Шаблон GPO для CWDIllegalInDllSearch - Як

Шаблон GPO для CWDIllegalInDllSearch

Додається простий шаблон для реалізації керування параметрами реєстру CWDIllegalInDllSearch на основі GPO.
Шаблон може бути доречним для цієї мети, оскільки ми, ймовірно, будемо жити з цим пом'якшенням протягом наступних кількох століть, і нам доведеться реалізовувати наші налаштування реєстру на кожній новій машині, яку ми виплачуємо за цей період. Це через GPO дозволяє нам використовувати OUs та / або WMI Filtering для того, щоб охопити різні виключення програм за необхідності, уникаючи при цьому необхідності культури ковбоїв для реалізації наших виключень.

Коментарі, виправлення та додаткова мудрість будуть дуже вдячні.

Журнал змін -
20100831 Початкове розміщення
20100831 пропозиція spiceuser роз'яснити "session_manager" ключ повинен бути 2, коли ви закінчите розгортання

Загалом 6 кроків

Крок 1: Зрозумійте поведінку.

Цей шаблон GPO, можливо, призведе до деяких змін реєстру до певних машин. Цей шаблон буде включати в себе "некеровані" налаштування, так що є одне застереження.

Версія Layman - з нормальними "керованими" параметрами, реєстр цільової машини не змінюється політиками - жодне з значень у цьому реєстрі фактично не змінено. Коли ви запитуєте, яке значення даного реєстру, однак, значення політики буде замінено в останню секунду, і ТО значення буде використовуватися. Якщо політика піде? Заміна припиняється, що відбувається ... тому значення REAL знову використовується.

Некеровані політики цього не роблять. Некеровані політики імітують об'єднання файлу .reg. Правило з "неуправляемими" налаштуваннями - "виграш останнього запису". Такі ж параметри, як і об'єднання .regs, зберігаються, якщо політику від’єднано або вимкнено.

Ця "керована / некерована" різниця взагалі не буде проблемою з цим конкретним сценарієм CWD, тому що ми маємо справу з пом'якшеннями експлуатації, які потрібно "приклеювати", незважаючи ні на що, і більшість з нас збирається зробити це через файли reg. . Якщо ви пристосуєте тактику ADM до інших завдань, не забувайте про цю поведінку.

Нарешті ... Затримки розповсюдження і реплікації можуть існувати в більшості виробництв, тому будьте терплячими.

Крок 2: Розгорніть відповідний патч від MS.

У певний момент розгортайте інструмент CWDIllegalInDllSearch. MSKB тут:

http://support.microsoft.com/kb/2264107

Можна негайно розгорнути патч, а потім працювати над цим шаблоном, або ви можете працювати над (і розгортати) цей шаблон перед тим, як патч буде розгорнутий.

Кожен порядок розгортання має перевагу над іншим. Оскільки ця політика не матиме ніякого впливу без виправлення, запуск скасованих файлів полегшить життя, якщо ви хочете побачити, де / як буде застосовано об'єкт групової політики. Тим не менш, ви повністю виставлені, поки патч не буде реалізований - так що ризик може диктувати, що ви розгортаєте патч ASAP, з розумінням, що ви повинні подбати про ваш експеримент GPO.

Крок 3. Налаштуйте шаблон

У прикріпленому файлі містяться два правила "Початкового". Ви повинні налаштувати цей файл за допомогою програми "Блокнот", щоб покрити будь-які користувацькі програми у вашому виробництві.

Після відкриття файлу у вашому улюбленому текстовому редакторі ви помітите, що кожен конкретний блок політики позначений як "POLICY" і "END POLICY".

Першу політику у файлі, "Поведінка глобального шляху пошуку", можна залишити самостійно. Ця політика охоплює запис у ключі session_manager і буде типовою поведінкою.

Друга політика призначена для перевизначення конкретних програм. Ви скопіюєте / вставте весь блок "POLICY" ... "END POLICY" Outlook (включно) для кожної програми, яка потребує налаштування.

Я вибрав Outlook.exe як зразок; при копіюванні / вставці кожного додаткового виключення потрібно змінити текст "outlook.exe" у двох місцях: перший у назві POLICY, а другий - у кінці KEYNAME.

Наприклад,
ПОЛІТИКА "my_other.exe"
Програмне забезпечення KEYNAME Microsoft Windows NT t
...
КОНЕЧНА ПОЛІТИКА

Після того, як всі відомі винятки будуть додані до шаблону, збережіть його на певному місці, до якого може підійти машина редагування об'єкта групової політики (у вікні 2k3 умовами для файлів ADM є c: windows inf).


CWDIllegalInDllSearch.adm

Крок 4: Розробка стратегії виплат

Пишучи це, я очікую, що різні машини матимуть різні вимоги до виключення. Однак це може бути або не бути для вас. Якщо це так, то ви хочете або грати у вашу ієрархію підрозділів, і / або ви можете використовувати WMI-фільтрацію та ін., Щоб забезпечити область застосування програми. Якщо ви раніше не виконували фільтрацію WMI, це може виглядати страшно - але насправді це не так. Простий огляд фільтрації WMI можна знайти тут:
http://technet.microsoft.com/en-us/library/cc754488%28WS.10%29.aspx
Дайте йому прочитати, а потім піти грати з фіктивним GPO і насолоджуйтеся!

Повернутися до нашого GPO - найкращим способом виплати є створення нового (порожнього) об'єкта груп оголошень, призначеного для певного набору винятків. Менші магазини будуть лише закінчуватися створенням GPO. Більш складні середовища будуть явно декілька. Що стосується знову ініційованого, кожен GPO базуватиметься на окремому редагованому шаблоні; ви просто надаєте кожному GPO різні налаштування.

Крок 5: Створіть об'єкт політики, зробіть свій шаблон видимим

Щоб переглянути відредагований шаблон у редакторі GPO, потрібно додати його. Спочатку, Адміністративні засоби -> Керування груповими політиками. Створити новий (або змінити існуючий) об'єкт політики. Потім у редакторі:
Конфігурація комп'ютера -> (правою кнопкою миші) Адміністративні шаблони -> Додати / Видалити.

Коли б ви не залишили свій відредагований файл ADM, перейдіть до нього. Після натискання кнопки "Закрити" в категорії "Система", що називається "Поведінка DLL пошуку", з'явиться новий запис. Коли ви спочатку переглядаєте цю категорію, вона, ймовірно, буде порожньою. Не хвилюйтеся, записи просто приховані. Давайте розкриємо їх:

У рядку меню Довідка щодо дій файлів зверху? Натисніть Перегляд -> Фільтрація
Вимкнути "Показувати лише параметри політики, які можна повністю керувати".

Ваші записи тепер будуть видимі в новій категорії.

Потрібно повторити цей процес для кожного створеного нового об'єкта групи об’єктів. Крім того, MSC має звичку відмовлятися від фільтра відображення, тож можливо, вам доведеться повторно відвідати цей прапорець "Показувати".

Зверніть увагу на те, що редагування файлу ADM "as you go": редактор об'єктів групового завантаження завантажує файл ADM під час запуску. Якщо ви змінюєте файл ADM під час редагування об'єкта групи об'єктів, ви хочете вийти / повторно запустити редактор об'єктів групової політики, щоб переглянути зміни. Це потрібно пам'ятати, якщо ви зробите (і виправити) помилку в файлі ADM.

Крок 6: Реалізуйте!

Після додавання шаблону до об'єкта групової політики ви можете захопити свої зміни в розділі
Конфігурація комп'ютера -> Адміністративний шаблон -> Система -> Поведінка пошуку Dll.

Зверніть увагу - значення за замовчуванням для "Поведінка глобального шляху пошуку" дорівнює 0 ("Legacy Behavior"), щоб запобігти виникненню поганих речей, якщо ви включите цю політику без розгляду. У певний момент, ви, ймовірно, хочете, щоб це значення було 2, "Блок WebDAV і UNC CWDs".

Встановлюйте, зберігайте та посилайтеся на OU, як це необхідно.

Деяка швидка тактика "тестування", оскільки більшість із нас щодня редагує файли та політики ADM (* кашель *):

- тестуйте, створюючи новий об'єкт об'єкта групової політики, який містить налаштування від вашого редагованого шаблону.

- застосувати об'єкт GPO до окремої OU з однією машиною в ньому.

- Клієнтська, regedit Програмне забезпечення Microsoft Windows NT CurrentVersion Опції виконання файлів somexefile.exe, щоб побачити ваші налаштування.

- У програмі regedit, перед тим, як відпрацьовувати F5 для оновлення перегляду реєстру - запустіть gpupdate.exe, щоб примусово оновити політику. Зауважте, що ваш шаблон впливає лише на машинну політику, тому перезавантаження або вихід із системи не потрібні, і не потрібно / force. Просто gpupdate, підрахуйте до 10, потім прикуйте F5 (припускаючи, що ви не застрягли в очікуванні реплікації політики серед декількох DC).