前言 在C#开发中,处理Excel文件是一项常见的任务。...中,可以使用“工具栏”或“设置单元格格式”对话框中的调色板添加文本颜色,如下所示: 若要使用 GcExcel 添加文本颜色,请使用 IRange 接口的 Font 设置的 Color 或 ThemeColor...条件格式 在工作表中,Excel 允许用户对单个或一系列单元格创建条件格式规则,使单元格、行、列或整个工作表中的数据自动应用不同的格式。...例如,若要对区域中的唯一值应用条件格式,需要将 AddUniqueValue 的规则添加到 FormatConditions 集合中,如下面的代码所示: IUniqueValues condition...借助 GcExcel,可以使用工作簿的 Styles 集合以编程方式将这些快速样式应用于单元格或单元格区域,并将其作为值提供给 IRange.Style 属性,如下所示: worksheet.Range
只能授权其访问本域资源,其他域中的资源不能授权其访问。 全局组:创建全局组是为了合并工作职责相似的用户的账户,只能将本域的用户和组添加到全局组。在多域环境中不能合并其他域中的用户。...通用组:和全局组的作用一样,目的是根据用户的职责合并用户。与全局组不同的是,在多域环境中它能够合并其他域中的域用户帐户,比如可以把两个域中的经理帐户添加到一个通用组。...组织单位的管理 OU的概念:OU是AD中的容器,可在其中存放用户、组、计算机和其他OU,而且可以设置组策略 创建OU:基于部门,如行政部、人事部;基于地理位置,如北京、上海;基于对象,如用户、计算机 删除...通过使用组策略可以对计算机或者用户设置相应的策略 组策略的功能 账户策略的设置 本地策略的设置 脚本的设置 用户工作环境的设置 软件的安装与删除 限制软件运行 文件夹的重定向 限制访问可移动设备 组策略优点...,AD中的一种特殊对象 默认GPO:默认域策略、默认域控制器策略 GPO链接:只能链接到站点、域、OU 组策略的应用规则 策略继承与阻止:下级容器可以继承或阻止应用其上级容器的GPO设置 策略累加与冲突
描述: 该命令创建一个新的入站或出站防火墙规则,并将该规则添加到目标计算机。...此策略不是来自GPO的,而是在计算机上手动或以编程方式(在安装应用程序期间)创建的。在此存储中创建的规则将附加到ActiveStore并在计算机上立即被激活。...GPO可以通过创建新的GPO cmdlet或组策略管理控制台。...* ConfigurableServiceStore:此读写存储包含为第三方服务添加的所有服务限制。此外,为Windows Store应用程序容器创建的网络隔离规则将显示在此策略存储中。...该参数的使用方式与PolicyStore参数相同。在WindowsPowerShell®中修改GPO时,对GPO的每次更改都需要加载,修改和保存整个GPO。
01、简介 在一些勒索病毒的案例中,我们可以看到这样的案例,攻击者通过域控组策略下发勒索病毒加载脚本,从共享服务器下载并执行勒索病毒样本,从而导致内网大规模范围内的病毒感染事件。...基于勒索病毒攻击感染的场景,组策略对象(GPO)的敏感操作需要实时监控,这是保持内网安全所必需的。那么,今天我们来分析一下GPO后门的方式,总结规律,制定对应的检测规则。...02、攻击过程 通过域控下发并执行脚本/软件,主要有三种方式,分别是添加启动项脚本、添加计划任务以及软件安装。...(1)通过GPO添加启动项脚本 在真实的运维场景中,为了便于管理域环境中计算机本地管理员密码,一般会使用GPO组策略下发脚本来统一修改密码。...\Preferences\ScheduledTasks\ScheduledTasks.xml (3)通过组策略软件下发 域组策略提供了批量部署软件的功能,在软件安装新建数据包策略后,在Applications
0x01 什么是AD DS域 ADDS可以理解为跟DNS,DHCP一样是集成在Windows Server中的一个角色功能,AD DS域是用来管理用户,计算机,组和其他对象的逻辑容器。...计算机容器:在域中创建的新计算机帐户的默认位置 ? 域控制器:域控机器在的默认组 ? **外部安全主体容器:**在本地 AD DS 域中添加的本地 AD DS 域外部的域中的受信任对象的默认位置。...0x04 组策略 组策略可以控制用户帐户和计算机帐户的工作环境。 ? 组策略链接:可以看到右边的作用域路径是整个redteam.local也就是说在这个域内的所有计算机,用户都会搜到影响。 ?...GPT:一个具有结构层次的共享目录,存放于域控中,包含所有的组策略信息。包括管理模板,安全,脚本,软件安装等。gpo的信息量比较大,这也是gpo将gpc与其分开的原因。...User目录:包含针对用户的策略配置。GPT.ini文件:该组策略对象的一些配置信息(如版本信息、策略名称)。
搜索 可以将搜索范围指定为特定节点类型,如 Group Domain Computer User OU GPO 比如我要搜索类型为computer中的00351号,输入 computer:00351 ,...DOMAIN ADMINS@TESTLAB.LOCAL 的路径,用下面的方式搜索,会自动规划好一条到达目标的最短路线。...在活动目录中执行仅基于ACL的攻击,此用户可以控制的对象数。...,是否阻止组策略实施继承的意思,在未强制执行GPLink的情况下,一旦阻止继承,则GPO不会应用在与其链接的OU和所有的子对象上。...Containers – Contains 可以在OU上添加一个新的ACE,它将继承到该OU下的所有子对象上,比如说在OU上应用GenericAll ACE ,那么所有子对象都将继承GenericAll
健康策略符合性 管理员可以设置符合性策略,配合SCCM 2012,NAP检查客户端计算机是否包含了特定的软件更新或者是单独的软件产品,如果不符合,将自动对其进行修复。 ?...配置更新服务器组,选择新建租,将DC服务器与SCCM服务器都添加进去,这是用于不符合健康性规则的客户端访问,并进行修复的服务器。然后下一步、默认设置,完成安装。 ? 图15 15....下面进行DC方面的配置,在AD用户与计算机中设置一个名为NAP Client Computer的安全组,将需要管理的客户端添加进去。 ? 图18 18....右击新建的GPO对象,选择编辑,打开组策略编辑器。 ? 图20 20....接下来配置NAP client settingsGPO的安全筛选,找到组策略对象下的NAP client settings GPO,在右侧的窗口中,在安全筛选下,删除Authenticated Users
dn 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” 2、AD域 2.1 目录服务 定义: 目录服务就是按照树状存储信息的模式...用户账户的任何变化,例如修改密码或添加新的账户均必须在每台计算机上操作进行。 如果忘记在每个计算机上添加新的用户账户,新用户将不能登录到没有此账户的计算机,也不能访问其上的资源。...4.3 组策略管理 组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC), 组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。...部署软件 思路是把要部署的软件存储在文件服务器的共享文件夹中 然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。...部署软件 思路是把要部署的软件存储在文件服务器的共享文件夹中 然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
\$Dirfilename\$Logfilename" } GPO有点像Linux中cront+local.rc+selinux+iptables部分功能的集合,在Windows Server体系里是一个举足轻重的角色...,然而如果乱玩GPO,或者不理解“计算机配置”、“用户配置”之间的层级关系很容易就会出现系统奇奇怪怪的问题,gpresult是个很经典的命令加/r可以输出计算机中的当前应用的GPO策略。...所以才定位到原来某次误操作把GPO中的远程连接会话数限制了1次,所以当两个人同时进行连接时,另外一个人就无法连接 其实gpresult /r仅仅只能输出概述,更详细的应该使用gpresult...\$Dirfilename\$Logfilename" } 与获取网卡驱动版本一致,同样使用WMI接口进行获取软件安装列表(当然这也是业界较认可的方案),在Windows Server运维过程中...,在域情况下是通过GPO进行控制,所以域成员机可能会显示防火墙被接管,所以域成员机出现问题时,可以直接排查域控(DC)的防火墙规则: image.png 另外,IPSec Rule支持P2P、应用级别的安全规则
在“服务器管理器”中,单击“仪表板”,然后单击“添加角色和功能” 步骤 7:在“开始之前”页面上,单击“下一步” 步骤 8:在“选择安装类型”页上,确认已选择“基于角色或基于功能的安装”选项...步骤1:在组策略管理控制台 (GPMC) 中,浏览到默认的default domain policy的 GPO,然后单击“编辑”。...下面我们来为测试服务器组配置一个自定义的GPO,该GPO的优先级会高于默认的域组策略,所以该GPO所链接到的计算机OU内的计算机客户端都会优先应用该策略。...步骤11:然后我们右击新建的GPO,选择编辑,如图。 然后我们就可以为该GPO设置不同的自动更新策略了,所有链接到这个策略的计算机OU都会应用该策略。...对于配有基于域的组策略对象的客户端计算机,组策略将花费大约 20 分钟才能将新的策略设置应用于客户端计算机。
所有的规则都可以直接加载进组策略中,这种方式比默认的Windows防火墙配置规则更加强大。...2、在PowerShell终端窗口中,进入包含规则集脚本的目录,然后执行特定PowerShell脚本。...3、运行FirewallProfile.ps1脚本来应用默认防火墙规则,或者直接在GPO中手动配置。 删除规则 根据该版本,我们可以直接在本地组策略中选择我们需要删除的规则,然后右键点击并删除即可。...如果需要还原防火墙的状态,我们还需要从GPO中删除所有规则,然后右键点击“Windows Defender Firewall with Advanced Security - Local Group Policy...管理已加载的规则 我们有下列两种方法管理已加载的规则: 1、使用本地组策略,这种方法会对规则的使用有一定的限制; 2、编辑PowerShell脚本,这种方法允许我们拥有最完整的控制权,我们可以提升规则,
调度程序的决定,无论是否可以或不能调度容器,都由其可配置策略指导,该策略包括一组规则,称为谓词和优先级。调度程序的决定受到其在第一次调度时出现新pod时的Kubernetes集群视图的影响。...在做调度决定时需要考虑的因素包括:单独和整体的资源请求、硬件/软件/策略限制、亲和以及反亲和要求、数据局域性、负载间的干扰等等。...原始调度决策不再适用,因为在节点中添加或删除了污点或标签,不再满足 pod/node 亲和性要求。...某些节点发生故障,其pod已移至其他节点 集群添加新节点 因此,可能会在群集中不太理想的节点上安排多个pod。Descheduler根据其政策,发现可以移动并移除它们的pod。...用户应该知道如何以及是否可以重新创建容器。 注意:PDB 不受 Descheduler 控制 版本兼容性 ? 部署 Descheduler 可以在k8s集群中作为 Job 或CronJob 运行。
注:这种上下游串联的方式,建议最好不要超过 3 层(虽然理论上没有层数限制),因为每增加一层,就会增加延迟时间,因而拉长将更新程序传递到每台计算机的时间。...在域中创建一个 GPO,WSUS 策略,然后通过这个 GPO 来设置域内的所有客户端计算机的自动更新配置。 新建组策略 ? 展开计算机配置 - 策略 - 管理模板 - windows 组件。...选择添加计算机组。 ? 将隶属于改组的计算机从未分配的计算机组移动到刚刚创建的业务部计算机组中。 ?...例如,如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机: 单击选项中的自动审批,在前景图中勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序,请单击允许规则。 ?...通过另外创建 GPO 的方式进行配置,尽量不要通过内置的 Defult Domain Policy GPO 进行设置。 ? 配置自动更新 此策略用来配置客户端下载与安装更新的方式。
例如,你可以在链接到域的 GPO 中设置多个 Internet Explorer11 安全设置,然后将所有这些设置应用到域中的每台计算机。...0x1.5 GPP中存储的凭据 然而现在有个问题,凭据数据应该怎样保护? 当管理创建了一个新的GPP时,SYSVOL里有一个XML文件提供了相关配置数据。...@# 这里我直接在域策略的GPO下面直接用脚本来下发这个脚本 ? 这里为了演示效果,我们在域用户机器上进行强制更新组策略 gpupdate /force ?...,并且将密码解密 3.针对性用户查找,这里我们可以使用powerview 这里我们以de1ctf中的wp中的思路自己走一遍那个流程 我们在指定的GPPVuln这个OU中添加个账户 ?...1.直接的方式 比如简单和暴力的方式,就是直接将我们的木马当成脚本放在域策略或者自己新建个GPO然后在启动|关闭中放入我们的木马,然后将该GPO链接到你想搞的OU下,这样就可以实现定向打击,这种感觉比较明显吧
Group3r 是一个供内网渗透测试人员和红队人员快速枚举 AD 组策略中的相关设置并识别其中可利用的错误配置的工具。...围绕组策略的许多攻击主要集中在两个主要方面:查找密码(在 GPP 密码等中),以及滥用弱 ACL 来修改 GPO。...这些东西非常有用,但是如果忽略组策略的其余部分,将在桌面上留下大量非常有用的信息,更不用说一些非常有趣的攻击路径了。 这是一个例子: 以红色突出显示的位是组策略对象 (GPO)。...该部分的顶部栏告诉您它是 GPO、GPO 的显示名称 ( testgpo123 )、GPO 的唯一标识符(大括号中的位)以及 GPO 是当前的还是“Morphed”。...顶部栏中的颜色(在本例中为红色)是分类级别,使用与 Snaffler 相同的级别 - 绿色、黄色、红色和黑色。
例如,你可以在链接到域的 GPO 中设置多个 Internet Explorer11安全设置,然后将所有这些设置应用到域中的每台计算机。...@# 这里我直接在域策略的GPO下面直接用脚本来下发这个脚本 这里为了演示效果,我们在域用户机器上进行强制更新组策略 gpupdate /force 我们可以在域用户中通过搜索脚本文件比如*.vbs...,并且将密码解密 3.针对性用户查找,这里我们可以使用powerview 这里我们以de1ctf中的wp中的思路自己走一遍那个流程 我们在指定的GPPVuln这个OU中添加个账户 下面我们演示如何在域中根据该用户名称来进行针对性的...1.直接的方式 比如简单和暴力的方式,就是直接将我们的木马当成脚本放在域策略或者自己新建个GPO然后在启动|关闭中放入我们的木马,然后将该GPO链接到你想搞的OU下,这样就可以实现定向打击,这种感觉比较明显吧...这里演示下如何使用New-GPOIm/images/浅谈域渗透中的组策略及gpp运用teTask.ps1 1.导入powershell中管理GPO的模块&创建一个作用整个域的GPO Import-Module
因此,除非部署了防火墙规则来绕过漏洞,或防火墙使用了弱密码,否则这种方式的效果是不会理想的。因此,我们第一不要做的就是如何通过获取域管理员权限来控制活动目录。 如何变成域管理员?...我们的目标是在CDE中通过呼叫中心控制同一活动目录中的其他计算机。为此,我们还需要深入了解组策略对象(GPO)。...GPO允许将各种范围级别的设置应用于用户和计算机,它可以以不同范围级别控制域中的计算机。客户GPO的许多功能都适用于统一管理组织中的IT设置。...例如,统一设置密码策略,或者统一设置为用户桌面显示哪些图标(例如,打开公司网站的快捷方式)。而有一个GPO可以运行微软中的“计划任务”,这正是我们所需要的。...在共享和目录上设置权限,允许所有域用户读取: 5.创建GPO策略: 6.在编辑这个新的GPO时,点击“计划任务”,并创建新的“即时计划任务”: 7.创建指向共享恶意脚本的任务。
关于SharpGPOAbuse SharpGPOAbuse是一个功能强大的.NET应用程序,SharpGPOAbuse基于C#开发,可以帮助广大研究人员利用目标系统中用户针对一个组策略对象(GPO)的编辑权限来入侵并控制由该组策略对象...—AddLocalAdmin 向本地管理员组中添加一个用户 —AddComputerScript 添加一个新的计算机启动脚本 —AddUserScript 配置一个用户登录脚本 —AddComputerTask...user rights: --UserRights 给用户添加新的权限,该参数大小写敏感,可以使用逗号分隔的列表。...--UserAccount 设置需要添加新权限的用户账号。 --GPOName 存在安全漏洞的GPO名称。..." 如果你只想要对GPO控制的特定用户或计算机执行恶意脚本,你可以在恶意脚本中添加一个if语句: SharpGPOAbuse.exe --AddUserScript --ScriptName StartupScript.bat
成功入侵 Active Directory 后,BlackCat 可以配置有害的组策略对象 (GPO) 来处理勒索软件数据。接下来是禁用系统内的任何安全基础设施以避免障碍。...来源:天际友盟BlackCat勒索软件系列报告 除了编写方式、加密模式外,BlackCat 在整个攻击过程中使用到的工具也值得关注。...在执行命令的过程中,恶意软件最初将虚拟机的根密码更改为攻击者选择的密码,随后通过内置的tmux实用程序生成一个新的终端会话,该实用程序用于执行名为controller的恶意软件二进制文件。...虚拟机操作系统中包含的文件路径及有关描述 除了上面提到的文件,大量的Python脚本直接存在于/usr/bin中,BlackCat操作符可以在VM的后续更新中使用这些脚本。...其次,严格访问控制策略、创建防火墙规则,仅允许特定的 IP 地址访问;限制可使用 RDP 的用户为特权用户;设置访问锁定策略,调整账户锁定阈值与锁定持续时间等配置;为管理员级别和更高级别设置的账户实施基于时间的访问
accounttraceid=c4c9a768-4a9f-42f8-b1e1-f8707574eeb9 防: 在用于管理GPO的计算机上安装KB2962486,以防止将新凭据置于组策略首选项中。...在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。对于内置帐户,SPN将自动进行注册。...p=2716 策略对象在持久化及横向渗透中的应用 https://www.anquanke.com/post/id/86531 组策略概述 组策略使管理员能够管理Active Directory中的计算机和用户...组策略保存为组策略对象(GPO) 攻击者可以滥用GPO,通过欺诈方式进一步自动化地传播恶意软件、实现持久化驻留目的 恶意软件可以利用GPO穿越IDS/IPS等防火墙,最终访问到域内所有的系统。...组策略默认情况下每90分钟(域控制器5分钟)可包括安全选项,注册表项,软件安装以及启动和关闭脚本以及域成员刷新组策略设置。这意味着组策略在目标计算机上执行配置的设置。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
