CWDIllegalInDllSearch के लिए GPO टेम्प्लेट - कैसे

CWDIllegalInDllSearch के लिए GPO टेम्प्लेट

संलग्न CWDIllegalInDllSearch रजिस्ट्री सेटिंग्स के GPO आधारित प्रबंधन को लागू करने के लिए एक सरल टेम्पलेट है।
एक टेम्पलेट इस उद्देश्य के लिए प्रासंगिक हो सकता है क्योंकि हम संभवतः अगली कुछ शताब्दियों के लिए इस शमन के साथ रह रहे हैं, और हमें उस अवधि में हमारे द्वारा भुगतान की जाने वाली प्रत्येक नई मशीन पर अपनी रजिस्ट्री को लागू करने की आवश्यकता होगी। GPO के माध्यम से ऐसा करने से हमें अपने अपवादों को लागू करने के लिए काउबॉय कल्चर की आवश्यकता से बचते हुए विभिन्न एप्लिकेशन अपवादों को स्कोप करने के लिए OUs और / या WMI फ़िल्टरिंग का उपयोग करने की अनुमति मिलती है।

टिप्पणियाँ, सुधार और अतिरिक्त ज्ञान की बहुत सराहना की जाएगी।

चांगेलोग -
20100831 प्रारंभिक पेशकश
20100831 स्पाइस्यूसर के "सत्र_मनगर" को स्पष्ट करने का सुझाव 2 तब होना चाहिए जब आप तैनाती समाप्त कर रहे हों

कुल 6 चरण

चरण 1: व्यवहार को समझें।

यह GPO टेम्प्लेट संभवतः कुछ लक्ष्य मशीनों के लिए कुछ रजिस्ट्री परिवर्तनों का परिणाम देगा। इस टेम्प्लेट में "अप्रबंधित" सेटिंग्स शामिल होंगी, इसलिए इसमें एक चेतावनी है।

लैमैन का संस्करण - सामान्य "प्रबंधित" सेटिंग्स के साथ, एक लक्ष्य मशीन की रजिस्ट्री को नीतियों द्वारा संशोधित नहीं किया जाता है - उस रजिस्ट्री में कोई भी मूल्य वास्तव में नहीं बदले जाते हैं। जब आप पूछते हैं कि दिया गया रजिस्ट्री मान क्या है, हालांकि, पॉलिसी मूल्य को अंतिम सेकंड में प्रतिस्थापित किया जाएगा, और THAT मूल्य का उपयोग किया जाता है। अगर नीति चली गई तो? प्रतिस्थापन घटित होना बंद हो जाता है ... इसलिए वास्तविक मान फिर से उपयोग किया जाता है।

अप्रबंधित नीतियां ऐसा नहीं करती हैं। अप्रबंधित नीतियाँ एक .reg फ़ाइल के विलय की नकल करती हैं। "अप्रबंधित" सेटिंग्स के साथ नियम है, "अंतिम लेखन जीत"। और मर्जिंग .regs की तरह, अगर पॉलिसी अनलिंक या डिसेबल है तो सेटिंग्स स्टिक हो जाती हैं।

यह "प्रबंधित / अप्रबंधित" अंतर आम तौर पर इस विशिष्ट CWD परिदृश्य के साथ कोई मुद्दा नहीं होगा, क्योंकि हम शोषण के साथ काम कर रहे हैं जो कि "छड़ी" करने की आवश्यकता है, चाहे कोई भी हो, और हम में से अधिकांश वैसे भी reg फ़ाइलों के माध्यम से इसे करने जा रहे थे । यदि आप इस ADM रणनीति को अन्य कार्यों के लिए अनुकूलित करते हैं, हालांकि, इस व्यवहार को ध्यान में रखें।

अंत में ... अधिकांश प्रस्तुतियों में प्रसार और प्रतिकृति देरी मौजूद हो सकती है, इसलिए धैर्य रखें।

चरण 2: एमएस से उपयुक्त पैच नियुक्त करें।

कुछ बिंदु पर, CWDIllegalInDllSearch टूल तैनात करें। MSKB यहाँ है:

http://support.microsoft.com/kb/2264107

आप पैच को तुरंत इस टेम्पलेट पर काम कर सकते हैं, या आप इस टेम्पलेट पर काम कर सकते हैं (और तैनात कर सकते हैं), इससे पहले कि पैच को तैनात किया गया हो।

तैनाती के प्रत्येक आदेश का दूसरे पर एक फायदा है। चूंकि पॉलिसी का पैच के बिना कोई प्रभाव नहीं होगा, इसलिए अप्रकाशित चलने से जीवन आसान हो जाएगा यदि आप यह देखना चाहते हैं कि GPO ने कहां / कैसे आवेदन किया है। हालाँकि, जब तक पैच लागू नहीं हो जाता, तब तक आप पूरी तरह से उजागर हो जाते हैं - इसलिए जोखिम यह निर्धारित कर सकता है कि आप पैच ASAP को रोल आउट कर लें, इस समझ के साथ कि आपको अपने GPO प्रयोग के साथ ध्यान रखना चाहिए।

चरण 3: टेम्पलेट को अनुकूलित करें

संलग्न फ़ाइल में दो "स्टार्टर" नीतियां हैं। आपसे अपेक्षा की जाती है कि आप इस फाइल को अपने उत्पादन में किसी भी कस्टम ऐप को कवर करने के लिए नोटपैड के साथ कस्टमाइज़ करें।

अपने पसंदीदा पाठ संपादक में फ़ाइल खोलने पर, आप देखेंगे कि प्रत्येक विशिष्ट नीति ब्लॉक "POLICY" और "END POLICY" द्वारा निर्दिष्ट है।

फ़ाइल में पहली नीति, "ग्लोबल सर्च पाथ बिहेवियर", को अकेला छोड़ा जा सकता है। यह नीति session_manager कुंजी में प्रविष्टि को शामिल करती है, और डिफ़ॉल्ट व्यवहार होगा।

दूसरी नीति ऐप-विशिष्ट ओवरराइड के लिए है। आप प्रत्येक एप्लिकेशन के लिए संपूर्ण Outlook "POLICY" ... "END POLICY" ब्लॉक (समावेशी) को कॉपी / पेस्ट करेंगे, जिसमें अनुकूलन की आवश्यकता होगी।

मैंने एक नमूने के रूप में Outlook.exe उठाया; जैसा कि आप प्रत्येक अतिरिक्त अपवाद को कॉपी / पेस्ट करते हैं, आपको दो स्थानों पर टेक्स्ट "आउटलुक। exe" को बदलना होगा: पहला POLICY नाम में, और दूसरा KEYNAME के ​​अंत में।

उदाहरण के लिए,
POLICY "my_other.exe"
KEYNAME "सॉफ़्टवेयर Microsoft Windows NT CurrentVersion छवि फ़ाइल निष्पादन विकल्प my_other.exe"
...
END POLICY

एक बार जब आपके सभी ज्ञात अपवादों को टेम्पलेट में जोड़ दिया गया है, तो इसे कुछ जगह पर सहेजें जो आपकी GPO संपादन मशीन तक पहुँच सकती है (2k3 बॉक्स पर, ADM फ़ाइलों के लिए कन्वेंशन c: windows inf) है।


CWDIllegalInDllSearch.adm

चरण 4: एक पेआउट रणनीति विकसित करें

इसे लिखने में, मुझे उम्मीद है कि विभिन्न मशीनों की अलग-अलग अपवाद आवश्यकताएं होंगी। हालाँकि, यह आपके लिए मामला हो भी सकता है और नहीं भी। यदि यह है, हालांकि, आप या तो अपने OU पदानुक्रम को खेलना चाहते हैं, और / या आप एक पॉलिसी के आवेदन के लिए गुंजाइश प्रदान करने के लिए WMI फ़िल्टरिंग एट अल का उपयोग कर सकते हैं। यदि आपने पहले WMI को फ़िल्टर नहीं किया है, तो यह डरावना लग सकता है - लेकिन वास्तव में ऐसा नहीं है। WMI फ़िल्टरिंग का एक सरल अवलोकन यहां पाया जा सकता है:
http://technet.microsoft.com/en-us/library/cc754488%28WS.10%29.aspx
इसे पढ़ने दें, और फिर एक फर्जी GPO के साथ खेलें और आनंद लें!

हमारे GPO पर वापस - भुगतान के लिए सबसे अच्छा तरीका एक नया (खाली) GPO बनाना है जो अपवादों के एक विशेष सेट के लिए समर्पित है। छोटी दुकानों को केवल एक जीपीओ बनाना होगा। अधिक जटिल वातावरण स्पष्ट रूप से कई होंगे। नई शुरुआत के लिए, प्रत्येक GPO आपके एकल संपादित टेम्पलेट से आधारित होगा; आप बस प्रत्येक GPO को कुछ अलग सेटिंग्स देंगे।

चरण 5: एक पॉलिसी ऑब्जेक्ट बनाएं, अपना टेम्प्लेट बनाएं

GPO संपादक में अपने संपादित टेम्पलेट को देखने के लिए, आपको इसे जोड़ना होगा। सबसे पहले, प्रशासनिक उपकरण -> समूह नीति प्रबंधन। एक नई (या किसी मौजूदा) नीति ऑब्जेक्ट को संपादित करें। फिर संपादक में:
कंप्यूटर कॉन्फ़िगरेशन -> (राइट क्लिक करें) प्रशासनिक टेम्पलेट -> जोड़ें / निकालें।

जब भी आप अपनी संपादित ADM फ़ाइल को चिपकाते हैं, तो इसे प्राप्त करें। "क्लोज़" पर क्लिक करने पर, "DLL खोज व्यवहार" नामक "सिस्टम" श्रेणी में एक नई प्रविष्टि दिखाई देगी। जब आप शुरू में उस श्रेणी को देखते हैं, तो संभवतः यह खाली होगा। कोई चिंता नहीं, प्रविष्टियाँ बस छिपी हुई हैं। आइए हम उन्हें प्रकट करें:

शीर्ष पर फ़ाइल एक्शन दृश्य सहायता मेनू बार में? देखें -> फ़िल्टरिंग पर क्लिक करें
UNcheck "केवल नीति सेटिंग दिखाएं जो पूरी तरह से प्रबंधित की जा सकती हैं"।

अब आपकी प्रविष्टियाँ नई श्रेणी में दिखाई देंगी।

आपको अपने द्वारा बनाए गए प्रत्येक नए GPO में इस प्रक्रिया को दोहराना होगा। इसके अतिरिक्त, MSC में फ़िल्टर प्रदर्शित करने की आदत है - इसलिए आपको इस अवसर पर "केवल शो" चेकबॉक्स को फिर से देखने की आवश्यकता हो सकती है।

एडीएम फ़ाइल "जैसा कि आप जाते हैं" संपादित करने के बारे में एक त्वरित टिप्पणी: जीपीओ संपादक स्टार्टअप पर एडीएम फ़ाइल लोड करता है। यदि आप GPO का संपादन करते समय ADM फ़ाइल में परिवर्तन करते हैं, तो आप अपने परिवर्तनों को देखने के लिए GPO संपादक से बाहर / फिर से दौड़ना चाहेंगे। यदि आप ADM फ़ाइल में टाइपो बनाते हैं (और ठीक करते हैं) तो आपको यह याद रखना होगा।

चरण 6: लागू करें!

एक बार जब आप अपना टेम्पलेट GPO में जोड़ लेते हैं, तो आप अनुभाग में अपने संपादन में चमत्कार कर सकते हैं
कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्पलेट -> सिस्टम -> Dll खोज व्यवहार।

ध्यान दें - "ग्लोबल सर्च पाथ बिहेवियर" के लिए टेम्प्लेट का डिफ़ॉल्ट मान 0 ("लिगेसी बिहेवियर") है, किसी भी बुरी चीजों को होने से रोकने के लिए यदि आप उस पॉलिसी को बिना सोचे समझे सक्षम कर लेते हैं। कुछ बिंदु पर, आप संभवतः उस मान को 2 होना चाहेंगे, "WebDAV और UNC CWDs"।

उपयुक्त के रूप में सेट करें, सहेजें और OUs से लिंक करें।

कुछ त्वरित "परीक्षण" रणनीति हम में से अधिकांश एडीएम फ़ाइलों और नीतियों (* खांसी *) को दैनिक आधार पर संपादित करते हैं:

- एक नया GPO ऑब्जेक्ट बनाकर परीक्षण करें जिसमें आपके संपादित टेम्पलेट से ट्विक्स हों।

- उस GPO ऑब्जेक्ट को एक ही मशीन के साथ एक एकल OU पर लागू करें।

- ग्राहक-पक्ष, regedit Software Microsoft Windows NT CurrentVersion Image फ़ाइल निष्पादन विकल्प somexefile.exe आपके अनुकूलन देखने के लिए।

- regedit में, रजिस्ट्री दृश्य को रीफ्रेश करने के लिए F5 को स्मैक करने से पहले - एक नीति ताज़ा करने के लिए gpupdate.exe चलाएं। ध्यान दें कि आपका टेम्पलेट केवल मशीन नीति को प्रभावित करता है, इसलिए किसी रिबूट या लॉगऑफ़ की आवश्यकता नहीं होती है, और कोई / बल की आवश्यकता नहीं होती है। बस gpupdate, 10 तक गिनें, फिर F5 स्मैक करें (यह मानते हुए कि आप कई DCs के बीच पॉलिसी को दोहराने के लिए इंतजार नहीं कर रहे हैं)।