GPO-Vorlage für CWDIllegalInDllSearch - Wie Man

GPO-Vorlage für CWDIllegalInDllSearch

Beigefügt ist eine einfache Vorlage zum Implementieren einer GPO-basierten Verwaltung der Registrierungseinstellungen CWDIllegalInDllSearch.
Eine Vorlage könnte für diesen Zweck relevant sein, da wir wahrscheinlich in den nächsten Jahrhunderten von dieser Minderung leben werden und unsere Registrierungsoptimierungen auf jedem NEUEN Rechner implementieren müssen, den wir in diesem Zeitraum ausbezahlen. Wenn Sie dies über ein Gruppenrichtlinienobjekt tun, können Sie OUs und / oder WMI-Filterung verwenden, um die verschiedenen App-Ausnahmen nach Bedarf anzupassen, ohne dass eine Cowboy-Kultur zur Implementierung unserer Ausnahmen erforderlich ist.

Kommentare, Korrekturen und zusätzliche Weisheit werden sehr geschätzt.

Änderungsprotokoll -
20100831 Erstes Angebot
20100831 Der Vorschlag von spiceuser zur Klärung des Schlüssels "session_manager" sollte 2 sein, wenn Sie mit der Bereitstellung fertig sind

6 Schritte insgesamt

Schritt 1: Verstehen Sie das Verhalten.

Diese GPO-Vorlage führt möglicherweise zu einigen Registrierungsänderungen an einigen Zielcomputern. Diese Vorlage beinhaltet "nicht verwaltete" Einstellungen, daher gibt es eine Einschränkung.

Layman-Version - Bei normalen "verwalteten" Einstellungen wird die Registrierung eines Zielcomputers nicht durch die Richtlinien geändert. Keiner der Werte in dieser Registrierung wird tatsächlich geändert. Wenn Sie jedoch fragen, was ein bestimmter Registrierungswert ist, wird der Richtlinienwert in der letzten Sekunde ersetzt und DIESER Wert wird verwendet. Wenn die Politik weggeht? Die Substitution wird beendet ... der REAL-Wert wird erneut verwendet.

Nicht verwaltete Richtlinien tun dies nicht. Nicht verwaltete Richtlinien ahmen das Zusammenführen einer .reg-Datei nach. Die Regel bei "Unmanaged" -Einstellungen lautet "Letzter Schreibvorgang gewinnt". Genau wie beim Zusammenführen von .regs bleiben die Einstellungen erhalten, wenn die Richtlinie nicht verknüpft oder deaktiviert ist.

Dieser "verwaltete / nicht verwaltete" Unterschied wird im Allgemeinen bei diesem spezifischen CWD-Szenario kein Problem sein, da es sich um Exploit-Minderungen handelt, die auf jeden Fall "hängen bleiben" müssen, und die meisten von uns würden es ohnehin über reg-Dateien tun . Wenn Sie diese ADM-Taktik jedoch an andere Aufgaben anpassen, sollten Sie dieses Verhalten berücksichtigen.

Schließlich ... können Verzögerungen bei der Ausbreitung und Replikation in den meisten Produktionen vorkommen, seien Sie also geduldig.

Schritt 2: Stellen Sie den entsprechenden Patch von MS bereit.

Stellen Sie das CWDIllegalInDllSearch-Tool zu einem bestimmten Zeitpunkt bereit. Die MSKB ist hier:

http://support.microsoft.com/kb/2264107

Sie können den Patch sofort bereitstellen und dann mit dieser Vorlage arbeiten, oder Sie können an dieser Vorlage arbeiten (und sie bereitstellen), BEVOR der Patch bereitgestellt wurde.

Jede Bereitstellungsreihenfolge hat einen Vorteil gegenüber der anderen. Da die Richtlinie ohne den Patch keine Auswirkungen hat, ist das Ausführen eines ungepatchten Befehls das Leben leicht, wenn Sie sehen möchten, wo / wie das Gruppenrichtlinienobjekt angewendet wird. Sie sind jedoch bis zur Implementierung des Patches vollständig verfügbar. Daher besteht die Gefahr, dass Sie den Patch so bald wie möglich ausrollen, wobei Sie sich mit dem GPO-Experiment sorgfältig umsehen müssen.

Schritt 3: Passen Sie die Vorlage an

Die angehängte Datei enthält zwei "Starter" -Richtlinien. Sie müssen diese Datei mit Notepad anpassen, um alle benutzerdefinierten Apps in Ihrer Produktion abzudecken.

Beim Öffnen der Datei in Ihrem bevorzugten Texteditor werden Sie feststellen, dass jeder bestimmte Richtlinienblock mit "POLICY" und "END POLICY" gekennzeichnet ist.

Die erste Richtlinie in der Datei "Global Search Path Behavior" kann in Ruhe gelassen werden. Diese Richtlinie deckt den Eintrag im Schlüssel session_manager ab und ist das Standardverhalten.

Die zweite Richtlinie betrifft app-spezifische Überschreibungen. Sie werden den gesamten Outlook-Block "POLICY" ... (END POLICY) (einschließlich) für jede App, die angepasst werden muss, kopieren / einfügen.

Ich habe Outlook.exe als Beispiel ausgewählt. Wenn Sie jede zusätzliche Ausnahme kopieren / einfügen, müssen Sie den Text "outlook.exe" an zwei Stellen ändern: Die erste im Namen POLICY und die zweite am Ende von KEYNAME.

Zum Beispiel,
POLITIK "my_other.exe"
KEYNAME "Software Microsoft Windows NT CurrentVersion Ausführungsoptionen für Image-Dateien my_other.exe"
...
ENDPOLITIK

Wenn alle bekannten Ausnahmen zu der Vorlage hinzugefügt wurden, speichern Sie sie an einem Ort, den Ihre GPO-Bearbeitungsmaschine erreichen kann (In einer 2-k3-Box lautet die Konvention für ADM-Dateien c: windows inf).


CWDIllegalInDllSearch.adm

Schritt 4: Entwickeln Sie eine Auszahlungsstrategie

Ich gehe davon aus, dass verschiedene Maschinen unterschiedliche Ausnahmebedingungen haben werden. Dies kann jedoch für Sie der Fall sein oder nicht. Wenn dies jedoch der Fall ist, möchten Sie entweder die Hierarchie der Organisationseinheiten spielen und / oder Sie können die WMI-Filterung usw. verwenden, um den Anwendungsbereich einer Richtlinie anzugeben. Wenn Sie noch keine WMI-Filterung durchgeführt haben, kann dies verängstigt aussehen - ist es aber nicht. Eine einfache Übersicht über die WMI-Filterung finden Sie hier:
http://technet.microsoft.com/de-de/library/cc754488%28WS.10%29.aspx
Lesen Sie es und spielen Sie dann mit einem falschen GPO und genießen Sie es!

Zurück zu unserem GPO - Die beste Methode für die Auszahlung ist das Erstellen eines neuen (leeren) GPO, das bestimmten Ausnahmen zugeordnet ist. Kleinere Geschäfte werden nur ein GPO erstellen. Komplexere Umgebungen werden offensichtlich mehrere haben. Für das neu initiierte wird jedes Gruppenrichtlinienobjekt auf Ihrer einzigen bearbeiteten Vorlage basieren. Sie geben einfach jedes GPO verschiedene Einstellungen.

Schritt 5: Erstellen Sie ein Richtlinienobjekt, Machen Sie Ihre Vorlage sichtbar

Um Ihre bearbeitete Vorlage im GPO-Editor anzuzeigen, müssen Sie sie hinzufügen. Erste Schritte, Verwaltung -> Gruppenrichtlinienverwaltung. Erstellen Sie ein neues (oder bearbeiten Sie ein vorhandenes) Richtlinienobjekt. Dann im Editor:
Computerkonfiguration -> (rechte Maustaste) Administrative Vorlagen -> Hinzufügen / Entfernen.

Wo immer Sie Ihre bearbeitete ADM-Datei gespeichert haben, holen Sie sie ab. Wenn Sie auf "Schließen" klicken, wird in der Kategorie "System" ein neuer Eintrag mit dem Namen "DLL Search Behavior" angezeigt. Wenn Sie diese Kategorie anfänglich anzeigen, ist sie wahrscheinlich leer. Keine Sorge, die Einträge werden einfach ausgeblendet. Lass uns sie offenbaren:

In der Menüleiste der Dateiaktionsansicht oben? Klicken Sie auf Ansicht -> Filtern
Deaktivieren Sie "Nur Richtlinieneinstellungen anzeigen, die vollständig verwaltet werden können".

Ihre Einträge werden nun in der neuen Kategorie angezeigt.

Sie müssen diesen Vorgang für jedes neu erstellte Gruppenrichtlinienobjekt wiederholen. Außerdem hat MSC es sich zur Gewohnheit gemacht, diesen Anzeigefilter rückgängig zu machen. Daher müssen Sie möglicherweise das Kontrollkästchen "Nur anzeigen" erneut aufrufen.

Ein kurzer Hinweis zum Bearbeiten der ADM-Datei "as you go": Der GPO-Editor lädt die ADM-Datei beim Start. Wenn Sie während der Bearbeitung eines Gruppenrichtlinienobjekts Änderungen an der ADM-Datei vornehmen, sollten Sie den Gruppenrichtlinienobjekt-Editor beenden / erneut ausführen, um Ihre Änderungen anzuzeigen. Sie müssen sich daran erinnern, wenn Sie einen Tippfehler in der ADM-Datei erstellen (und beheben).

Schritt 6: Implementieren Sie!

Nachdem Sie Ihre Vorlage einem Gruppenrichtlinienobjekt hinzugefügt haben, können Sie Ihre Änderungen im Abschnitt bestaunen
Computerkonfiguration -> Administrative Vorlage -> System -> Verhalten der DLL-Suche.

Beachten Sie, dass der Standardwert der Vorlage für das Verhalten "Global Search Path Behavior" 0 ist ("Legacy Behavior"), um zu verhindern, dass schädliche Dinge passieren, wenn Sie diese Richtlinie ohne Berücksichtigung aktivieren. Zu einem bestimmten Zeitpunkt möchten Sie wahrscheinlich, dass der Wert 2 "Block WebDAV- und UNC-CWDs" ist.

Legen Sie die Organisationseinheiten nach Bedarf fest, speichern und verknüpfen Sie sie.

Einige schnelle "Test" -Taktiken, seit die meisten von uns ADM-Dateien und -Richtlinien (* Husten *) täglich bearbeiten:

- Testen Sie, indem Sie ein neues GPO-Objekt erstellen, das genau die bearbeitete Vorlage enthält.

- Wenden Sie dieses GPO-Objekt auf eine einzelne Organisationseinheit mit einem einzelnen Computer an.

- Clientseitig regedit Software Microsoft Windows NT CurrentVersion Ausführungsoptionen für Image-Dateien somexefile.exe, um Ihre Anpassungen anzuzeigen.

- In regedit, bevor Sie mit F5 die Registrierungsansicht aktualisieren, führen Sie gpupdate.exe aus, um eine Richtlinienaktualisierung zu erzwingen. Beachten Sie, dass sich Ihre Vorlage nur auf die Computerrichtlinie auswirkt. Daher sind keine Neustarts oder Abmeldungen erforderlich, und es ist kein / force erforderlich. Einfach gpupdate, bis 10 zählen und dann F5 klatschen (vorausgesetzt, Sie warten nicht darauf, dass die Richtlinie zwischen mehreren DCs repliziert wird).