朋友公司的热心网管通过让大家更为别扭的使用电脑寻找存在感,所以设定域组策略限制了她们用u盘备份资料。话说,真想搞点小动作、扮演个商业间谍的员工,用网盘邮件什么的发送多实时啊,至于上u盘吗。至于域管理,也是大小儿就听说,就没见过真身。此番游玩后发觉这一功能是企业集团这辈子必须依赖的,至于Linux/OSX,这点不服不行。
为了简化原理,以简单的形式来说,就是一台 Windows 2008 和一台 Windows 7:
- Windows 2008 上面开启了活动目录(AD),也就是域管理。
- 同时 Windows 2008 上面建立一个账户
- 这台 Win7 配置了接入域,通俗的说就是登陆验证需连接 Win 2008完成,域名解析也需要借助服务器,可能连ip分配都如此。
一个简单的域就组建好了。由于Win7的账户验证在Win2008完成,这个账户的权限和允许的操作都是受服务器定义的。一旦Win2008设置了组策略管理的规则,连接他的Win7也得受之管辖。不过网管配置时候疏忽了一点,人家Win 7虽然登陆了域,但也可以切换用户,然后登陆本地账户。
这点是他可以通过高级的配置手段残忍阻止的。
虽说由于域管理的缓存机制,本地账户也受到域组策略的限制,但本地账户可是本地管理员级别的。想删改系统文件,装个驱动,格式化个磁盘都没人拦得住啊。至于写U盘被阻止的规则,那只是资源管理器,命令行什么的正常调用AP的程序才遵守。既然我是本地管理员,你组策略又没限制我装驱动,那我从驱动级别去直接调用内核API访问U盘,网管就管不着了。
可这驱动自己写不免有点折腾了,兼容性也不好讲。干脆,用现成的VirtualBox。VirtualBox里面创建一个Guest的Win7,也是可以访问U盘的,因为VirtualBox会在Host系统,也就是原Win7装一个驱动,而这个驱动就完成了底层接管USB设备的任务。既然是驱动级别的接管,你组策略就奈何不了。然后Guest的Win7再访问U盘,实则通过这个底层的驱动完成,效果看起来和组策略失效了一样,随意写。
最无奈,网管过滤了百度网盘,QQ离线发送等网络通讯,煞费苦心哎。最后只能通过新加坡一个VPS主机做中专才把VirtualBox传过去。
其实真逼急了,狠招也有的是,拿到笔记本,我U盘启动个Kali Linux,连Windows都不进,你组策略个溜溜球啊,我爱拷啥拷啥。或者你改了本地管理员口令,我U盘KonBoot启动绕过密码进去,然后爱怎么改怎么改。唯一的问题是,本儿不是我用,选择一个持久、麻瓜、易操作的方案才是最优解。
后记,对比发现,利用本地管理员权限直接改注册表似乎就可以对抗域组策略。对比前后注册表的变化,一般是safe descriptor 之类的字段,有个两三个,全删掉就可以了。