更新组策略命令(查看组策略命令)

# 1、概述

在本节中，我们将讨论Active Directory中的组策略，它是AD的重要元素之一。我们将介绍以下概念:

什么是 Active Directory 中的组策略为什么需要组策略使用组策略可以实现什么如何枚举和破坏组策略

创建组策略是为了集中管理整个Active Directory域中的操作系统、用户和计算机。这些策略允许我们从GPMC的集中控制台(组策略管理控制台)管理用户和计算机设置。

运行时输入GPMC.msc打开GPMC。

<img src="https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202204021531958.png" alt="image-20220402153139847" style="zoom:50%;" />& ltimg src = & # 34https://m-1254331109 . cos . AP-Guangzhou . myq cloud . com/202204021531958 . png & # 34；alt = & # 34image-20220402153139847 & # 34；style = & # 34缩放:50%；"/& gt；

# 2、组策略对象(Group Policy Objects)

GPO(组策略对象)包含组策略设置以及与文件系统和Active Directory中的策略设置相关的文件描述。如上图所示，组策略对象容器下只有两个GPO。这些是在创建域时自动创建的核心GPO。

# Default Domain Policy（默认域策略）

此默认策略根据密码策略、Kerberos策略和帐户锁定策略为域中的所有用户和计算机定义了一组基本设置。

# Default Domain Controllers Policy（默认域控制器策略）

默认域控制器策略为域中的所有域控制器定义了一组基本的安全和审核设置。

组策略是一组组合并应用于计算机或用户对象的策略。

# 3、Group Policy Management Editor（组策略管理编辑器）

在运行中输入gpedit.msc以打开组策略管理编辑器。您可以使用它来编辑组策略。如您所见，策略设置分为两类:计算机配置和用户配置。

# 计算机配置

如果GPO的设置是在“计算机配置”下指定的，并应用于特定的计算机对象，则计算机对象将具有指定的安全设置、系统行为、应用程序设置以及在计算机启动和关机时执行的脚本，而不管登录到应用GPO的计算机的用户是谁。

# 用户配置

在用户配置下定义的策略定义了特定于用户的系统行为、应用程序设置、安全设置、分配和发布的应用程序、用户登录和注销脚本以及文件夹重定向。如果为特定用户定义了策略，则该策略将应用于该用户登录的任何系统。

* *注意:*“计算机配置”下定义的策略将覆盖“用户配置”下定义的策略。

GPO创建后，需要链接到一个或多个AD容器，如整个域或特定的OU(组织单位)才能生效。例如，如果要创建一个组策略来授予数据库管理员团队的所有成员访问SQL所需的共享文件夹的权限，则此GPO必须仅链接到DBAdmins OU。

# 4、常见的GPO

一些常见类型的组策略用于启用不同类型的任务，例如一些配置:

安全策略（例如禁用 NTLM 身份验证）和自定义策略（例如限制普通用户对命令提示符的访问）IT策略，如限制对USB驱动器的访问、配置登录banner向用户显示法律通知等。审计和合规性策略，例如启用高级 Windows 审计策略以启用对重要对象的审计以及在事件查看器中记录建议的重要 Windows 事件 ID 等。域中复杂的密码策略，用于应对密码喷射攻击。自动化策略，如在多台计算机/服务器上部署标准工具、映射网络驱动器、自动执行登录/注销任务等。

【————全网最全的网络安全学习资料包，分享给热爱学习的你。关注我，私信回复“数据收集”——]
1。网络安全多向学习路线
2。全网最全的CTF入门学习资料
3。一线大佬实战经验分享笔记
。

# 5、组策略刷新间隔

刷新间隔定义了特定域计算机或服务器向域控制器请求组策略更新的时间，以确保复制任何组策略更改。默认刷新间隔为90分钟，并且为每台计算机/服务器添加了一个随机偏移间隔，以防止所有域计算机同时从DC请求组策略更新。关于GPO的更多信息将在本系列的后面讨论。

# 6、SYSVOL

SYSVOL是AD中最重要的网络共享之一，因为它存储组策略模板，并且默认情况下在域控制器上共享。所有域计算机都访问此共享来检查域策略。其默认位置是域控制器中的%SYSTEMROOT%\SYSVOL\sysvol。网络上的位置是\ \ <域名& gt\SYSVOL .

sysvol文件夹由以下部分组成:

脚本（即 GPO 中引用的启动脚本和文件，如 .bat、vbs 等）组策略文件夹和模板（在整个域中复制）连接点（类似快捷方式。一个目录可以指向不同的目录）

# SYSVOL Policies folder（SYSVOL策略文件夹）

SYSVOL策略文件夹包含所有GPO。每个GPO的文件夹名称与该GPO的GUID相同。

以下是SYSVOL中策略文件夹的组成:

Machine 存储GPO的计算机特定配置User 存储GPO的用户特定配置GPT.INI 存储GPO配置

DFSR(分布式文件系统复制)是SYSVOL文件夹复制的默认复制机制，由DFSR完成。

# 7、组策略首选项

微软推出了一个名为“组策略首选项”的重要功能，它可以帮助在创建计划任务和更改所有工作站上的本地管理员密码等场景中存储和使用凭据。这对管理员来说很有帮助，因为它提供了一种自动机制(而不是借助脚本来完成)，其中密码不像脚本那样以明文保存，而是以AES-256位加密保存在SYSVOL目录的xml文件中。但是后来微软在他们的MSDN门户网站上公布了一个私钥，允许解密以这种方式创建的xml文件中存储的任何密码。

因为域中的每个人都有SYSVOL的读权限，所以只需要在XML文件中找到cpassword并解密密码。

PowerSploit的GPP密码工具可以在sysvol策略目录的xml中搜索cpassword字段，并使用Microsoft以前发布的密钥对其进行解密。

电力项目:https://github.com/PowerShellMafia/PowerSploit

虽然微软后来发布了补丁，禁用了像这样输入密码的选项，但是如果管理员不删除XML文件，这个问题依然存在，而且密码在很多情况下都是有效的，所以这是一种有效的攻击方法。

后来微软用LAPS(本地管理员密码解决方案)修改了本地管理员密码。

最佳实践:

对于系统管理员来说，删除SYSVOL文件夹中有密码的现有GPP XML文件，并确保那里没有这样的文件。对于渗透测试者，最佳实践是枚举 SYSVOL 策略文件夹以寻找包含 cpassword 的 xml 文件。防御者的最佳做法是创建 AD 诱饵并在其中包含带有密码的 xml 文件，并启用审核策略以在有人访问未链接到实际 GPO 的文件夹时收到警报。这个会在后续文章中详细介绍。# 8、在域中查找GPO

要检查域中的所有GPO，可以使用以下命令:

PS C:\ Users \ Administrator & gt；Get-GPO-all | select display Name display Name-default domain policy default domain controllers policy #查看GPO Get-GPO report-Name & # 34；& ltGPO名称& gt"-Path & lt；带有文件名的路径& gt-报告类型& # 34；& ltHTML | XML & gt"您可以看到XML格式的策略定义，例如当启用防火墙规则或运行脚本时GPO将做什么:

& lt计算机& gt& ltVersionDirectory & gt1 & lt/version directory & gt；& ltVersionSysvol & gt1 & lt/VersionSysvol & gt；& lt已启用& gttrue & lt/Enabled & gt；& ltExtensionData & gt& lt扩展xmlns:Q1 = & # 34；http://www . Microsoft . com/group policy/Settings/windows firewall & # 34；xsi:type = & # 34；Q1:windows firewall settings & # 34；& gt& ltq1:全局设置& gt& ltq1:策略版本& gt& ltq1:值& gt541 & lt/Q1:Value & gt；& lt/q1:策略版本& gt& lt/q1:全局设置& gt& ltQ1:InboundFirewallRules & gt；& ltq1:版本& gt2.29 & lt/q1:版本& gt& ltq1:行动& gt允许& lt/Q1:Action & gt；& ltq1:名称& gt允许WinRM端口5985 & lt/Q1:Name & gt；& ltQ1:Dir & gt；在& lt/Q1:Dir & gt；& ltQ1:LPort & gt；5985 & lt/Q1:LPort & gt；& ltq1:协议& gt6 & lt/q1:协议& gt& ltq1:主动& gttrue & lt/Q1:Active & gt；& lt/Q1:InboundFirewallRules & gt；& lt/Extension & gt；& lt名称& gtWindows防火墙& lt/Name & gt；& lt/extension data & gt；& ltExtensionData & gt& lt扩展xmlns:Q2 = & # 34；http://www.microsoft.com/GroupPolicy/Settings/Registry" xsi:type = & # 34；q2:注册表设置& # 34；& gt& ltq2:受阻& gtfalse & lt/Q2:Blocked & gt；& lt/Extension & gt；& lt名称& gt注册表& lt/Name & gt；& lt/extension data & gt；& lt/Computer & gt；& lt用户& gt& ltVersionDirectory & gt1 & lt/version directory & gt；& ltVersionSysvol & gt1 & lt/VersionSysvol & gt；& lt已启用& gttrue & lt/Enabled & gt；& lt/User & gt；& lt/GPO & gt；在上面的配置中，我们可以看到它启用了Windows防火墙中的一个规则。

# 查找配置错误的组策略

要进行验证，首先创建一个GPO，并将其配置为允许Ghost用户编辑该GPO。

然后，我们得到GPO的cn:

并在此GPO上执行ACL检查，以查看用户Ghost是否拥有我们配置的权限。

这是一个错误配置的组策略对象的例子。由于用户ghost拥有编辑GPO的权限，因此他可以在没有域管理员许可的情况下从GPO编辑设置和完成一些其他任务。

# 9、说明

这篇文章是作者根据原文编辑的。转载请注明原文出处。

原文:活动目录基础(第3部分)-组策略