浅谈域渗透中的组策略及gpp运用

组策略（英语：Group Policy）是微软Windows NT家族操作系统的一个特性，它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略（缩写“LGPO”或“LocalGPO”），这可以在独立且非域的计算机上管理组策略对象。

通过使用组策略，你可以设置策略设置一次，然后将该设置复制到多台计算机上。例如，你可以在链接到域的 GPO 中设置多个 Internet Explorer11安全设置，然后将所有这些设置应用到域中的每台计算机。

根据作用范围不同组策略可划分为多种，并且拥有自己的执行顺序和继承原则。

密码的难题

每台Windows主机有一个内置的Administrator账户以及相关联的密码。大多数组织机构为了安全，可能都会要求更改密码，虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地Administrator密码。但是这样又会出现另一个问题，那就是所有的电脑都会有相同的本地Administrator密码。也就是说，如果获取了一个系统的Administrator认证凭据，黑客就可以获取他们所有机器的管理权限。

SYSVOL

解决办法之一是为认证数据采取SYSVOL，SYSVOL是AD（活动目录）里面一个存储域公共文件服务器副本的共享文件夹，所有的认证用户都可以读取。SYSVOL包括登录脚本，组策略数据，以及其他域控所需要的域数据，这是因为SYSVOL能在所有域控里进行自动同步和共享。

所有的域组策略存储在：\\<DOMAIN>\\SYSVOL\\\<DOMAIN>\\Policies\\

SYSVOL里的认证

在windows电脑中，管理需要花心思去保证本地Administrator账户（RID 500）。传统的做法（除了购买安全产品），是使用一个自定义的脚本去更改本地Administrator的密码。这样就会出现一个问题，密码肯定会明文存储在SYSVOL的脚本里(比如vbs文件)。比如黑客需要搜寻用来更改本地Administrator密码的VBS脚本，该vbs脚本在Microsoft TechNet gallery上，密码为可见的。这个脚本存在SYSVOL里，每个域用户都有读的权限，且该密码是每台电脑组策略应用的本地Administrator密码。

组策略偏好GPP

在2006年，微软收购了桌面标准的“PolicyMaker”，并重新借此与win2008发布了GPP（组策略偏好）。其中GPP最有用的特性，是在某些场景存储和使用凭据，其中包括：

映射驱动（Drives.xml）

创建本地用户

数据源（DataSources.xml）

打印机配置（Printers.xml）

创建/更新服务（Services.xml）

计划任务（ScheduledTasks.xml）

更改本地Administrator密码

这对管理员非常有用，因为GPP提供了一个自动化机制，可以作为急需的解决方案（比如脚本）给他们。它提供了有效的方法，利用显式凭据结合组策略部署了计划任务，一次性批量更改了电脑的本地管理的密码，也许这就是最受欢迎的利用场景吧。

GPP中存储的凭据

然而现在有个问题，凭据数据应该怎样保护？

当管理创建了一个新的GPP时，SYSVOL里有一个XML文件提供了相关配置数据。如果里面提供了密码的话，那应该就是AES-256加密，看起来这加密似乎是够强力了。

然而除了在2012年前的某些点外，微软在MSDN上发布了AES的私钥，它可以用来解密这种密码。因为认证用户（所有域用户或者信任域里的用户）对SYSVOL拥有读权限。在域里的任何用户可以搜索SYSVOL共享中的带有cpassword字样的XML文件，里面包含了AES加密的密码。

组策略的分类

本地组策略（LGP）

本地组策略（Local Group Policy，缩写LGP或LocalGPO）是组策略的基础版本，它面向独立且非域的计算机。至少Windows XP家庭版中它就已经存在，并且可以应用到域计算机。在Windows Vista以前，LGP可以强制施行组策略对象到单台本地计算机，但不能将策略应用到用户或组。从Windows Vista开始，LGP允许本地组策略管理单个用户和组，并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。

这里演示下利用本地组策略来加载我们的后门程序

这里我直接用CS生成一个window的后门shell.exe

开始->运行->键入"gpedit.msc"->本地组策略编辑器->window设置(system)->脚本->启动->属性