цифровые подписи:

Теперь Пете остаётся только заменить имеющуюся цифровую подпись собственной:

signtool sign /a /v C:ToolsPsExec.exe

В ходе выполнения команды, для подписи указанного файла из личного хранилища сертификатов пользователя автоматически будет выбран наиболее подходящий сертификат (опция /a), а прежняя цифровая подпись файла будет заменена подписью пользователя:

Разумеется, после подмены цифровой подписи, изменится размер файла и теперь его хеш будет отличаться от хеша оригинального файла, который был запрещён администратором SRP.

Теперь в качестве завершающего штриха пользователю остаётся только переименовать исполняемый файл таким образом, чтобы его имя не совпадало с именем оригинального заблокированного приложения.

В конечном результате Петя может запускать приложение.

В качестве вывода, хочется отметить, что SRP – механизм, безусловно, интересный и в своей степени заслуживающий внимания, но приступать к его продуктивной эксплуатации нужно только внимательно изучив все особенности его работы. В противном случае может получиться так, что настроенные администратором правила не будут нести ничего, кроме бестолковых накладных расходов на каждой доменной машине, на которой задействован данный функционал. А ведь эти мощности можно использовать для просмотра котиков, ну или, на худой конец, для майнинга

Для тех, кто ещё только собирается внедрять SRP или хочет навести у себя в этом порядок, весьма полезными могут отказаться русскоязычные статьи Vadims Podans: Sysadmins LV — Software Restriction Policies.

Skip to content

Временный обход политики домена (тема, сложность пароля, USB и т. Д.)

Предпосылка:Следующие операции должны иметь права локального администратора

задний план

При обслуживании компьютера домена иногда требуются специальные операции, и некоторые стратегии необходимо временно обойти. Повторно входить в PE или переустанавливать систему проблематично, поэтому следующие общие методы и навыки суммируются и временно используются без нарушения системы управления компанией. ,

1. Изменить обои и тему

1. Удалите следующий ключ реестра

• HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemNoDispScrSavPage
• HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemWallpaper
• HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemWallpaperStyle
• HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemNoThemesTab
• HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemNoChangingWallPaper

2. ПерезагрузитеПроцесс проводника Windows

3. До и после сравнения

2. Стратегия сложности пароля

1. Щелкните правой кнопкой мышиЗапустить от имени администратораОткрыть CMD

2. Введитеsecedit /export /cfg c:sec.cfgЭкспорт файла конфигурации

** 3. ** Использованиеноутбуквключиc:sec.cfg,поверниPasswordComplexity=1изменить вPasswordComplexity=0И сохранить

4. Импортируйте новую конфигурацию,secedit /configure /db %windir%securitynew.sdb /cfg c:sec.cfg /areas SECURITYPOLICY

5. После успешного завершения вы можете изменить пароль локальной учетной записи независимо от сложности пароля.

3. Время синхронизации доменной политики

Изменить раздел реестра

• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSystemGroupPolicyRefreshTimeдля0(Диапазон от 0 до 44640 минут (31 день), 0 никогда не проверяется)
• HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsSystemGroupPolicyRefreshTimeдля0(Диапазон от 0 до 44640 минут (31 день), 0 никогда не проверяется) **

4. USB для чтения и записи

а).

Этот метод направлен на отключение набора в шаблоне управления групповой политикой, отключение другими способами недопустимо и может запускаться от имени администратора.GPRESULT /SCOPE COMPUTER /H GPReport.html & GPRESULT /SCOPE USER /H GPReport2.htmlПосмотреть

б). Операционные этапы

1. Удалите следующий ключ реестра (если есть)

• HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevicesСледующие пункты
• HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevicesСледующие пункты

2. ПерезагрузитеПроцесс проводника Windows

3. Вставьте диск U

4. До и после модификации пишите в файл сравнения

в). Другие возможные способы отключения реестра

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePoliciesКлюч-значениеWriteProtect
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORКлюч-значениеStart，3Показывает нормально,4Указывает, что запрещено загружать драйвер USB-накопителя после установки диска U
• Другое программное управление

5. Реестр отключен

Этот метод предназначен для отключения набора в шаблоне управления групповой политикой, отключение другими способами недопустимо

** 1. Используйте Блокнот, чтобы сохранить следующее и сохранить какEnableRegedit.inf **

[Version]
Signature="$CHICAGO$"

[DefaultInstall]
DelReg=EnableRegTools

[EnableRegTools]
HKCU, "SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem","DisableRegistryTools"

2. Установка правой кнопкой мышиEnableRegedit.inf

3. Реестр можно нормально использовать после установки

Можно ли обойти Групповые политики уровня домена?