探究“组策略”的原理
自己探究“组策略”的原理(本贴中引用外部链接,但绝对安全,请斑竹原谅。) 大家都知道“组策略”吧,利用它,我们可以设置各种有关系统安全的设置,譬如隐藏驱动器,删除(禁用)“任务管理器”,隐藏控制面板的某一项等等。如果你对这些设置都比较熟悉,就应该探究一下他们的原理了。
http://i3.6.cn/cvbnm/37/91/0b/94805d46e5495cb824b48cb092fb74b0.jpg
我们先掉转一下话题,介绍一款小软件,叫Process Monitor v1.26(大小:1.1MB),为什么要用这款软件呢,因为它可以像杀毒软件一样监控系统进程的操作,比如注册表操作,文件操作,他的下载地址为http://download.sysinternals.com/Files/ProcessMonitor.zip,它还支持单一或几个进程的监控,所以说,我们就要用它来监控一下“组策略”。我们下载下这款软件,打开它,我来说明一下。
http://i3.6.cn/cvbnm/08/bd/83/916371fb0fad892e6747e21c839f4c13.jpg
http://i3.6.cn/cvbnm/d9/e7/47/9b1e85cad2d4147250353d3018834334.jpg
http://i3.6.cn/cvbnm/4d/1e/78/5973b2659d8107a9ea65d489f9cc739e.jpg
http://i3.6.cn/cvbnm/eb/54/61/ca8e605d49e655b09ad04a3a1b9911bd.jpg
再说明一下:工具栏上的http://i3.6.cn/cvbnm/84/88/f2/f928f36ec19c842ac3610c56bb96451b.jpg分别表示是否自动滚屏、马上清空。
接下来我们以探究“计算机配置”-》“windows设置”-》“脚本”-》“启动”为例,来说明探究方法。
打开Process Monitor,单击菜单栏中的“Filter”-》“Filter”。
http://i3.6.cn/cvbnm/74/c9/d4/ac387b2a545405f6c753a940aacb70a5.jpg
设置“Process Name”-》“is”-》“mmc.exe”。
http://i3.6.cn/cvbnm/5e/c2/dc/c84593de3fcea611453401d3ad93e64b.jpg
设置软件为自动滚屏。
http://i3.6.cn/cvbnm/a6/21/39/4dde6e1df4e59b72ff58e5f0009d787d.jpg
按“开始”-》“运行”,输入“gpedit.msc”来进入“组策略”。刚刚打开的时候,Process Monitor会非常忙:
http://i3.6.cn/cvbnm/8e/f4/0b/4e4594c4eea9c3c469ce5657166606c8.jpg
等了大约5秒钟,它静下来了,这时我们清一下屏。
进入组策略的“计算机配置”-》“windows设置”-》“脚本”-》“启动”,按“添加”,在“脚本名”中输入c:\windows\notepad.exe
http://i3.6.cn/cvbnm/1e/d2/ef/0ad4ef2b60d030664b8995b01fe59071.jpg
再按“确定”,再按“确定”,这时赶紧看Process Monitor,呵呵,有变化了!
http://i3.6.cn/cvbnm/a9/58/5f/584c917895e03b88ff8a5e910309cc10.jpg
打开d:\windows\system32\grouppolicy\gpt.ini,发现里面有这一行
gPCMachineExtensionNames=[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
我怀疑这{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}与注册表有关,就打开注册表编辑器,查找{42B5FAAE-6536-11D2-AE5A-0000F87571E3}键,找到,里面的分支“0”键中的FileSysPath的值为“D:\WINDOWS\System32\GroupPolicy\Machine”
http://i3.6.cn/cvbnm/1f/c5/37/bb32df219d94d952d95c65dd3dcf75bf.jpg
打开这个文件夹,里面的Script文件夹中一个文件都没有,我怀疑是隐藏文件,于是显示隐藏文件,哈,里面的文件D:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Scripts (配置设置)文件引起了我的注意,打开,哈,终于找到了。
http://i3.6.cn/cvbnm/71/8d/73/96e7be600e3f4f6ad230abb8fbcc08be.jpg现在文章结束了,我在给大家一些提示:
1、平凡的人也能做出事业
2、Process Monitor占用页面文件及虚拟内存超多,不要长期打开。
3、有些设置是有规律的:
(1)某些设置修改注册表,可能设置"1"为是,“0”为否,也可能相反。
(2)某些设置修改注册表,可能项或键值存在为“是”,不存在为“否”。
(3)有些就比较复杂,比如隐藏驱动器,A区为1,B区为2,C区为4,D区为8,都是十六进制数,把数字加起来,就是要隐藏的驱动器。
【绝对原创】
【完】
页:
[1]