自己探究“组策略”的原理(本贴中引用外部链接,但绝对安全,请斑竹原谅。) 大家都知道“组策略”吧,利用它,我们可以设置各种有关系统安全的设置,譬如隐藏驱动器,删除(禁用)“任务管理器”,隐藏控制面板的某一项等等。如果你对这些设置都比较熟悉,就应该探究一下他们的原理了。
我们先掉转一下话题,介绍一款小软件,叫Process Monitor v1.26(大小:1.1MB),为什么要用这款软件呢,因为它可以像杀毒软件一样监控系统进程的操作,比如注册表操作,文件操作,他的下载地址为
http://download.sysinternals.com/Files/ProcessMonitor.zip,它还支持单一或几个进程的监控,所以说,我们就要用它来监控一下“组策略”。我们下载下这款软件,打开它,我来说明一下。
再说明一下:工具栏上的
分别表示是否自动滚屏、马上清空。
接下来我们以探究“计算机配置”-》“windows设置”-》“脚本”-》“启动”为例,来说明探究方法。
打开Process Monitor,单击菜单栏中的“Filter”-》“Filter”。
设置“Process Name”-》“is”-》“mmc.exe”。
设置软件为自动滚屏。
按“开始”-》“运行”,输入“gpedit.msc”来进入“组策略”。刚刚打开的时候,Process Monitor会非常忙:
等了大约5秒钟,它静下来了,这时我们清一下屏。
进入组策略的“计算机配置”-》“windows设置”-》“脚本”-》“启动”,按“添加”,在“脚本名”中输入c:\windows\notepad.exe
再按“确定”,再按“确定”,这时赶紧看Process Monitor,呵呵,有变化了!
打开d:\windows\system32\grouppolicy\gpt.ini,发现里面有这一行
gPCMachineExtensionNames=[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
我怀疑这{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}与注册表有关,就打开注册表编辑器,查找{42B5FAAE-6536-11D2-AE5A-0000F87571E3}键,找到,里面的分支“0”键中的FileSysPath的值为“D:\WINDOWS\System32\GroupPolicy\Machine”
打开这个文件夹,里面的Script文件夹中一个文件都没有,我怀疑是隐藏文件,于是显示隐藏文件,哈,里面的文件D:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Scripts (配置设置)文件引起了我的注意,打开,哈,终于找到了。
现在文章结束了,我在给大家一些提示:
1、平凡的人也能做出事业
2、Process Monitor占用页面文件及虚拟内存超多,不要长期打开。
3、有些设置是有规律的:
(1)某些设置修改注册表,可能设置"1"为是,“0”为否,也可能相反。
(2)某些设置修改注册表,可能项或键值存在为“是”,不存在为“否”。
(3)有些就比较复杂,比如隐藏驱动器,A区为1,B区为2,C区为4,D区为8,都是十六进制数,把数字加起来,就是要隐藏的驱动器。
【绝对原创】
【完】
