由于UPS都有bai前置低通滤波器,培植滤波器的目的是为du了抑制从电网zhi进入的两种干扰:常模dao干扰和共模干扰。
常模干扰是随输入电流一同进入的干扰,而共模干扰是火线和地线通向串入的干扰电流,这必须将它们泄漏到地,这就需要接入抑制共模干扰的电容器CLE和CNE。
这两个电容尤其是CLE,在加电瞬间CLE的起始充电电流会很大,可以到安培级,而漏电保护器的动作电流小于0.1A。
UPS接漏电保护器跳闸的原因
Android抓包指南①: 使用Fiddler抓HTTP/HTTPS包
转自: https://blog.csdn.net/CharlesSimonyi/article/details/90493122
作者: encoderlee
抓包的重要性
网络抓包,是Android应用逆向分析的重中之重,很多时候我们拿到一个APP,不知道从何入手分析,往往是从抓包开始,先弄清楚他与服务器通信的内容,如果一目了然,我们完全可以照搬,自行写一个程序来模拟,如果有一些加密字段和随机字段,也不用担心,我们可以从抓包中了解到一些关键的URL和session之类的信息,然后再反编译分析代码的时候,这些字符串可以帮助我们更快的定位关键代码所在之处。
Fiddler的使用
Fiddler简直是HTTP抓包分析的神器,比Chrome等浏览器自带的调试工具高不知道哪去了,浏览器自带的调试工具,基本只能查看包内容,而Fiddler除了查看,还可以针对不同类型的内容进行格式化,观赏效果真的不要太爽。除了“看”数据包,它还可以一键重发HTTP请求,修改请求内容并重发HTTP请求,拦截修改数据包,返回预设的欺骗性内容等,还可以编写脚本进行更高级的自动化处理。
废话不多说,到Fiddler官网下载安装:https://www.telerik.com/fiddler
接下来,我们要开启Fiddler的HTTPS抓包功能,否则只能看到HTTP请求的内容,而HTTPS请求则是密文。
在Fiddler中点击 [Tools] — [Options] — [HTTPS] 勾选如下设置:
然后在 [Connections] 选项卡中勾选 [Allow remote computers to connect],我们知道Fiddler默认在8888端口开启HTTP/HTTPS代理服务,不管是Android、IPhone还是PC等等设备和程序,只要设置了HTTP/HTTPS代理,流量从Fiddler走,就可以抓包分析。此处开启远程访问,使得我们的Android/Iphone手机可以在WLAN设置上设置它为HTTP/HTTPS代理,从而手机上的应用的HTTP/HTTPS流量将从Fiddler走,Fiddler就能捕获它们。
然后确保手机和PC在同一个局域网中,然后在手机上设置WLAN代理,此处我的PC内网IP地址是192.168.1.100,你需要根据自己的情况进行设置:
然后我们在手机浏览器中打开http://192.168.1.100:8888 下载Fiddler根证书并安装
这是Fiddler解密HTTPS通信的关键,Fiddler对HTTPS包解密的原理是中间人攻击,对客户端声称自己的服务端,对服务端声称自己的客户端,两头欺骗。当然要想欺骗成功,前提是让客户端信任自己的根证书,接下来就可以愉快的观看HTTPS请求明文内容了。
畅快的抓包
Fiddler这个抓包方法,不仅对Android有用,对IPhone也有用。接下来在手机上,无论是打开浏览器,打开手机上的应用,应用内嵌的WebView,我们都可以在Fiddler中看到HTTP/HTTPS请求内容,但细心查看就会发现,还是有的HTTP包装不到。一般能抓到包的几种情况:
Android内置浏览器
应用内置WebView
应用使用URLConnection或OkHttp发起HTTP请求
抓不到包,很可能目标APP使用了其它HTTP Client,比如自带一个libcurl的so,那样最终调用的是系统的Socket API,WLAN上设置的HTTP/HTTPS代理对它无效,但其实这种情况很少,市面上绝大多数的应用,都是使用URLConnection和OkHttp,尤其是近些年的应用,几乎都是清一色的OkHttp,所以绝大多数情况下都能抓到包,如果抓不到,很可能是应用自己进行了额外的SSL证书校验工作,根据情况再特殊分析特殊处理。
注意!Android7.0以后抓包失败
以前我一直都是在Android5.1的手机上抓包分析应用,屡试不爽,但是近来使用Android7.1和Android8.1的手机,发现按照上面设置以后,尽管向Android导入了Fiddler的根证书,还是没法抓到HTTPS包的内容。
以 [云闪付] 为例,具体表现为APP中的WebView无法打开内容,和网络断开了一般,Fiddler中可以看到大量的CONNECT然后就没有下文了。
回顾之前我们总结的Fiddler抓不到包的原因 《Windows抓包指南②:Fiddler抓不到的包是怎么回事?》可以猜想,很可能在Android7.0以及以后的版本,即便是导入了Fiddler根证书,但是APP的URLConnection、OkHttp、WebView,仍然不信任系统中导入的Fiddler根证书。
验证猜想
自行编写Android应用,分别使用URLConnection、OkHttp发起HTTPS请求,用WebView打开HTTPS的网页,看看出了什么错误。
try {
OkHttpClient client = new OkHttpClient();
Request request = new Request.Builder()
.url(“https://www.csdn.net”)
.build();
Response response = client.newCall(request).execute();
String back_data = response.body().string();
}
catch (Exception e){
Log.e(“TestHttp”, e.toString());
}
1
2
3
4
5
6
7
8
9
10
11
运行后果然抛出了异常:
javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
不出所料,和我们之前在Windows上分析的情况一样,客户端并不信任我们导入系统的Fiddler根证书,那为什么在Android6.0及以前能正常工作呢?经过查阅资料,这个改动果然是从Android7.0开始的。
查看Android官方文档说明:https://developer.android.com/training/articles/security-config.html
By default, secure connections (using protocols like TLS and HTTPS) from all apps trust the pre-installed system CAs, and apps targeting Android 6.0 (API level 23) and lower also trust the user-added CA store by default.
果然,在Android 6.0 (API level 23)及以前,APP默认信任系统自带的CA证书以及用于导入的CA证书,Android 6.0 (API level 23)以后,APP默认只信任系统自带的CA证书,对于用户导入的不予理会。
也就是说,关于 [network-security-config],在Android 6.0 (API level 23)及以前默认是这样的:
1
2
3
4
5
6
Android 7.0 (API level 24) 及以后是这样的:
1
2
3
4
5
同时在上面的链接中,Google也给出了办法,怎么在Android7.0及以后的系统中,让APP信任我们手工导入的CA证书。
那就是在编译APK之前,在你的Android项目的res文件夹下创建xml文件 [net_security_config.xml] 内容为:
1
2
3
4
5
6
7
8
9
然后在AndroidManifest.xml中的application标签下添加
android:networkSecurityConfig=”@xml/net_security_config.xml”
1
编译安装,然后该APP就信任用户添加的CA证书,从而Fiddler就可以抓到它的HTTPS包并解密内容。
Are You Kidding Me?
什么?你让我重新编译APP?我就是要分析第三方APP的通信协议,你让我重新编译微信?重新编译QQ?
非也非也,还记得我们之前在《Windows抓包指南(一):Proxifier+Fiddler对第三方程序强制抓包》中说的吗?
有条件要上,没有条件创造条件也要上!
四个解决方案
强上的办法有四个:
① 重新打包目标APK,修改AndroidManifest.xml
我们可以使用Apktool等工具对目标APK进行解包,添加 [net_security_config.xml] 并修改 [AndroidManifest.xml] 然后重新打包。但是现在很多应用都做了防打包处理,要么利用Apktool弱点,制造错误让Apktool抛异常,要么重新打包后程序校验自身证书,校验失败无法启动,罢工。
② Root手机,安装Xposed框架,使用JustTrustMe模块干它
这个方案实际上就是之前我们在 《Windows抓包指南②:Fiddler抓不到的包是怎么回事?》中的思路在Android上的实践。Xposed的JustTrustMe模块Hook了Android SDK的HTTP库,强制跳过SSL证书验证,不管是真证书还是假证书,一律验证通过,于是Fiddler作为中间人攻击制造的假证书也被通过了。
JustTrustMe项目源代码:https://github.com/Fuzion24/JustTrustMe
需要注意的是JustTrustMe有个坑,不要下载它Github中编译的Latest release版本,其实那是一个很古老的版本,对于APP内嵌的WebView没有做处理,安装以后,URLConnection、OkHttp通信的HTTPS是可以抓到了,但是APP内嵌的WebView仍然出错。所以最好git clone它的最新源代码,然后自行编译。
也可以下载我编译的最新版本:https://github.com/encoderlee/JustTrustMe/releases/download/v0.3/JustTrustMe_20190516.apk
当然这个方案也有缺点,毕竟手机被Root后,还安装了Xposed框架,有的APP可是会检测的,发现手机被Root,或者自身被Xposed Hook,就罢工了。
③退缩,使用Android5.1 Android6.0的手机来抓包分析
④终极大法,购入Google亲儿子手机,比如Nexus Pixel,下载Android AOSP代码,直接修改Android系统源代码,强行验证所有SSL证书为真,编译,刷机,愉快工作。
愉快的抓包分析
可以看到,在使用了方案②后,Android7.1.2的手机,成功解密APP的HTTPS通信内容
不要高兴的太早
此处,虽然依旧能抓到大部分Android APP的HTTP/HTTPS包,但是别高兴的太早,有的APP为了防抓包,还做了很多操作:
① 二次加密
有的APP,在涉及到关键数据通信时,会将正文二次加密后才通过HTTPS发送,我们抓包抓到的是一堆二进制base64
② 自带HTTP Client
像支付宝那样的变态,自己带了一个基于so的HTTP Client库,对于关键数据,都不走URLConnection和OkHttp,而是走自己的HTTP Client库,甚至一些WebView页面的渲染,都是先用自带的HTTP Client请求得到json数据,然后填到HTML模板里面,再在WebView里渲染出来。
③ SSL/TLS Pinning,APP自带服务端证书,除了自带证书什么都不信
当然,兵来将挡,水来土掩,针对各种情况再逐一对症分析,弄清楚原理,才能解决更多的难题,在逆向工程的道路上走的越远。
抓包的基本方法已经介绍完毕,后续文章将会分享一些我在工作中遇到的Windows、Android平台上无法抓包的难题及解决方案,感谢持续关注。。。
————————————————
版权声明:本文为CSDN博主「encoderlee」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/CharlesSimonyi/java/article/details/90493122
vs自带工具进行代码数字签名方法
转自:https://blog.csdn.net/ghevinn/article/details/8021389
数字签名(代码签名)流程
Authenticode : 这里翻译为数字认证代码。
code sign : 字面的翻译为代码签名,但是通常的我们称为数字签名,以下的文中均称为数字签名。
一 数字认证码
如果你是软件开发人员,你可能已经知道windows系统和一些浏览器(例如IE,Firefox)使用一种称为数字认证代码的技术来标识软件的发行商,来检查软件没有被病毒影响。如果你的软件没有用数字认证代码签名,用户将会收到一个警告“此软件发行商不能被成功的验证,你是否要继续运行此软件“,很多的用户为了安全起见将放弃对此软件的使用。
如果你的软件是提供给专业的人员使用,结果肯能会更糟。许多公司的IT安全策略禁止没有用数字认证码签名的软件的运行。
同时微软Windows也使用数字签名证书来判断潜在的恶意软件。如果你的setup.exe没有进行数字认证证书的签名,你的软件的名誉将遭受损害。
在Vista系统增加UAC之后,情况变的更糟,如果你的软件没有使用数字认证证书签名,且在运行时需要管理员的权限,则会出现警告对话框”不可识别的程序想访问你的计算机“,这个时候很多的用户可能认为是病毒,会禁止使用你的软件。
二 数字认证码的原理
数字签名代码是一种技术,它使用数字证书来识别软件的发布商和使用hash算法来确保软件的完整性。数字签名使用公共密匙签名书法被创建,它使用两种不同的密匙:公共密匙和私有密匙,我们称其为密匙对。私有密匙一般为拥有者所有,公有密匙对所有的人都可见。
数字签名的过程本质上为:
签名软件对要签名的软件创建hash;
使用发布者的私有密匙来加密软件的hash;
被加密的hash和发布者的数字证书被插入到要签名的软件;
数字签名的验证过程本质上为:
用户对要验证的软件创建hash;
使用发布者的公共密匙来解密被加密的hash;
比较解密的hash和新获得的hash,如果匹配说明签名是正确的,软件没有被修改过;
三 数字签名
数字签名是对软件进行标识的一个流程,它通过对软件增加了发布商的信息来检查软件在发布后是否被修改或受病毒影响。在软件出售前进行签名已经成为了行业范围的专业实践。随着用户的安全意识的提高,现在越来越多的用户限制下载未签名的软件,因此作为专业的软件公司,在软件出售前进行签名已经成为必不可少的一步。
要进行数字签名,需要以下准备:
1)数字证书和密码;
2)数字签名工具;
3)时间戳服务器的URL地址;
四 数字签名工具
数字签名工具, 微软提供了两套数字签名工具,
1)signcode.exe, 从1998年开始使用,随.NET Framework SDK发布。
signcode.exe 数字签名工具
makecert.exe 创建数字证书
cert2spc.exe 将数字证书转化为软件发布者证书格式
2)signtool.exe,随visualstudio 2005及其以后的版本发布。
signtool.exe 数字签名工具
makecert.exe 创建数字证书
cert2spc.exe 将数字证书转化为软件发布者证书格式
pvk2pfx.exe(pvkimprt.exe) 将私有的密匙和软件发布者证书合并为pfx文件,此文件将被signtool.exe使用
上面2中工具的不同是signcode.exe需要输入私有密匙和软件发布者证书(pvk和spc文件),signtool.exe只需要输入由pvk和spc合并产生的一个个人信息交互文件(pfx)。
五 获得数字证书
数字证书,你可以创建自己的数字证书来测试数字签名的流程,但是正式的软件发布,你需要向可信赖的证书颁发机构购买数字证书和密码,例如你可以向以下的证书机构购买Comodo, Globalsign, Thawte and Verisign。
创建自己的数字证书(用来测试)
使用如下命令来创建自己的数字证书:
makecert.exe -sv mykey.pvk -n “CN=Acme Software Inc.” mycert.cer你可以将Acme Software Inc.替换为你自己公司的名字。如果mykey.pvk不存在的话,你会要求输入私有密匙的密码,密码可以为空。安全起见最好设置密码,否则别人拿到你的私有密匙后就可以签名了。在上面的命令后,产生了2个文件mykey.pvk和mycert.cer。接下来需要将数字证书(cer)转化为软件发布商证书(spc),命令如下:cert2spc.exe mycert.cer mycert.spc此过程中需要输入私有密匙的密码,创建完成后应该会生成mycert.spc文件,当数字签名时mycert.cer文件是不需要的。
六 对软件数字签名
时间戳服务器,你可以选择下列之一,
- http://timestamp.verisign.com/scripts/timstamp.dll
- http://timestamp.globalsign.com/scripts/timstamp.dll
- http://timestamp.comodoca.com/authenticode
1)使用signcode.exe,如下:
signcode.exe -t -spc mycert.spc -v mykey.pvk “”进行数字签名的文件可以是.exe, .dll, .ocx 或者是其他的可执行文件。
2)使用signtool.exe,如下:
如果你没有pfx文件,需要使用以下的命令来将pvk和spc文件合并为pfx,如果没有设置密码的话必须使用pvkimprt.exe来合并。pvk2pfx.exe -pvk mykey.pvk -pi -spc mycert.spc -pfx mycert.pfx -po pvkimprt.exe -pfx mycert.spc mycert.pvksigntool.exe sign /f mycert.pfx /p /t /v “”
以下是使用signtool.exe签名的一个实例:
signtool.exe sign /f mycert.pfx /p /t /v “”
Here is the Sample Output:
The following certificate was selected:
Issued to: SID Software Inc.
Issued by: Thawte Code Signing CA
Expires: 10/16/2011 2:17:15 AM
SHA1 hash: 4374SD894388B9H456E206124G06D9AV1535G12E
Done Adding Additional Store
Attempting to sign: jservice.exe
Successfully signed and timestamped: jservice.exe
Number of files successfully Signed: 1
Number of warnings: 0
Number of errors: 0
参考:
http://www.tech-pro.net/code-signing-for-developers.html
http://siddesh-bg.blogspot.com/2008/12/code-signing-process.html
————————————————
版权声明:本文为CSDN博主「ghevinn」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/ghevinn/article/details/8021389
编译出现: error LNK2019: 无法解析的外部符号 ___stdio_common_vfprintf
转自:http://blog.chinaunix.net/uid-2384984-id-5784738.html?tdsourcetag=s_pctim_aiomsg
因业务需要用java开发Excel插件, 编译ExcelAddin4J C++工程时,遇到了这个错误。原因是在vs2015->配置属性->C/C++->代码生成->安全检查:禁用安全检查 (/GS-)。sprinf此函数实现调用
___stdio_common_vfprintf引起的,这是一个最基本的C++函数。若起用安全检查 (/GS-)则会报其它错误,启用它报的错误类型就它,估计解决要容易些,因此选择集中精力来解决它,错误信息如下:
1>Dictionary.obj : error LNK2019: 无法解析的外部符号 ___stdio_common_vfprintf,该符号在函数 __vfprintf_l 中被引用
1>Log.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vfprintf
1>ExcelAddin4J.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vsprintf
1>Classpath.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vsprintf
1>VM.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vsprintf
1>Dictionary.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vsprintf
1>Icon.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vsprintf
1>INI.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vsprintf
1>Log.obj : error LNK2001: 无法解析的外部符号 ___stdio_common_vsprintf
1>Dictionary.obj : error LNK2019: 无法解析的外部符号 ___stdio_common_vsscanf,该符号在函数 __vsscanf_l 中被引用
1>Log.obj : error LNK2019: 无法解析的外部符号 ___acrt_iob_func,该符号在函数 “public: static void __cdecl Log::Init(struct HINSTANCE__ *,char const *,char const *)” (?Init@Log@@SAXPAUHINSTANCE__@@PBD1@Z) 中被引用
1>Log.obj : error LNK2019: 无法解析的外部符号 __fdopen,该符号在函数 “private: static void __cdecl Log::RedirectIOToConsole(void)” (?RedirectIOToConsole@Log@@CAXXZ) 中被引用
1>Log.obj : error LNK2019: 无法解析的外部符号 ___stdio_common_vsprintf_s,该符号在函数 __vsprintf_s_l 中被引用
1>D:\dev\workspace\excel\xll\winrun4j\prj\\build\ExcelAddin4J-Debug\ExcelAddin4J.xll : fatal error LNK1120: 6 个无法解析的外部命令
原理上是引用库有问题,但查阅众多资料,反复测试也没有太多进展,折腾得我快想放弃此工程了。
无意中看到一篇关于link库文件问题文章:https://www.v2ex.com/amp/t/366594
就把其中的:
#pragma comment(lib, “msvcrtd.lib”)
#pragma comment(lib, “vcruntimed.lib”)
#pragma comment(lib, “ucrtd.lib”)
放到CPP文件中测试,居然居然好了,太TMD的意外了。
赶紧测试编译出来的xll文件是否正常,也记录此次编译的解决方法,以供遇到类似问题的同行参考。
//////////////////////////////////////////////////////////////////
我不明白为什么一定要手动指定 main 函数作为入口。使用默认的 mainCRTStartup 显然是更安全的选项。
如果一定要这样做可以使用下面的方法手动链接运行库。
#pragma comment(lib, “msvcrtd.lib”)
#pragma comment(lib, “vcruntimed.lib”)
#pragma comment(lib, “ucrtd.lib”)
需要根据自己的编译选项来确定链接哪些库
Release DLLs (/MD ): msvcrt.lib vcruntime.lib ucrt.lib
Debug DLLs (/MDd): msvcrtd.lib vcruntimed.lib ucrtd.lib
Release Static (/MT ): libcmt.lib libvcruntime.lib libucrt.lib
Debug Static (/MTd): libcmtd.lib libvcruntimed.lib libucrtd.lib
[转]组策略对应注册表位置详细解读
转自:https://blog.csdn.net/xcntime/article/details/51746349
经常使用Windows的用户都知道组策略和注册表,这两个功能是我们经常使用的,而组策略修改的本质就是在修改注册表的键值。小编对此收集了一些组策略对应的注册表位置详解。为了方便进行Ctrl+F查找,这边就不分页了,有需要的朋友可以收藏起来,留着备用。
什么是组策略?
组策略(Group Policy)是Microsoft Windows系统管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。
什么是注册表?
注册表(Registry,繁体中文版Windows操作系统称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候,注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。但是,从Microsoft Windows 95操作系统开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。
组策略安全选项对应注册表项汇总
在组策略中的位置:
计算机设置-》Windows设置-》安全设置-》本地策略-》安全选项
详细列表:
[MACHINE\System\CurrentControlSet\Control\Lsa]
值名:AuditBaseObjects
含义:对全局系统对象的访问进行审计
类型:REG_DWORD
数据:0=停用
1=启用
值名:CrashOnAuditFail
含义:如果无法纪录安全审计则立即关闭系统
类型:REG_DWORD
数据:0=停用
1=启用
值名:FullPrivilegeAuditing
含义:对备份和还原权限的使用进行审计
类型:REG_BINARY
数据:0=停用
1=启用
值名:LmCompatibilityLevel
含义:LAN Manager
身份验证级别
类型:REG_DWORD
数据:0=发送LM &
NTLM响应
1=发送LM & NTLM –
若协商使用NTLMv2安全
2=仅发送NTLM响应
3=仅发送NTLMv2响应
4=仅发送NTLMv2响应\拒绝LM
5=仅发送NTLMv2响应\拒绝LM &
NTLM
值名:RestrictAnonymous
含义:对匿名连接的额外限制(通常用于限制IPC$空连接)
类型:REG_DWORD
数据:0=无。依赖于默认许可权限
1=不允许枚举SAM账号和共享
2=没有显式匿名权限就无法访问
值名ubmitControl
含义:允许服务器操作员计划任务(仅用于域控制器)
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan
Services\Servers]
值名:AddPrinterDrivers
含义:防止用户安装打印机驱动程序
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\System\CurrentControlSet\Control\Session
Manager\Memory
Management]
值名:ClearPageFileAtShutdown
含义:在关机时清理虚拟内存页面交换文件
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\System\CurrentControlSet\Control\Session
Manager]
值名rotectionMode
含义:增强全局系统对象的默认权限 (例如 Symbolic
Links)
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]
值名:EnableSecuritySignature
含义:对服务器通讯进行数字签名
(如果可能)
类型:REG_DWORD
数据:0=停用
1=启用
值名:RequireSecuritySignature
含义:对服务器通讯进行数字签名
(总是)
类型:REG_DWORD
数据:0=停用
1=启用
值名:EnableForcedLogOff
含义:当登录时间用完时自动注销用户
(本地)
类型:REG_DWORD
数据:0=停用
1=启用
值名:AutoDisconnect
含义:在断开会话产所需要的空闲时间
类型:REG_DWORD
数据:分钟数
[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]
值名:EnableSecuritySignature
含义:对客户端通讯进行数字签名
(如果可能)
类型:REG_DWORD
数据:0=停用
1=启用
值名:RequireSecuritySignature
含义:对客户端通讯进行数字签名
(总是)
类型:REG_DWORD
数据:0=停用
1=启用
值名:EnablePlainTextPassword
含义:发送未加密的密码以连接到第三方SMB服务器
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]
值名isablePasswordChange
含义:防止计算机帐户密码的系统维护
类型:REG_DWORD
数据:0=停用
1=启用
值名ignSecureChannel
含义:安全通道: 对安全通道数据进行数字签名
(如果可能)
类型:REG_DWORD
数据:0=停用
1=启用
值名ealSecureChannel
含义:安全通道: 对安全通道数据进行数字加密
(如果可能)
类型:REG_DWORD
数据:0=停用
1=启用
值名:RequireSignOrSeal
含义:安全通道: 对安全通道数据进行数字加密或签名
(总是)
类型:REG_DWORD
数据:0=停用
1=启用
值名:RequireStrongKey
含义:安全通道: 需要强 (Windows 2000 或以上版本)
会话密钥
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\Software\[M$]\Driver
Signing]
值名olicy
含义:未签名驱动程序的安装操作
类型:REG_BINARY
数据:0=默认安装
1=允许安装但发出警告
2=禁止安装
[MACHINE\Software\[M$]\Non-Driver
Signing]
值名olicy
含义:未签名非驱动程序的安装操作
类型:REG_BINARY
数据:0=默认安装
1=允许安装但发出警告
2=禁止安装
[MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]
值名isableCAD
含义:禁用按
CTRL+ALT+DEL
进行登录的设置
类型:REG_DWORD
数据:0=停用
1=启用
值名ontDisplayLastUserName
含义:登录屏幕上不要显示上次登录的用户名
类型:REG_DWORD
数据:0=停用
1=启用
值名:LegalNoticeCaption
含义:用户试图登录时消息标题
类型:REG_SZ
数据:标题文本
值名:LegalNoticeText
含义:用户试图登录时消息文字
类型:REG_SZ
数据:消息文字
值名hutdownWithoutLogon
含义:登录屏幕上不要显示上次登录的用户名
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\Software\[M$]\Windows
NT\CurrentVersion\Setup\RecoveryConsole]
值名ecurityLevel
含义:故障恢复控制台:
允许自动系统管理级登录
类型:REG_DWORD
数据:0=停用
1=启用
值名etCommand
含义:故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
类型:REG_DWORD
数据:0=停用
1=启用
[MACHINE\Software\[M$]\Windows
NT\CurrentVersion\Winlogon]
值名:AllocateCDRoms
含义:只有本地登录的用户才能访问
CD-ROM
类型:REG_SZ
数据:0=停用
1=启用
值名:AllocateDASD
含义:允许弹出可移动 NTFS
媒体
类型:REG_SZ
数据:0=Administrators
1=Administrators 和 Power users
2=Administrators 和 Interactive
users
值名:AllocateFloppies
含义:只有本地登录的用户才能访问软盘
类型:REG_SZ
数据:0=停用
1=启用
值名:CachedLogonsCount
含义:可被缓冲保存的前次登录个数
(在域控制器不可用的情况下)
类型:REG_SZ
数据:次数,如10次
值名asswordExpiryWarning
含义:在密码到期前提示用户更改密码
类型:REG_DWORD
数据:天数,缺省是14天
值名cRemoveOption
含义:智能卡移除操作
类型:REG_SZ
数据:0=无操作
1=锁定工作站
2=强制注销
=============================
组策略用户配置管理模板与注册表对应键值
一。组策略用户配置管理模板Windows组件
《Windows Update》
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate]
“DisableWindowsUpdateAccess”=dword:00000001(删除使用所有Windows Update功能的访问)(至少WINXP)
《组策略用户配置管理模板任务栏和开始菜单》
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“NoSimpleStartMenu”=dword:00000001(强制典型菜单)(至少WINXP)
“NoCommonGroups”=dword:00000001(从开始-》程序菜单删除公共程序组)(至少WIN2000)
“NoSMMyDocs”=dword:00000001(从开始-》文档菜单删除我的文档图标)(至少WIN2000)
“NoNetworkConnections”=dword:00000001(从开始-》设置菜单删除网络连接)(至少WIN2000)
“NoSMMyPictures”=dword:00000001(从开始菜单中删除“图片收藏”图标)(至少WINXP)
“ForceStartMenuLogOff”=dword:00000001(强制开始菜单显示注销)(至少WIN2000)
“Intellimenus”=dword:00000001(禁止个性化菜单)(至少WIN2000)
“NoInstrumentation”=dword:00000001(关闭用户跟踪)(至少WIN2000)
[注]这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。系统用这个信息来自定义Windows功能,如个性化菜单。
“MemCheckBoxInRunDlg”=dword:00000001(将“在单独的内存空间运行”复选框添加到“运行”对话框)(至少WIN2000)
[注]允许用户在专用的(不是共享的)虚拟DOS机器(VDM)进程中运行十六位程序。
“NoTaskGrouping”=dword:00000001(阻止在任务栏上对项目分组)(至少WINXP)
“LockTaskbar”=dword:00000001(锁定任务栏)(至少WINXP)
“NoTrayItemsDisplay”=dword:00000001(隐藏系统托盘图标)(至少WINXP)
“NoToolbarsOnTaskbar”=dword:00000001(不在任务栏显示任何自定义工具栏)(至少WINXP)
“GreyMSIAds”“=dword:00000001(灰色显示开始菜单中安装不完全的程序的快捷方式)(至少WIN2000)
《组策略用户配置管理模板任务栏和开始菜单(WINXP新样式开始菜单)》
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
”NoUserNameInStartMenu“=dword:00000001(隐藏用户名)
”NoStartMenuMorePrograms“=dword:00000001(隐藏所有程序)
”NoStartMenuMFUprogramsList“=dword:00000001(隐藏经常使用的程序)
”NoStartMenuMyMusic“=dword:00000001(删除我的音乐图标)
”NoStartMenuNetworkPlaces“=dword:00000001(删除网上邻居图标)
《组策略用户配置管理模板桌面》
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNonEnum]
”{20D04FE0-3AEA-1069-A2D8-08002B30309D}“=dword:00000001(删除所有我的电脑图标)(至少WINXP)
”{450D8FBA-AD25-11D0-98A8-0800361B1103}“=dword:00000001(删除所有我的文档图标)(至少WIN2000)
”{645FF040-5081-101B-9F08-00AA002F954E}“=dword:00000001(删除所有回收站图标)(至少WINXP)
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
”NoPropertiesMyComputer“=dword:00000001(删除我的电脑右键菜单的属性)(至少WIN2000SP3)
”NoPropertiesMyDocuments“=dword:00000001(删除我的文档右键菜单的属性)(至少WIN2000SP3)
”NoPropertiesRecycleBin“=dword:00000001(删除回收站右键菜单的属性)(至少WINXP)
”NoRecentDocsNetHood“=dword:00000001(不将打开的共享文件夹添加到网上邻居)(至少WIN2000)
”DisablePersonalDirChange“=dword:00000001(禁止更改我的文档路径)(至少WIN2000)
”NoDesktopCleanupWizard“=dword:00000001(删除桌面清理向导)(至少WINXP)
《组策略用户配置管理模板桌面活动桌面》
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
”ForceActiveDesktopOn“=dword:00000001(启用活动桌面,禁止用户关闭)(至少WIN2000)
[注]此设置的优先级比”NoActiveDesktop“要高。
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
”Wallpaper“=”ab“(指定桌面墙纸的位置,禁止用户更改)(至少WIN2000/ME)
”WallpaperStyle“=”0“(0:居中,1:平铺,2:拉伸)(至少WIN2000/ME)
《组策略用户配置管理模板控制面板》
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
”NoControlPanel“=dword:00000001(禁止访问控制面板)(至少WIN2000)
”ForceClassicControlPanel“=dword:00000001(强制为传统控制面板样式)(至少WINXP)
”DisallowCpl“=dword:00000001(隐藏指定的控制面板项目)(至少WIN2000)
”RestrictCpl“=dword:00000001(只显示指定的控制面板项目)(至少WIN2000)
[注]以上两项设置需要添加相同名称的子键,然后在子键里面新建字符串,将其值设置为指定的控制面板项目,如desk
Windows Registry Editor Version 5.00
#《组策略\用户配置\管理模板\Windows组件\Windows资源管理器》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”NoManageMyComputerVerb“=dword:00000001 ;隐藏”我的电脑“右键菜单的”管理“
”NoShellSearchButton“=dword:00000001;(从资源管理器中删除”搜索“按钮)
”NoLowDiskSpaceChecks“=dword:00000001;(禁止硬盘空间不足的警告)
”NoHardwareTab“=dword:00000001;(从控制面板的鼠标,键盘、声音和音频设备以及驱动器的属性对话框中删除硬件选项卡)
”NoSecurityTab“=dword:00000001;(从文件及文件夹属性中删除安全选项卡)
”NoChangeAnimation“=dword:00000001;(禁止更改菜单动画设置的UI)
”NoChangeKeyboardNavigationIndicators“=dword:00000001;(禁止更改显示属性中”使用ALT键之前始终隐藏键盘导航指示“选项)
”NoDFSTab“=dword:00000001;(从资源管理器中删除DFS选项卡)
”NoComputersNearMe“=dword:00000001;(网上邻居中没有”我附近的计算机“)
”MaxRecentDocs“=dword:0000000f;(最近的文档最大数目)
”NoRunasInstallPrompt“=dword:00000001;(禁止使用”作为其他用户安装程序“对话框来安装程序)
”PromptRunasInstallNetPath“=dword:00000001;(在网络安装时显示”作为其他用户安装程序“对话框)
;[注]只有当非管理员用户安装程序时,才需要提交其它登录凭据(作为其他用户安装程序)。
”NoCDBurning“=dword:00000001;(删除资源管理器的CD烧录功能)
”ConfirmFileDelete“=dword:00000001;(强制确认文件删除对话框)
”NoSharedDocuments“=dword:00000001;(从我的电脑删除共享文档)
”NoThumbnailCache“=dword:00000001;(关闭缩略图缓存)
”NoFileAssociate“=dword:00000001;(禁止更改文件夹选项中的文件类型)
#《组策略\用户配置\管理模板\Windows组件\Micorsoft Management Console》
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC]
”RestrictAuthorMode“=dword:00000001;(禁止用户进入编辑模式)
”RestrictToPermittedSnapins“=dword:00000001;(限制用户只使用列表中特别允许的管理单元)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8EAD3A12-B2C1-11d0-83AA-00A0C92C9D5D}]
”Restrict_Run“=dword:00000001;(禁止)(允许或禁止磁盘管理)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}]
”Restrict_Run“=dword:00000001;(禁止)(允许或禁止组策略)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{975797FC-4E2A-11D0-B702-00C04FD8DBF7}]
”Restrict_Run“=dword:00000001;(禁止)(允许或禁止事件查看器)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{5D6179C8-17EC-11D1-9AA9-00C04FD8FE93}]
”Restrict_Run“=dword:00000001;(禁止)(允许或禁止本地用户和组)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{58221C66-EA27-11CF-ADCF-00AA00A80033}]
”Restrict_Run“=dword:00000001;(禁止)(允许或禁止服务)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{45ac8c63-23e2-11d1-a696-00c04fd58bc3}]
”Restrict_Run“=dword:00000001;(禁止)(允许或禁止系统信息)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640bf}]
”Restrict_Run“=dword:00000001;(禁止)(允许或禁止设备管理器)
#《组策略\用户配置\管理模板\Windows组件\Windows Update》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
”DisableWindowsUpdateAccess“=dword:00000001;(删除使用所有Windows Update功能的访#《组策略\用户配置\管理模板\任务栏和开始菜单》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”NoInstrumentation“=dword:00000001;(关闭用户跟踪)
”NoTaskGrouping“=dword:00000001;(阻止在任务栏上对项目分组)
”NoNetworkConnections“=dword:00000001 ;从「开始」菜单删除“网络连接”(启)
”NoStartMenuSubFolders“=dword:00000001;从「开始」菜单删除用户文件夹(启)
”NoWindowsUpdate“=dword:00000001 ; 删除到“Windows Update”的访问和链接(启)
”NoSMMyDocs“=dword:00000001 ;从「开始」菜单中删除“我的文档”图标(启)
”NoRecentDocsMenu“=dword:00000001 ; 从「开始」菜单上删除“文档”菜单(启)
”NoFavoritesMenu“=dword:00000001 ;从「开始」菜单中删除“收藏夹”菜单(启)
”NoFind“=dword:00000001 ;从「开始」菜单中删除“搜索”菜单(启)
”NoSMHelp“=dword:00000001 ; 从「开始」菜单删除“帮助”命令(启)
”NoRun“=dword:00000001 ; 从「开始」菜单中删除“运行”菜单(启)
”StartMenuLogOff“=dword:00000001; 删除「开始」菜单上的“注销”(启)
”NoSMMyPictures“=dword:00000001 ; 从「开始」菜单中删除“图片收藏”图标(启)
”NoStartMenuMyMusic“=dword:00000001 ; 从「开始」菜单中删除“我的音乐”图标(启)
”NoStartMenuNetworkPlaces“=dword:00000001; 从「开始」菜单中删除“网上邻居”图标(启)
”StartMenuLogOff“=dword:00000001 ;删除「开始」菜单上的“注销”(启)
”NoSetTaskbar“=dword:00000001;阻止更改“任务栏和「开始」菜单”设置(启)
”NoChangeStartMenu“=dword:00000001 ; 删除「开始」菜单上的拖放上下文菜单(启)
”NoRecentDocsHistory“=dword:00000001 ;不要保留最近打开文档的记录(启)
”ClearRecentDocsOnExit“=dword:00000001 ;退出时清除最近打开的文档的记录(启)
”Intellimenus“=dword:00000001 ;关闭个性化菜单(启)
”NoInstrumentation“=dword:00000001 ;关闭用户跟踪(启)
”MemCheckBoxInRunDlg“=dword:00000001 ;将“在单独的内存空间运行”复选框添加到“运行”对话框(启)
”NoResolveSearch“=dword:00000001 ;解析外壳程序快捷方式时不要使用搜索方法(启)
”NoResolveTrack“=dword:00000001 ; 解析外壳程序快捷方式时不要使用跟踪方法(启)
”NoAutoTrayNotify“=dword:00000001 ; 关闭通知区域清理(启)
”LockTaskbar“=dword:00000001 ; 锁定任务栏(启)
”NoSimpleStartMenu“=dword:00000001 ; 强制典型菜单(启)
”NoSMBalloonTip“=dword:00000001 ;删除「开始」菜单项目上的“气球提示”(启)
”NoStartMenuEjectPC“=dword:00000000 ;从「开始」菜单删除“移除 PC”按钮(启)
”NoUserNameInStartMenu“=dword:00000001 ;从「开始」菜单中删除用户名(启)
”HideClockl“=dword:00000001 ;从系统通知区域删除时钟(启)
”NoSMConfigurePrograms“=dword:00000001 ; 从“开始”菜单中删除“设置程序访问和默认”(启)
”NoDeletePrinter“=dword:00000001;关闭删除打印机”
“NoAddPrinter”=dword:00000001; 关闭其它打印机“
”NoSetFolders“=dword:00000001;(隐藏控制面板、打印机/网络连接,WIN2000/XP仅从开始菜单隐藏;此外还禁用WIN+E快捷键)
#《组策略\用户配置\管理模板\桌面》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
”{450D8FBA-AD25-11D0-98A8-0800361B1103}“=dword:00000001;(删除所有我的文档图标)
”{645FF040-5081-101B-9F08-00AA002F954E}“=dword:00000001;(删除所有回收站图标)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”NoPropertiesMyDocuments“=dword:00000001;(删除我的文档右键菜单的属性)
”NoPropertiesRecycleBin“=dword:00000001;(删除回收站右键菜单的属性)(
”NoRecentDocsNetHood“=dword:00000001;(不将打开的共享文件夹添加到网上邻居)
”DisablePersonalDirChange“=dword:00000001;(禁止更改我的文档路径)
”NoDesktopCleanupWizard“=dword:00000001;(删除桌面清理向导)
”NoNetHood“=dword:00000001 ;隐藏桌面上“网上邻居”图标
”NoInternetIcon“=dword:00000001 ;隐藏桌面上的 Internet Explorer 图标
”NoCloseDragDropBands“=dword:00000001 ; 禁止添加、拖、放和关闭任务栏的工具栏(启)
”NoSaveSettings“=dword:00000001 ; 退出时不保存设置(启)
”NoMovingBands“=dword:00000001 ; 禁用调整桌面工具栏(启)
#《组策略\用户配置\管理模板\控制面板》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”ForceClassicControlPanel“=dword:00000001;(强制为传统控制面板样式)
#《组策略\用户配置\管理模板\控制面板\添加/删除程序》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
”NoRemovePage“=dword:00000001;(隐藏更改或删除程序页面)
”NoAddPage“=dword:00000001;(隐藏添加新程序页面)
”NoWindowsSetupPage“=dword:00000001;(隐藏添加/删除Windows组件页面)
”NoAddFromCDorFloppy“=dword:00000001;(隐藏从CD-ROM或软盘添加程序选项)
”NoAddFromInternet“=dword:00000001;(隐藏从Microsoft添加程序选项)
”NoAddFromNetwork“=dword:00000001;(隐藏从网络中添加程序选项)
”NoServices“=dword:00000001;(直接打开”组件向导“,防止用户使用”添加/删除程序“来配置已安装的服务)
”NoSupportInfo“=dword:00000001;(从”更改或删除程序“页面上的程序删除通向”支持信息“对话框的链接)
#《组策略\用户配置\管理模板\系统》
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
”DisableCMD“=dword:00000002;(禁用命令提示符及.cmd和.bat文件)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”NoAutoUpdate“=dword:00000001;(禁用Windows自动更新)
#《禁止生成缩略图缓冲文件Thumbs.db》(WIMXP)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
”DisableThumbnailCache“=dword:00000001
#《WINXP使用WIN2000的搜索界面》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
”Use Search Asst“=”no“(no禁止搜索代理,yes允许搜索代理)
#《”Internet选项“控制面板》
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
”SecurityTab“=dword:00000001;(禁用安全页面)
”PrivacyTab“=dword:00000001;(禁用隐私页面)
”ContentTab“=dword:00000001;(禁用内容页面)
”ConnectionsTab“=dword:00000001;(禁用连接页面)
”ProgramsTab“=dword:00000001;(禁用程序页面)
”AdvancedTab“=dword:00000001;(禁用高级页面)
”HomePage“=dword:00000001;(禁止更改主页设置)
”Cache“=dword:00000001;(禁止更改Internet临时文件设置)
”History“=dword:00000001;(禁止更改历史记录设置)
”Colors“=dword:00000001;(禁止更改颜色设置)
”links“=dword:00000001;(禁止更改链接颜色设置)
”Fonts“=dword:00000001;(禁止更改字体设置)
”Languages“=dword:00000001;(禁止更改语言设置)
”Accessibility“=dword:00000001;(禁止更改辅助功能设置)
”Ratings“=dword:00000001;(禁止更改分级设置)
”Certificates“=dword:00000001;(禁止更改证书设置)
”FormSuggest“=dword:00000001;(禁用表单的自动完成)
”FormSuggest Passwords“=dword:00000001;(禁止自动完成功能保存密码)
”Profiles“=dword:00000001;(禁止更改配置文件助理设置)
”Connwiz Admin Lock“=dword:00000001;(禁用Internet连接向导)
”Connection Settings“=dword:00000001;(禁止更改连接设置)
”Autoconfig“=dword:00000001;(禁止更改局域网设置中的自动配置设置)
”Proxy“=dword:00000001;(禁止更改局域网设置中的代理服务器设置)
”Messaging“=dword:00000001;(禁止更改电子邮件、新闻组和Internet呼叫设置)
”CalendarContact“=dword:00000001;(禁止更改日历和联系人的设置)
”ResetWebSettings“=dword:00000001;(禁用重置Web设置)
”Check_If_Default“=dword:00000001;(禁止更改默认浏览器检查)
”Advanced“=dword:00000001;(禁止更改高级页面的设置)
#删除“锁定计算机”删除“更改密码”已启用
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
”DisableLockWorkstation“=dword:00000001
”DisableChangePassword“=dword:00000001
#删除注销 已启用
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”NoLogoff“=dword:00000001
#计算机启动和登录时总是等待网络 已禁用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\Winlogon]
”SyncForegroundPolicy“=dword:00000000
#总是用经典登录 已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
”LogonType“=dword:00000000
#登录时不显示欢迎屏幕 已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
”NoWelcomeScreen“=dword:00000001
#显示错误通知 已禁用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PCHealth\ErrorReporting\DW]
”DWAllowHeadless“=dword:00000001
#关闭文件和文件夹的“发布到 Web”任务 已启用
#关闭“Web 发布”和“联机订购向导”的 Internet 下载已启用
#关闭“订购图片”图片任务 已启用
#关闭 Internet 文件关联服务 已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
”NoPublishingWizard“=dword:00000001
”NoWebServices“=dword:00000001
”NoOnlinePrintsWizard“=dword:00000001
”NoOnlinePrintsWizard“=dword:00000001
#关闭 Windows Update 设备驱动程序搜索已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverSearching]
”DontSearchWindowsUpdate“=dword:00000001
#关闭 Windows Messenger 客户体验改善活动已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Messenger\Client]
”CEIP“=dword:00000002
#关闭 Windows 错误报告 已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PCHealth\ErrorReporting]
”DoReport“=dword:00000000
#关闭“帮助和支持中心”的“您知道吗”内容 已启用
#关闭“帮助和支持中心” Microsoft 知识库搜索已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PCHealth\HelpSvc]
”MicrosoftKBSearch“=dword:00000000
”Headlines“=dword:00000000
#关闭搜索助理内容文件更新 已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SearchCompanion]
”DisableContentFileUpdates“=dword:00000001
#关闭 Windows Movie Maker 联机 Web 链接 已启用
关闭 Windows Movie Maker 保存到联机视频主机提供商 已启用
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsMovieMaker]
”WebHelp“=dword:00000001
”WebPublish“=dword:00000001
#限制可保留带宽 已禁用
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{C0ECD559-20DD-4C3D-AFDB-84EDBAD094E4}Machine\Software\Policies\Microsoft\Windows\Psched]
”**del.NonBestEffortLimit“=” “
WINDOWS 2000及以后版本新增注册表设置
《组策略\用户配置\管理模板\Windows组件\Windows资源管理器》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”NoManageMyComputerVerb“=dword:00000001(隐藏”我的电脑“右键菜单的”管理“)(至少WIN2000)
”NoShellSearchButton“=dword:00000001(从资源管理器中删除”搜索“按钮)(至少WIN2000)
”NoLowDiskSpaceChecks“=dword:00000001(禁止硬盘空间不足的警告)(至少WIN2000)
”NoViewOnDrive“=dword:xxxxxxxx(禁止从我的电脑访问驱动器,设置参照”NoDrives“)(至少WIN2000)
”NoHardwareTab“=dword:00000001(从控制面板的鼠标,键盘、声音和音频设备以及驱动器的属性对话框中删除硬件选项卡)(至少WIN2000)
”NoSecurityTab“=dword:00000001(从文件及文件夹属性中删除安全选项卡)(至少WINXP)
”NoChangeAnimation“=dword:00000001(禁止更改菜单动画设置的UI)(至少WIN2000)
”NoChangeKeyboardNavigationIndicators“=dword:00000001(禁止更改显示属性中”使用ALT键之前始终隐藏键盘导航指示“选项)(至少WIN2000)
”NoDFSTab“=dword:00000001(从资源管理器中删除DFS选项卡)(至少WIN2000)
”NoComputersNearMe“=dword:00000001(网上邻居中没有”我附近的计算机“)(至少WIN2000)
”MaxRecentDocs“=dword:0000000f(最近的文档最大数目)(至少WIN2000)
”NoRunasInstallPrompt“=dword:00000001(禁止使用”作为其他用户安装程序“对话框来安装程序)(至少WIN2000)
”PromptRunasInstallNetPath“=dword:00000001(在网络安装时显示”作为其他用户安装程序“对话框)(至少WIN2000)
[注]只有当非管理员用户安装程序时,才需要提交其它登录凭据(作为其他用户安装程序)。
”NoCDBurning“=dword:00000001(删除资源管理器的CD烧录功能)(至少WINXP)
”NoRecycleFiles“=dword:00000001(不将删除的文件移入回收站)(至少WINXP)
”ConfirmFileDelete“=dword:00000001(强制确认文件删除对话框)(至少WINXP)
”RecycleBinSize“=dword:0000000a(限制回收站占磁盘空间的百分比,禁止用户更改)(至少WINXP)
”NoSharedDocuments“=dword:00000001(从我的电脑删除共享文档)(至少WINXP)
”NoThumbnailCache“=dword:00000001(关闭缩略图缓存)(至少WINXP)
”NoFileAssociate“=dword:00000001(禁止更改文件夹选项中的文件类型)(至少WIN2000)
《组策略\用户配置\管理模板\Windows组件\Windows资源管理器\通用打开文件对话框》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32\Placesbar]
”Place0“=”ab“(位置栏中显示的项目)(至少WINXP)
[注]一共设置5个值,从Place0到Place4,有效项目为:
1.本地文件夹,如C:\Windows
2.远程文件夹,格式\\server\share
3.Common Shell Folders:CommonDocuments,CommonMusic,CommonPictures,Desktop,MyComputer, MyDocuments,MyFavorites,MyMusic,MyNetworkPlaces,MyPictures,Printers, ProgramFiles,Recent。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32]
”NoPlacesBar“=dword:00000001(隐藏位置栏)(至少WIN2000)
”NoFileMru“=dword:00000001(隐藏最近访问过文件的列表)(至少WIN2000)
《组策略\用户配置\管理模板\Windows组件\Micorsoft Management Console》
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC]
”RestrictAuthorMode“=dword:00000001(禁止用户进入编辑模式)(至少WIN2000)
”RestrictToPermittedSnapins“=dword:00000001(限制用户只使用列表中特别允许的管理单元)(至少WIN2000)
[HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\《CLSID》]
”Restrict_Run“=dword:00000000(允许)/00000001(禁止)(允许或禁止使用管理单元)(至少WIN2000)
[注]一些管理单元的CLSID:
{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}(组策略)
{58221C67-EA27-11CF-ADCF-00AA00A80033}(计算机管理)
{90087284-d6d6-11d0-8353-00a0c90640bf}(设备管理器)
{8EAD3A12-B2C1-11d0-83AA-00A0C92C9D5D}(磁盘管理)
{975797FC-4E2A-11D0-B702-00C04FD8DBF7}(事件查看器)
{5D6179C8-17EC-11D1-9AA9-00C04FD8FE93}(本地用户和组)
{58221C66-EA27-11CF-ADCF-00AA00A80033}(服务)
{45ac8c63-23e2-11d1-a696-00c04fd58bc3}(系统信息)
《组策略\用户配置\管理模板\Windows组件\Windows Update》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
”DisableWindowsUpdateAccess“=dword:00000001(删除使用所有Windows Update功能的访问)(至少WINXP)
《组策略\用户配置\管理模板\任务栏和开始菜单》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
”NoSimpleStartMenu“=dword:00000001(强制典型菜单)(至少WINXP)
”NoCommonGroups“=dword:00000001(从开始-》程序菜单删除公共程序组)(至少WIN2000)
”NoSMMyDocs“=dword:00000001(从开始-》文档菜单删除我的文档图标)(至少WIN2000)
”NoNetworkConnections“=dword:00000001(从开始-》设置菜单删除网络连接)(至少WIN2000)
”NoSMMyPictures“=dword:00000001(从开始菜单中删除”图片收藏“图标)(至少WINXP)
”ForceStartMenuLogOff“=dword:00000001(强制开始菜单显示注销)(至少WIN2000)
”Intellimenus“=dword:00000001(禁止个性化菜单)(至少WIN2000)
”NoInstrumentation“=dword:00000001(关闭用户跟踪)(至少WIN2000)
[注]这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。系统用这个信息来自定义Windows功能,如个性化菜单。
”MemCheckBoxInRunDlg“=dword:00000001(将”在单独的内存空间运行“复选框添加到”运行“对话框)(至少WIN2000)
[注]允许用户在专用的(不是共享的)虚拟DOS机器(VDM)进程中运行十六位程序。
”NoTaskGrouping“=dword:00000001(阻止在任务栏上对项目分组)(至少WINXP)
”LockTaskbar“=dword:00000001(锁定任务栏)(至少WINXP)
”NoTrayItemsDisplay“=dword:00000001(隐藏系统托盘图标)(至少WINXP)
”NoToolbarsOnTaskbar“=dword:00000001(不在任务栏显示任何自定义工具栏)(至少WINXP)
”GreyMSIAds“”=dword:00000001(灰色显示开始菜单中安装不完全的程序的快捷方式)(至少WIN2000)
《组策略\用户配置\管理模板\任务栏和开始菜单(WINXP新样式开始菜单)》
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
“NoUserNameInStartMenu”=dword:00000001(隐藏用户名)
“NoStartMenuMorePrograms”=dword:00000001(隐藏所有程序)
“NoStartMenuMFUprogramsList”=dword:00000001(隐藏经常使用的程序)
“NoStartMenuMyMusic”=dword:00000001(删除我的音乐图标)
“NoStartMenuNetworkPlaces”=dword:00000001(删除网上邻居图标)
《组策略\用户配置\管理模板\桌面》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
“{20D04FE0-3AEA-1069-A2D8-08002B30309D}”=dword:00000001(删除所有我的电脑图标)(至少WINXP)
“{450D8FBA-AD25-11D0-98A8-0800361B1103}”=dword:00000001(删除所有我的文档图标)(至少WIN2000)
“{645FF040-5081-101B-9F08-00AA002F954E}”=dword:00000001(删除所有回收站图标)(至少WINXP)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoPropertiesMyComputer”=dword:00000001(删除我的电脑右键菜单的属性)(至少WIN2000SP3)
“NoPropertiesMyDocuments”=dword:00000001(删除我的文档右键菜单的属性)(至少WIN2000SP3)
“NoPropertiesRecycleBin”=dword:00000001(删除回收站右键菜单的属性)(至少WINXP)
“NoRecentDocsNetHood”=dword:00000001(不将打开的共享文件夹添加到网上邻居)(至少WIN2000)
“DisablePersonalDirChange”=dword:00000001(禁止更改我的文档路径)(至少WIN2000)
“NoDesktopCleanupWizard”=dword:00000001(删除桌面清理向导)(至少WINXP)
《组策略\用户配置\管理模板\桌面\活动桌面》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“ForceActiveDesktopOn”=dword:00000001(启用活动桌面,禁止用户关闭)(至少WIN2000)
[注]此设置的优先级比“NoActiveDesktop”要高。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Wallpaper”=“ab”(指定桌面墙纸的位置,禁止用户更改)(至少WIN2000/ME)
“WallpaperStyle”=“0”(0:居中,1:平铺,2:拉伸)(至少WIN2000/ME)
《组策略\用户配置\管理模板\控制面板》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoControlPanel”=dword:00000001(禁止访问控制面板)(至少WIN2000)
“ForceClassicControlPanel”=dword:00000001(强制为传统控制面板样式)(至少WINXP)
“DisallowCpl”=dword:00000001(隐藏指定的控制面板项目)(至少WIN2000)
“RestrictCpl”=dword:00000001(只显示指定的控制面板项目)(至少WIN2000)
[注]以上两项设置需要添加相同名称的子键,然后在子键里面新建字符串,将其值设置为指定的控制面板项目,如desk.cpl、powercfg.cpl等,可以在%WinDir%\System32目录中查找cpl文件。
《组策略\用户配置\管理模板\控制面板\添加/删除程序》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
“NoAddRemovePrograms”=dword:00000001(禁用添加/删除程序)(至少WIN2000)
“NoRemovePage”=dword:00000001(隐藏更改或删除程序页面)(至少WIN2000)
“NoAddPage”=dword:00000001(隐藏添加新程序页面)(至少WIN2000)
“NoWindowsSetupPage”=dword:00000001(隐藏添加/删除Windows组件页面)(至少WIN2000)
“NoAddFromCDorFloppy”=dword:00000001(隐藏从CD-ROM或软盘添加程序选项)(至少WIN2000)
“NoAddFromInternet”=dword:00000001(隐藏从Microsoft添加程序选项)(至少WIN2000)
“NoAddFromNetwork”=dword:00000001(隐藏从网络中添加程序选项)(至少WIN2000)
“NoServices”=dword:00000001(直接打开“组件向导”,防止用户使用“添加/删除程序”来配置已安装的服务)(至少WIN2000)
“NoSupportInfo”=dword:00000001(从“更改或删除程序”页面上的程序删除通向“支持信息”对话框的链接)(至少WIN2000)
《组策略\用户配置\管理模板\控制面板\显示》
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop]
“ScreenSaveActive”=“0”(禁用屏幕保护程序)(至少WIN2000SP1)
“SCRNSAVE.EXE”=“ab”(指定屏幕保护程序文件,将不能通过显示控制面板更改)(至少WIN2000SP1)
“ScreenSaverIsSecure”=“0”(禁用)/“1”(启用)(密码保护屏幕保护程序)(至少WIN2000SP1)
“ScreenSaveTimeOut”=“900”(指定等待时间,单位秒,范围1-86400,如设为0则不启动,此设置将不能通过显示控制面板更改)(至少WIN2000SP1)
《组策略\用户配置\管理模板\控制面板\显示\桌面主题》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoThemesTab”=dword:00000001(删除显示属性的主题选项)(至少WINXP)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“NoVisualStyleChoice”=dword:00000001(禁止选择外观下的窗口和按钮样式)(至少WINXP)
“NoColorChoice”=dword:00000001(禁止选择外观下的色彩方案)(至少WINXP)
“NoSizeChoice”=dword:00000001(禁止选择外观下的字体大小)(至少WINXP)
“SetVisualStyle”=“ab”(加载一个视觉样式文件,如数据为空则强制使用Windows经典)(至少WINXP)
《组策略\用户配置\管理模板\系统》
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
“DisableCMD”=dword:00000002(禁用命令提示符及.cmd和.bat文件)(至少WIN2000)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Shell”=“ab”(自定义用户界面,ab代表界面程序文件名)(至少WIN2000)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoAutoUpdate”=dword:00000001(禁用Windows自动更新)(至少WINXP)
《组策略\用户配置\管理模板\系统:只运行许可的Windows应用程序》(所有WINDOWS)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“RestrictRun”=dword:00000001(禁止运行所有程序)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
[操作]新建字符串值,名称可以任意,串值为能运行的应用程序,保证“regedit.exe”包含在列表中。
《组策略\用户配置\管理模板\系统:不运行指定的Windows应用程序》(至少WIN2000/ME)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“DisallowRun”=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
[操作]新建字符串值,从“1”开始命名,串值为不运行的应用程序。
《组策略\用户配置\管理模板\系统\Ctrl+Alt+Del选项》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr”=dword:00000001(禁止用户运行任务管理器)(至少WIN2000)
“DisableLockWorkstation”=dword:00000001(禁止用户锁定计算机)(至少WIN2000)
“DisableChangePassword”=dword:00000001(禁止用户改变密码)(至少WIN2000)
《组策略\用户配置\管理模板\系统\登录/注销》
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“DisableLocalMachineRun”=dword:00000001(禁用计算机运行列表)(至少WIN2000)
“DisableLocalMachineRunOnce”=dword:00000001(禁用计算机运行一次列表)(至少WIN2000)
“DisableCurrentUserRun”=dword:00000001(禁用用户运行列表)(至少WIN2000)
“DisableCurrentUserRunOnce”=dword:00000001(禁用用户运行一次列表)(至少WIN2000)
[注]各运行列表所在的注册表位置:
计算机运行列表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
计算机运行一次列表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
用户运行列表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
用户运行一次列表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
《组策略\用户配置\管理模板\系统\登录/注销:限制配置文件大小》(至少WIN2000)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“EnableProfileQuota”=dword:00000001(限制漫游用户配置文件的大小)
“MaxProfileSize”=dword:00007530(Windows默认,漫游用户配置文件的最大值,单位KB)
“IncludeRegInProQuota”=dword:00000001(文件列表中包含注册表)
“WarnUser”=dword:00000001(超出容量限制时通知用户)
“ProfileQuotaMessage”=“ab”(超出容量限制时通知用户的提示信息)
“WarnUserTimeout”=dword:0000000f(Windows默认,提醒用户间隔时间,单位:分钟)
《组策略\用户配置\管理模板\系统\电源管理》
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Power]
“PromptPasswordOnResume”=dword:00000001(从休眠/挂起恢复时提示输入密码)(至少WINXP)
《组策略\计算机配置\Windows设置\安全设置\本地策略\安全选项》
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“dontdisplaylastusername”=dword:00000001(不显示上次登陆的用户名)(至少WIN2000)
“shutdownwithoutlogon”=dword:00000001(允许在未登录前关机)(WINNT/2000/XP)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
“ClearPageFileAtShutdown”=dword:00000001(关机时清理虚拟内存页面文件)(WINNT/2000/XP)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
“restrictanonymous”=dword:00000001(不允许SAM帐户和共享的匿名枚举)(WINNT/2000/XP)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
“DisablePasswordChange”=dword:00000001(禁止更改机器帐户密码)(至少WIN2000)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers]
“addprinterdrivers”=dword:00000001(防止用户安装打印机驱动程序)(至少WIN2000)
《组策略\计算机配置\管理模板\系统》
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
“NoEncryptOnMove”=dword:00000001(不自动加密移动到加密文件夹中的文件)
[注]这个策略只适用于在一个卷中移动的文件。文件被移到其它文件夹,或在加密文件夹中创建了一个新文件,Windows 资源管理器会自动加密那些文件。
《组策略\计算机配置\管理模板\系统\登录》
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“LogonType”=dword:00000000(总是用传统登录)(至少WINXP)
《组策略\计算机配置\管理模板\系统\组策略》
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“DisableBkGndGroupPolicy”=dword:00000001(关闭组策略的后台刷新)(至少WIN2000)
《组策略\计算机配置\管理模板\系统\Windows文件保护》
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Windows File Protection]
“SfcQuota”=dword:00000032(Windows文件保护缓存的最大值,单位MB)(至少WINXP)
“SFCDllCacheDir”=“ab”(Windows文件保护缓存的位置)(至少WINXP)
《清理文件右键菜单“打开方式”列表》(WIN2000/ME/XP)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
[操作]在要清理的文件类型对应的子键下,删除OpenWithList子键中相关子键。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts]
[操作]在要清理的文件类型对应的子键下,删除OpenWithList和OpenWithProgids子键中相关键值。
[注]以上三项,只要有一项定义,就会在打开方式列表中显示。
以上便是在组策略对应的注册表的位置,对于注册表值都有详细的解读,如果你需要这篇文章的帮助,可以收藏这个网页,便于日后进行查找。有任何问题,都可以在下方评论区留言,小编会及时回复。
[转]自动化组策略配置检查
转自:https://blog.51cto.com/infosec/788731
最近公司做服务器安全检查,涉及到组策略配置的核查,如果一台一台进行手动查看,服务器过多的话会相当浪费时间,记得有命令可导出与组策略相关的安全数据库,于是百度之,分析了下组策略与其安全数据库的对应关系,整理此文,记录之。
简单说下方法,
首先通过命令,secedit /export /cfg model.inf 导出组策略配置信息,然后根据需要的Windows安全基线修改组策略,修改后再次用之前命令导出model2.inf,然后使用脚本过滤出不同部分,具体对应信息如下:
1.1 审核口令设置安全策略
密码必须符合复杂性要求 PasswordComplexity = 1
密码长度最小值 MinimumPasswordLength = 8
密码最长使用期限 MaximumPasswordAge = 42
密码最短使用期限 MinimumPasswordAge = 1
强制密码历史 PasswordHistorySize = 5
用可还原的加密来储存密码 ClearTextPassword = 0
复位帐户锁定计时器 ResetLockoutCount = 15
帐户锁定时间 LockoutDuration = 15
帐户锁定阈值 LockoutBadCount = 15
1.2 审核策略
审核策略更改:AuditPolicyChange = 3
审核登录事件:AuditLogonEvents = 3
审核对象访问:AuditObjectAccess = 3
审计过程跟踪:AuditPrivilegeUse = 0
审计目录服务访问:AuditProcessTracking = 0
审核特权使用:AuditDSAccess = 0
审核系统事件:AuditSystemEvents = 3
审核帐户登录事件:AuditAccountLogon = 3
审核帐户管理:AuditAccountManage = 3
1.3 Microsoft网络服务器
设置在挂起会话之前的所需的空闲时间 15分钟;
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15
数字签名的通信(若客户端同意) 已启用;
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1
当登录时间用完时自动注销用户 已启用。
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
1.4 Microsoft网络客户端
建议设置数字签名的通信(总是) 已启用;
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,1
数字签名的通信(若服务器同意) 已启用;
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1
发送未加密的密码到第三方SMB服务器 已禁用;
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0
1.5 交互式登录设置
建议设置不显示上次登录的用户名 已启用;
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1
不需要按Ctrl+Alt+Del 已禁用;
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0
在密码到期前提示用户更改密码建议最小设置 14天
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,14
智能卡移除操作 锁定工作站
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,”1″
1.6 网络访问
1. 允许匿名SID/名称 转换 已禁用;
LSAAnonymousNameLookup = 1
2. 不允许SAM帐户的匿名枚举 已启用;
RestrictAnonymousSAM=4,1
3. 不允许SAM帐户和共享的匿名枚举 已启用;
RestrictAnonymous=4,1
4. 不允许为网络身份验证储存凭证或.net passports 已启用;
MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,1
5. 让每个人(Everyone)权限应用于匿名用户 已禁用;
MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0
6. 限制匿名访问命名管道和共享 已启用;
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess=4,1
7. 本地帐户的共享和安全模式 经典;
MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0
8. 可匿名访问的命名管道 无;
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes=7,
9. 可远程访问的注册表路径
MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine=7,System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion
1.7 网络安全
不要在下次更改密码时存储LAN manager的哈希值 已启用;
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1
LAN manager身份验证级别 仅发送 NTLMv2响应\拒绝 LM;
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4
LDAP客户端签名要求 协商签名;
MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1
基于NTLM SSP(包括安全RPC)服务器的最小会话安全 Require Message Integrity, Message Confidentiality,NTLMv2 Session Security, 128-bit Encryption ;
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,537395248
基于NTLM SSP(包括安全RPC)客户端的最小会话安全为Require Message Integrity, Message Confidentiality,NTLMv2 Session Security, 128-bit Encryption MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,537395248
1.8 故障恢复控制台
允许系统自动管理级登录 已禁用。
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,0
1.9 关机
清除虚拟内存页面文件 已启用;
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,1
允许系统在未登录前关机 已禁用。
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,0
1.10 系统加密
存储在计算机上的用户密钥强制使用强密钥保护 用户每次使用密钥时必须键入密码。
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,1
MACHINE\Software\Policies\Microsoft\Cryptography\ForceKeyProtection=4,2
1.11 系统对象
由管理员(administrators)组成员所创建的对象的默认所有者 对象创建者;
MACHINE\System\CurrentControlSet\Control\Lsa\NoDefaultAdminOwner=4,1
增强内部系统对象的默认权限 已启用。
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1
1.12 帐户
来宾帐户状态 已禁用;
EnableGuestAccount = 0
使用空白密码的本地帐户只允许进行控制台登录 已启用;
MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse=4,1
重命名系统管理员帐户不要使用administrator;
NewAdministratorName = “Administrator”
1.13 设备设置
允许格式化与弹出可移动媒体 administrators;
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD=1,”0″
防止用户安装打印机驱动程序 已启用
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1
未签名驱动程序的安装操作 允许安装但发出警告。
MACHINE\Software\Microsoft\Driver Signing\Policy=3,1
1.14 域成员
对安全通道数据进行数字加密或签名(总是) 已启用;
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1
对安全通道数据进行数字签名(如果可能) 已启用;
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1
禁用更改机器帐户密码 已禁用;
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0
最长机器帐户密码寿命 30天;
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30
需要强会话密钥 已启用。
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1
有了这些对应关系,做检查时即可用脚本来自动检查,并将不合格的项排出,具体脚本可参考如下:
@echo off
:: +———————————————+
:: Script Title : Windows_Safe_Check
:: date : 2012-02-22
:: Author : FeiFei(http://jafee.net)
:: Tested on : Windows 2003 SP2
:: +———————————————+
if exist no.txt (del no.txt)
cls
echo 正在进行 “审计与帐户策略” 安全检查
echo > list.txt PasswordComplexity = 1
echo >> list.txt MinimumPasswordLength = 8
echo >> list.txt MaximumPasswordAge = 42
echo >> list.txt MinimumPasswordAge = 1
echo >> list.txt PasswordHistorySize = 5
echo >> list.txt ClearTextPassword = 0
echo >> list.txt ResetLockoutCount = 15
echo >> list.txt LockoutDuration = 15
echo >> list.txt LockoutBadCount = 15
echo >> list.txt AuditPolicyChange = 3
echo >> list.txt AuditLogonEvents = 3
echo >> list.txt AuditObjectAccess = 3
echo >> list.txt AuditPrivilegeUse = 0
echo >> list.txt AuditProcessTracking = 0
echo >> list.txt AuditDSAccess = 0
echo >> list.txt AuditSystemEvents = 3
echo >> list.txt AuditAccountLogon = 3
echo >> list.txt AuditAccountManage = 3
secedit /export /cfg model.inf >nul
for /F “tokens=1,3″ %%i in (list.txt) do (
call :Getgp %%i %%j
)
ping 127.0.0.1 /n 2 >nul
del tmp.txt
del list.txt
del model.inf
goto :EOF
:Getgp
find “%1″ model.inf >tmp.txt
for /f “skip=2 tokens=3″ %%i in (tmp.txt) do (
if “%%i”==”%2″ (echo %1=%%i ok) else (echo %1 策略不符合规则>>bad.txt)
)
goto :EOF
py2exe MemoryLoadLibrary failed loading _ssl.pyd, Win7<->Win10
Add “crypt32.dll” and “mpr.dll” to your dll_excludes. These are loaded by _ssl.pyd in newer versions of Python such as 2.7.11. But these libraries are Windows system libraries and OS version dependent, so they should not be packaged and distributed with your project. The Win7 “crypt32.dll” probably works on Win10, but the Win10 “crypt32.dll” most likely won’t work on Win7.