Alliot's blog

Windows批处理操作注册表与组策略

  最近需要写一些 Windows 相关的安全加固脚本,Alliot 批处理写的不多,在这过程中遇到了一些小坑,本文对此做一些记录。

编码

批处理

  编码一直是个遭天杀的东西,Windows 下的批处理在包含中文字符的时候,应该使用 ANSI 的编码,编码字符集选择中文 - GB2312(Simplified),否则在运行的时候会出现乱码的情况。

.inf编码

  与上面不同,组策略导出的 .inf 文件的编码为 Unicode(UTF-16)LE带签名,而不是 UTF-8。否则通过导入 .inf 配置文件来配置组策略的时候会出现失败或不生效的情况。

注册表与组策略

  先来看二者的定义:注册表(registry)是 Windows 下储存系统与应用程序配置设置信息的数据库;组策略(Group Policy)是用来定义并控制程序、网络资源及操作系统行为的主要工具。其实说白了就是 Windows 大部分的系统、软件配置,是通过操作注册表来实现的,但是注册表不是很方便阅读,就出现了组策略这个东西,绝大部分的组策略都有相对应的注册表键值。

注册表操作

  在 “HKEY_CURRENT_USER\Control Panel\Desktop” 下添加一个类型为 “REG_SZ” 的ScreenSaveActive” 注册表,数值为 “1”(存在则修改):

1
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v "ScreenSaveActive" /t REG_SZ /d "1" /f

其中 “HKEY_CURRENT_USER\Control Panel\Desktop” 表示注册表路径,”/v” 表示注册表 Value(名称),”/t” 表示类型,”/d” 表示数值,”/f” 表示强制。
每个注册表对应的含义到哪里找呢?
微软的文档

组策略操作

  批处理对组策略修改,推荐使用将现有的策略导出后进行修改。

导出现有的组策略
1
secedit /export /cfg gp.inf
组策略 .inf 语法检查
1
组策略 .inf 语法检查
导入组策略(这里要注意 .inf 文件的编码)
1
secedit /configure /db 1.sdb /cfg 1gp.inf /log 1.log /quiet

其中 “/db” 指定用来执行安全性配置的数据库,”/cfg” 指定在配置次计算机前要导入到数据库的安全性模板,”/log” 指定要记录配置操作状态的文件,”/quiet” 指定配置操作的执行不需要提示用户进行任何确认。

强制刷新组策略
1
gpupdate /force
------ 本文结束 ------

本文标题:Windows批处理操作注册表与组策略

文章作者:Alliot

发布时间:2019年11月14日 - 15:11

最后更新:2019年11月14日 - 15:11

原始链接:https://www.iots.vip/post/windows-gpedit-regedit.html

许可协议: 署名-非商业性使用-相同方式共享 4.0 国际 转载请保留原文链接及作者。

如果此文为您解决燃眉之急或是带来些许明朗,不妨打赏Alliot一杯香茗或是一杯咖啡