AppLocker can help you: Define rules based on file attributes that persist across app updates, such as the publisher name (derived from the digital signature), product name, file name, and file version. You can also create rules based on the file pat…

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比…

要查看 Windows 10 版本信息,使用[运行]> dxdiag  回车 下表包含 Windows 10 的初始版本(版本 1507)中包括的一些新的和更新的功能以及对版本 1511 的 Windows 10 更新. 注意: 有关每个版本的发布日期和服务选项,请参阅 Windows 10 版本信息. 部署 使用 Windows 映像和配置设计器 (ICD) 预配设备 在 Windows 10 中,你可以创建一个设置包,这可使你快速且高效地配置设备,而无需安装新映像. Windows 预配可使…

[GPO命令] 终端通过GPO(Get Processing Options)命令 通知卡片交易开始.命令数据为PDOL指定的终端数据. [GPO响应] 卡片在GPO命令的响应中返回AIP和AFL:AIP指示卡片对借贷记功能的支持能力:AFL包含终端将要读取用来交易处理的卡片数据文件的SFI和记录范围: GPO的响应有两种格式: Format1: The data object returned in the response message is a primitive data object…

网上有很多讲内网渗透的文章,但看来看去还是一老外的博客给力,博客地址:www.harmj0y.net/blog,看完就明白这里面的很多思路都非常好. 做内网时,有时会碰到目标的机器开防火墙,所有端口基本都访问不到,这种就比较难办了.就自己知道的方法只能靠GPO了(Group Policy Objects). GPO先简单知道这三点,详细解释可查查资料: 域管理员可根据GPO批量给机器装软件,关闭防火墙等: 机器默认1个半小时到两个小时之间自动刷新一次GPO: 每台域机器都有一特定的GUID. 但…

Add the Log on as a service Right to an Account Updated: August 8, 2008 Applies To: Windows Server 2008 You can use this procedure to add the Log on as a service right to an account on your computer. Membership in the local Administrators group, or e…

用windows自带的GPO Editor编辑修改,然后利用注册表监控器regFromApp监视注册表的改动,就知道某个策略修改了注册表的哪个字段了. 下面是禁止U盘访问的例子:   #include <gpedit.h> #include <windows.h> #include <objbase.h> #include <comdef.h> #include <sstream> #include <iostream> int ma…

Metasploit Metasploit框架有一个特定的有效载荷,可用于通过Regsvr32实用程序实现自动化绕过AppLocker exploit/windows/misc/regsvr32_applocker_bypass_server 该模块将启用一个用于存储恶意.sct文件的web服务,同时也提供用于在目标系统下执行的命令 命令执行后regsvr32将从web服务器请求.sct文件,然后执行PowerShell payload 最后成功绕过绕过AppLocker限制…

当两个组策略冲突时: 1.如在同一层OU,后生效的组策略有效,优先级高.在组织单元的'链接的组策略对象'中标明了组策略的先后应用次序,其中下面的组策略先应用,上面的组策略后应用,即上面的组策略优先级高.但也可以按边上的按钮来调整其应用次序. 2.而当有多层OU时,最里层的策略优先级高,有效. 3.当有两个OU,各有一个GPO,第一个OU在计算机A 的组策略 的计算机配置里设置了显示桌面图标,而第二个OU在计算机A的组策略 的用户配 置里设置了不显示桌面.则用户配置优先,有效. 或着说,在一个组策…

与前一篇博文发表已经相去月余了,实在是有些不好意思了.感谢51CTO的大编们将小文加了推荐,这使我更加觉得自己产出太少,难于回馈大家的厚爱. 今天将这个系列的第二篇奉献给大家,以伺视听. 在上篇小文中,我们谈及组策略管理工具——组策略管理器的使用,今天我们来谈谈组策略管理器管理的对象——GPO(组策略对象).GPO是我们接下来的系列文章要重点讨论的对象,那么什么是GPO呢?通俗地讲,就是组策略的载体,在它的内部“装载”了对于计算机和用户的大大小小的配置选项,即“组策略”.在Windows 200…

How to use AppLocker Pro: 1. Start AppLocker Pro, create a password.2. In the main console, click "+" and select the apps you want to lock.3. You can choose wheather to use full screen mode to block access4. You can set AppLocker Pro to auto sta…

Operating system requirements   The following table show the on which operating systems AppLocker features are supported. Version Can be configured Can be enforced Available rules Notes Windows Server 2012 R2 Yes Yes Packaged appsExecutableWindows In…

I'm currently working on a new Windows Server 2012 and Windows 8 project. As part of that project is to implement new standarised security policies for both Windows Server 2012 and Windows 8, much like the Server 2008 and Windows 7 policies we use. T…

Windows Server Update Services Configuration Wizard: Approve procedure of these updates is very tiring and time consuming. The simple way to do this is to approve all updates and dispprove only unwanted ones. And creating the GPO for Intranet updates…

For Windows Update, the limitation normally is a time window, disk space, network bandwidth. Create a GPO - Windows Update Configuration…

Backup the GPO to a second server is very important. Restore a GPO if necessary. Note: WMI filter and Links need to be re-configured after restoration.…

Create a GPO to disable Task Manager Access to normal users. Add an exception to Domain Admins.…

Creating local folders and copying files  Mapping printers via GPO Deny logon locally.  Installation Software  Key Settings for silent installation We can also use PDQ Deploy or other clients management system to install the software: https://www.pdq…

Prohibit access to Control Panel and PC settings Disable GPO for Administrators and /or User Groups   Custom wallpaper  Account lockout and security policies…

Create a Group Policy on AD DC Server. The GPO policy will come into effect on the next login, or use the following command to force the GPO to update. gpupdate /force…

有时候管理多个林,在一个林中配置了GPO之后,想复制出来用到其它林里.默认系统的组策略管理里没有这个功能.但是微软在微软企业桌面优化套件Microsoft Desktop Optimization Pack 中提供了一个工具可以实现这样的功能.MDOP 是一项面向批量许可客户的 Windows 软件保障权益.MDOP 虚拟化技术可帮助你个性化用户体验.简化应用程序部署.提高应用程序与 Windows 的兼容性,以及管理和保护你客户的设备.Microsoft 高级组策略管理(AGPM)扩展了组策略…

1.需要用到微软工具MSXSL.exe,msxsl.exe是微软用于命令行下处理XSL的一个程序,所以通过他,我们可以执行JavaScript进而执行系统命令,其下载地址为: https://www.microsoft.com/en-us/download/confirmation.aspx?id=21714 2.执行该工具需要用到2个文件,分别为XML及XSL文件,其命令如下: msxsl.exe test.xml exec.xsl test.xml: <?xml version="1.…

Creating disk space usage quotas: File Screening Generate Storage Report, including file edit audit. You can configure a scheduled report here.…

WMI filtering Setting - Differentiating Installation Between Operations and Architecture. WMI SQL General script: 64-bit select * from Win32_OperatingSystem WHERE OSArchitecture = "64-bit" AND ProductType="1" 32-bit select * from Win32…

问题   解决: 1.手动安装了 Windows8.1-KB2919442-x64 2.手动下载 KB2919355 更新成功     Turns out to have been a result of a USB Restriction GPO which locked down permissions to USBSTOR.sys, which KB2919355 has to update, and fails if it can't.  Once we remediated the p…

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比…

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比…

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比…

什么是算法 1.什么是算法 算法(algorithm):就是定义良好的计算过程,他取一个或一组的值为输入,并产生出一个或一组值作为输出.简单来说算法就是一系列的计算步骤,用来将输入数据转化成输出结果. mark:我们可以把所有的算法想象为一本“菜谱”,特定的算法比如菜谱中的的一道“老醋花生米”的制作流程,只要按照菜谱的要求制作老醋花生米,那么谁都可以做出一道好吃的老醋花生米.so,这个做菜的步骤就可以理解为:“解决问题的步骤” 2.算法的意义 假设计算机无限快,并且计算机存储容器是免费的,我们还…

问题:域环境下如何禁用USB口设备? 第一种:用传统的办法,在Bios中禁用USB. 第二种: 微软技术支持回答:根据您的需求, Windows识别USB设备主要通过两个文件,一个是Usbstor.pnf.另外一个是Usbstor.inf,当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标.1.打开Active Directory用户和计算机:2.选择需要禁用USB设备的OU,并点击鼠标右键进行组策略:3.创建一个针对USB的GPO,并点击编辑,打开组策略编辑器:4.进入组策略编辑…