主页 / user-10139

Jordan W.'s questions

Martin Hope
Jordan W.
Asked: 2010-04-07 21:04:33 +0800 CST
  • 1

Beyondtrust.com 最近发布了一份报告,其中声称“90% 的关键 Microsoft Windows 7 漏洞通过消除管理员权限得到缓解”

他们提供的其他有趣的“事实”表明,不以本地管理员身份运行也可以缓解这些问题:

  • 2009 年报告了 100% 的 Microsoft Office 漏洞
  • 2009 年报告了 94% 的 Internet Explorer 和 100% 的 IE 8 漏洞

但是,在阅读报告的第一页左右时,我看到了这一行:

如果以下句子位于安全公告的缓解因素部分中,则认为可以通过删除管理员权限来缓解漏洞:“帐户被配置为在系统上拥有较少用户权限的用户可能比使用管理用户权限操作的用户受到的影响更小。

对我来说可能听起来很弱,所以我想知道这一切到底有多有效。我并不是说没有管理员权限运行不安全,我认为这是众所周知的。我只是想知道这些统计数据是否是您在争论中用作弹药的东西,或者用于向业务方出售类似的更改(删除用户作为本地管理员)?想法?

报告链接 (pdf)

[这应该是一个社区维基吗?]

internet-explorer security microsoft-office windows-7 vulnerabilities
Martin Hope
Jordan W.
Asked: 2010-03-13 13:28:03 +0800 CST
  • 1

我想为 Windows 7 创建一个网络默认用户帐户

这是在 Windows 2003 域上,服务器从 Windows 2000 到 2008 R2 和 Windows XP 在工作站端。我们即将完全迁移到 Windows 7,我想开始使用网络默认用户配置文件功能,因为我们不会迁移用户配置文件。希望每个人都开始干净。

我按照此页面中的简单步骤操作:http: //support.microsoft.com/kb/973289在标题下:“如何在 Windows 7 和 Windows Server 2008 R2 中将默认用户配置文件转换为网络默认用户配置文件”但问题是该配置文件随后将应用于登录到 2008服务器的新用户\管理员。那不好。有人对如何限制实际使用该网络配置文件有任何想法吗?我正在考虑为“\\dcserver\netlogon\Default User.v2”文件夹上的所有管理员\服务帐户设置拒绝权限,但它可能会超时并导致其他问题。还没有尝试过,因为这似乎是完成这项工作的坏方法。

windows windows-7 user-profile
Martin Hope
Jordan W.
Asked: 2009-10-10 11:09:43 +0800 CST
  • 6

我正在寻找 Powershell(首选)脚本或 .CMD 或 .VBS,以删除工作站 (WinXP) 或终端服务器(2000、'03 或 '08)上的特定用户配置文件。我对 delprof 实用程序了如指掌……这只允许您根据一段时间不活动进行删除。我想要一个脚本:

  • 提示管理员输入用户名
  • 删除该用户名的个人资料
    • 并删除整个配置文件 - 注册表配置单元(不仅仅是文档和设置中的文件夹结构)。
    • 如果您转到“我的电脑”>“属性”>“高级”选项卡>“用户配置文件设置”>并从那里删除配置文件,则方法相同。

有任何想法吗?我能想到的只是进行 AD 查找以获取指定用户的 SID,然后使用它来删除正确的注册表配置单元......不过,更简单的东西会很好......

基本上,我的 HelpDesk 曾经是我们 Citrix 服务器上的本地管理员,解决各种问题的常见方法是让他们删除 citrix 服务器上的用户配置文件并让该用户重新登录 - 瞧,无论他们遇到什么问题解决。展望未来,在新的 Citrix 环境中,他们将不再是这些框的本地管理员,但仍需要能够删除配置文件(删除整个配置文件:文件夹和注册表是关键)。谢谢。

windows
Martin Hope
Jordan W.
Asked: 2009-09-25 06:40:40 +0800 CST
  • 1

我的公司是一家律师事务所,因此我们使用了太多的 Outlook 插件和 Word 工具栏等。但是公司想要它们,所以它们就在那里。这会导致 Outlook 启动时间有点天文数字,因为所有加载项都已加载并显示工具栏。但是,很大一部分用户只真正使用并且需要一个相同的插件(每个人都必须使用)。我知道有一些开关可以在禁用所有加载项的情况下启动 Outlook(如outlook.exe /safe),有没有人知道在禁用所有但一个(或两个)加载项的情况下启动 Outlook 的方法?我正在为此寻找命令行解决方案的原因是我想为用户提供两个选项 - Outlook FullOutlook Fast或类似的东西。如果他们需要额外的功能,他们会知道点击完整功能等。

command-line-interface
Martin Hope
Jordan W.
Asked: 2009-06-20 12:35:29 +0800 CST
  • 2

这是一个打开审计规则的脚本:

$path = 'C:\...\*'
$ACL = new-object System.Security.AccessControl.FileSecurity
$AccessRule = new-object System.Security.AccessControl.FileSystemAuditRule("everyone","ExecuteFile","success")
$ACL.SetAuditRule($AccessRule)

$dircont = gci $path -include "*.dot"
foreach ($file in $dircont)
        {
        $ACL | Set-Acl $file
        }

但我想要做的是,对于任何给定的文件,删除任何和所有审计规则。因此,假设您不知道哪些用户设置了审核或执行了哪些操作,您只想摆脱这一切......就像我想我可以做的事情:

$AccessRule = new-object System.Security.AccessControl.FileSystemAuditRule("everyone","ExecuteFile","none")

但这只有在您知道哪些用户已配置为对该文件进行审核时才有帮助……希望这是有道理的。谢谢你的帮助。

windows powershell access-control-list audit