Редактор локальной групповой политики Windows для начинающих

Анализ событий от Group Policy в системных журналах Windows

В журнале приложений о медленном применении политик может свидетельствовать событие с EventID 6006 от источника Winlogon с текстом:

Подписчик уведомлений winlogon потратил 3594 сек. на обработку события уведомления (CreateSession).
The winlogon notification subscriber took 3594 seconds to handle the notification event (CreateSession).

Судя по данному событию, пользователю пришлось ждать применения групповых политик при загрузке компьютера в течении почти часа…

В Windows 7 / Windows 2008 R2 и выше все события, касающиеся процесса применения групповых политик на клиенте доступны в журнале событий Event Viewer (eventvwr.msc) в разделе Applications and Services Logs –> Microsoft -> Windows -> Applications and Services Logs -> Group Policy -> Operational.

Примечание. В журнале System остались только события, относящиеся к функционирования самой службы Group Policy Client (gpsvc).

Для анализа времени применения политик будут полезны следующие EventID:

События 4016 и 5016 показывают время начала и завышения процесса обработки расширений применения GPO, причем в последнем указано общую длительность обработки расширения.К примеру, на скриншоте ниже был включен фильтр журнала Group Policy -> Operational по событиям 4016 и 5016. По тексту события 5016 можно увидеть время обработки этого компонента GPOЗавершена обработка расширения Group Policy Local Users and Groups за 1357 мс.
Событие 5312 содержит список применённых политик, а в событии 5317 есть список отфильтрованных GPO.
В событиях 8000 и 8001 содержится, соответственно, время обработки политик компьютера и пользователя при загрузке компьютера. А в событиях 8006 и 8007 есть данные о времени применения политик при периодическом обновлении.Завершена обработка политики загрузки компьютера для CORP\pc212333$ за 28 с.

При анализе журнала стоит также обращать на время, прошедшее между двумя соседними событиями, это может помочь обнаружить проблемный компонент.

Административные шаблоны

Узел «Административные шаблоны» является крупнейшим из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов операционной системы Windows. Каждому параметру политики административных шаблонов соответствует определенный параметр системного реестра. Политики в узле «Административные шаблоны» конфигурации компьютера изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM), а политики в узле «Административные шаблоны» конфигурации пользователя – HKEY_CURRENT_USER (HKCU). В некоторых источниках административные шаблоны могут называться политиками на основе реестра. В рамках этой статьи будет рассматриваться узел «Административные шаблоны» для локального компьютера. О применении настроек административных шаблонов для нескольких компьютеров или пользователей, входящих в домен будет рассказываться в одной из последующих статей.

Для системных администраторов узел «Административные шаблоны» предоставляет возможности динамического управления операционной системой. Несмотря на то, что администратору понадобится немало времени на настройку этого узла, все изменения, примененные при помощи групповых политик, невозможно будет изменить средствами пользовательского интерфейса.

Административные шаблоны операционных систем Windows 7 и Windows Server 2008 R2 теперь поддерживают мультистроковые значения (REG_MULTI_SZ) и значения реестра QWORD, что значительно расширяет возможности групповой политики. Благодаря этим нововведениям вы можете применять административные шаблоны для управления тех приложений, которые используют в реестре значения типа REG_MULTI_SZ и QWORD. Может возникнуть следующий вопрос: «В чем же могут быть преимущества этих двух типов значений реестра по сравнению с параметрами политики административных шаблонов предшествующих операционных систем?».

При помощи типа значений реестра QWORD вы можете изменять параметра политики административных шаблонов для 64-разрядных приложений, а при помощи значений реестра REG_MULTI_SZ – вводить несколько строк текста, добавлять новые позиции строки, выбирать одну или несколько записей, а также удалять выбранные записи.

Большинство настроек политик административных шаблонов располагаются в следующих разделах системного реестра:

HKEY_LOCAL_MACHINESOFTWAREpolicies – конфигурация компьютера;
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies – конфигурация компьютера;
HKEY_CURRENT_USERSOFTWAREpolicies – конфигурация пользователя;
HKEY_ CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpolicies – конфигурация пользователя.

Для того чтобы изменить параметры существующей политики административных шаблонов, выполните следующие действия:

В операционных системах Windows 7 и Windows Server 2008 R2 диалоговое окно параметров политики административных шаблонов значительно изменилось. В предыдущих операционных системах, это диалоговое окно содержало три вкладки: «Параметр», где можно было включать или отключать настройки выбранной политики; «Объяснение», вкладка, предназначенная для отображения справочной информации; «Комментарий», вкладка, позволяющая вводить дополнительную информацию о параметре политики. Теперь все эти настройки присутствуют только на одной вкладке, что избавляет вас от выполнения лишних действий.

Как обновить GPO через PowerShell

Оболочка PowerShell так же имеет отдельный командлет, который легко может инициировать запрос на обновление групповой политики, называется он Invoke-GPUpdate.

Invoke-GPUpdate — это командлет обновляющий параметры групповой политики, включая настройки безопасности, которые установлены на удаленных компьютерах с помощью планирования хода выполнения команды Gpupdate. Вы можете комбинировать этот командлет по сценарию, чтобы запланировать команду Gpupdate на группе компьютеров. Обновление может быть запланировано для немедленного запуска параметров политики или ожидания в течение определенного периода времени, максимум до 31 дня. Чтобы избежать нагрузки на сеть, время обновления будет смещено на случайную задержку.

Давайте запросим обновление политик GPO на моем тестовом сервере с Windows Server 2019, для этого запускаем оболочку PowerShell и вводим команду:

Invoke-GPUpdate –RandomDelayInMinutes 0

Ключ –RandomDelayInMinutes 0 установит задержку в выполнении на ноль секунд, в противном случае обновление будет выполнено рандомно, через некоторое время.

Обратите внимание, что командлет не выдает никаких результатов, если все работает нормально. В некоторых случаях ваши пользователи могут увидеть всплывающее окно командной строки с заголовком taskeng.exe, которое отображает сообщение «Политика обновления»

Через секунду окно исчезает.

Если нужно произвести обновление на удаленном компьютере, то нужно воспользоваться ключом -Computer, команда примет вот такой вид:

Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org –RandomDelayInMinutes 0

Если нужно выполнить принудительно без запроса подтверждения пользователя, то укажите ключ -Force.

Если нужно указать явно, что необходимо запросить политики только для пользователя или компьютера, то можно использовать ключ -Target, который имеет значения User или Computer. Кстати если удаленный компьютер не отвечает, то вы получите ошибку:

Invoke-GPUpdate : Компьютер «dc01.root.pyatilistnik.org» не отвечает. Целевой компьютер выключен или отключены правила брандмауэра удаленного управления запланированными задачами (Invoke-GPUpdate : Computer «dc01.root.pyatilistnik.org» is not responding. The target computer is either turned off or Remote Scheduled Tasks Management Firewall rules are disabled.). Имя параметра: computer строка:1 знак:1 + Invoke-GPUpdate -Computer dc01.root.pyatilistnik.org -Target User –Ra … + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OperationTimeout: (:) , ArgumentException + FullyQualifiedErrorId : COMException,Microsoft.GroupPolicy.Commands .InvokeGPUpdateCommand

Еще одним преимуществом командлета PowerShell является то, что у вас есть больше возможностей в выборе машин, которые вы хотите обновить. Например, с помощью приведенной ниже команды вы должны выбрать все компьютеры, которые начинаются с «Note*».

Get-ADComputer –Filter ‘Name -like «Note*»‘ | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Если нужно выбрать все компьютеры, то ставим звездочку «*»

Get-ADComputer –Filter * | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

При желании вы можете найти все компьютеры по версиям операционных систем и сделать обновление групповых политик по данному критерию.

Не забываем, что можно ограничить поиск отдельным организационным подразделением, для этого есть ключ -Searchbase и команда примет вот такой вид:

Get-ADComputer –Filter * -Searchbase «OU=Windows10,OU=Компьютеры,OU=Оргструктура,DC=root, DC=pyatilistnik,DC=org» | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}

Еще вы можете подготовить текстовый файл со списком серверов, который так же можно через цикл обработать, вот по такому принципу:

$comps = Get-Content «C:\temp\comps.txt» foreach ($comp in $comps) { Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0 }

Я также добавил здесь параметр -Force, чтобы обеспечить повторное применение параметров групповой политики, даже если клиент замечает, что новые версии GPO недоступны. Таким образом, когда мы говорим о принудительном обновлении групповой политики, мы на самом деле имеем в виду две разные вещи. Без параметра Force мы просто незамедлительно инициируем обновление; если мы добавим параметр Force, мы форсируем обновление, даже если обновлять нечего. Параметр Force вступает в игру, если вы считаете, что что-то пошло не так в предыдущем обновлении объекта групповой политики.

Утилита Policy Plus – универсальный редактор локальной политик для всех версий Windows

Скачайте и запустите Policy Plus с правами администратора (программа портабельная, установки не требует).

Как вы видите, консоль Policy Plus очень похожа на редактор gpedit.msc: дерево с разделами в левом окне и политики в правом.

Функционал Policy Plus существенно превосходит возможности редактора политик gpedit.msc. Утилита позволяет подключать файлы административных шаблонов (admx), а при необходимости сама может скачать последние версии шаблонов с сайта Microsoft (Help -> Acquire AMDX Files). Это обязательно нужно сделать пользователям домашних редакций Windows 10, т.к. в системе отсутствует большинство файлов административных шаблонов.

В Policy Plus имеется удобный встроенного поиска политик. Можно искать по тексту, описанию политики, связанным веткам реестра.

Можно редактировать реестр офлайн образа Windows, загружать POL файлы политик и экспортировать настройки групповых политик в файл для переноса на другие компьютеры (Импорт / Экспорт reg и pol файлов).

Довольно удобно, что с помощью встроенного инспектора (Element Inspector) можно посмотреть какие ключи реестра включает та или иная политика и возможные значения параметра.

Обратите внимание, что после изменения локальных политик, для применения настроек системы пользователям редакций Windows 10 Home необходимо перезагрузить компьютер или выполнить логоф/логон. В редакция Pro и Enterprise большинство изменений вступает в силу немедленно, либо после выполнения команды gpupdate /force

Кроме того, в Home редакциях Windows не поддерживаются множественные локальные политики (MLGPO).

Как известно, в профессиональных выпусках Windows 10/8(8.1)/7 есть редактор локальных групповых политик gpedit.msc, позволяющий сисадминам и опытным пользователям с помощью гибкого интерфейса конфигурировать и отслеживать работу системы. Однако попытка его запустить в домашних сборках ОС приводит к появлению окна «Не удается найти «gpedit.msc». Проверьте, правильно ли указано имя и повторите попытку«. Что делать?

Редактор групповых политик – это отдельная MMC (с англ. «консоль управления Microsoft») оснастка в виде графической оболочки для быстрого управления параметрами Windows. При изменении настроек какой-либо политики редактор мгновенно вносит изменения в связанный раздел реестра. Вместо того, чтобы вручную искать и править соответствующий реестровый ключ, гораздо проще отредактировать настройку в gpedit.msc. Редактор хранит более двух тысяч параметров «операционки», которые расположены в логической иерархии, имеют подробное описание и различные настроечные опции.

Все примененные настройки локальных политик находятся в папках C:WindowsSystem32GroupPolicy и C:WindowsSystem32GroupPolicyUsers. Если вы удалите файлы из этих директорий, настройки сбросятся до первоначальных.

Как запустить редактор групповых политик в Windows 10 Домашняя

Есть два несложных способа сие сделать. Оба многократно испытаны пользователями из разных стран, что следует, например, из статьи с gHacks.net «How to enable gpedit.msc (Group Policy) on Windows 10 Home devices«. Первый – с помощью консольной утилиты DISM, другой – задействовав альтернативный редактор групповых политик Policy Plus. На всякий случай перед выполнением дальнейших действий создайте точку восстановления системы!

Через правую клавишу мыши откройте bat-файл с правами администратора.
Подождите, пока DISM произведет установку пакетов из внутреннего хранилища компонентов Windows 10.
При запросе фильтра Windows SmartScreen нажмите кнопки «Подробнее» и «Выполнить в любом случае«.

Дабы зайти в редактор групповых политик, наберите в поисковой строке gpedit.msc и кликните по появившемуся значку. Редактор должен содержать все необходимые разделы политик, доступные в старших выпусках «десятки».

Утилита Policy Plus – универсальный редактор групповых политик

Системным администраторам и опытным юзерам рекомендую опробовать популярный сторонний редактор групповых политик, работающий во всех версиях Windows 10.

Бесплатно скачать Policy Plus с официального сайта .

Дмитрий dmitry_spb Евдокимов

https://g-ek.com/kak-otkryit-redaktor-gpedit-windows10
http://winitpro.ru/index.php/2015/10/02/redaktor-gruppovyx-politik-dlya-windows-10-home-edition/
http://testsoft.su/kak-otkryt-redaktor-lokalnyh-gruppovyh-politik-gpedit-msc-v-windows-10-home/

Для чего нужно уметь обновлять групповую политику?

Перед тем, как перейти к практической части я бы хотел описать ряд ситуаций, которые вы можете встретить в своей практике, где вам можете потребоваться ручное обновление GPO. Еще хочу напомнить, что по умолчанию, любая операционная система Windows, являющаяся членом домена AD сама, автоматически производит обновление групповых политик каждые 90-120 минут, это позволяет не генерировать много сетевого трафика и сделать балансировку при обращении к мастеру PDC, но бывают и другие ситуации.

Предположим, что вы внесли важные обновления настроек для ваших серверов, например для авторизации CredSSP, или закрываете какую-то дыру безопасности, логично, что в Active Directory, это делается через групповые политики. Когда у вас 5-10 серверов, то нет проблем чтобы зайти на каждый из них через удаленный рабочий стол и выполнить команду, а когда серверов сотни, тут уже нужна массовость. Еще не нужно сбрасывать со счетов ситуации, когда вы по RDP не можете зайти, через редактор политик обновить не получается, что делать, тут можно сделать все удаленно через PowerShell или командную строку, об этом то же поговорим.

Вы всегда должны уметь и иметь возможность вносить массовые изменения на ваших серверах, и применять их как можно скорее

Установка консоли управления групповыми политиками в Windows 7

Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае можно установить консоль управления групповыми политиками на Windows Server 2008, Windows Server 2008 R2 или Windows 7. Чтобы установить консоль управления групповыми политиками, нужно загрузить Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) и установить на компьютере один из следующих файлов:

Windows6.1-KB958830-x64-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x64, включая работающие под управлением Windows Server 2008 R2.
Windows6.1-KB958830-x86-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x86.

Установка обновления просто добавляет эту функцию в Windows. Кроме того, средства управления групповыми политиками необходимо включить с помощью раздела «Программы и компоненты» панели управления. В инструкциях, приведенных в данном разделе, описывается установка обновления, а также включение средств управления групповыми политиками.

Установка средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)

Выполните один из следующих файлов, загруженных ранее:

Windows6.1-KB958830-x64-RefreshPkg.msu
Windows6.1-KB958830-x86-RefreshPkg.msu

Затем нажмите кнопку Да, чтобы установить обновление.

На странице Прочтите условия лицензионного соглашения (1 из 1) изучите условия и, если согласны, щелкните Принимаю.

На странице Установка завершена нажмите кнопку Закрыть.

Включение средств управления групповыми политиками

1	Щелкните Пуск, введите компоненты windows и щелкните Включение или отключение компонентов Windows в разделе Панель управления меню «Пуск».
2	В диалоговом окне Компоненты Windows установите флажок Средства управления групповыми политиками и нажмите кнопку ОК. Средства управления групповыми политиками находятся в разделе Средства администрирования удаленных служб, средства администрирования возможностей.

Сброс локальных политик безопасности Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политиках безопасности, и, если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:

Для Windows 10, Windows 8.1/8 и Windows 7:
Для Windows XP:

После чего компьютер нужно перезагрузить.

В том случае, если проблемы с политиками безопасности сохраняются, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk

Выполните команду:Перезагрузите Windows с помощью команды shutdown:

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

В окне Выполнить ввести MMC и нажать Enter
Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
На вкладке Пользователи выбрать нужную учетную запись.
Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

Рис.17 Консоль управления

Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Последние статьи #Windows10

• Microsoft представила инструмент Windows File Recovery для восстановления данных в Windows 10• Как указать целевую версию Windows 10 в редакциях Pro и Корпоративная• Microsoft показала новое меню «Пуск» в стиле Windows 10X для Windows 10• В Windows 10, версия 2004 удалена настройка, которая позволяла отложить обновления функций• Новые компьютеры Apple Mac на базе ARM не будут поддерживать запуск Windows 10 через Boot Camp• Драйверы NVIDIA получили поддержку планирования GPU с аппаратным ускорением в Windows 10, версия 2004

Административные шаблоны

HKEY_LOCAL_MACHINE\SOFTWARE\policies – конфигурация компьютера;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies – конфигурация компьютера;
HKEY_CURRENT_USER\SOFTWARE\policies – конфигурация пользователя;
HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies – конфигурация пользователя.

Подготовка к установке редактора групповой политики

Утилита gpedit.msc требует работы под аккаунтом администратора. Она меняет системные файлы вашей операционной системы, поэтому перед тем как приступить к работе, обязательно создайте контрольную точку восстановления. Все дело в том, что данная программа не является официальным инструментом от Microsoft – ее разработали пользователи с одного форума.

Gpedit.msc разработал и скомпилировал человек с ником «davehc» с ресурса Windows 7 Forums. Изначально пакет готовили для OS Windows 7, но, как выяснилось, он хорошо работает и на более поздних версиях Windows 8.1, 10. Именно его мы и будем устанавливать на Windows 10 Home. Скачать нужное приложение можно по данной ссылке.

Мы взяли программу с официального сайта и выложили для удобства тут. Как только загрузка будет завершена, продолжим установку gpedit.msc. Файл будет загружен в ZIP-архиве, извлеките его в удобное место.

Скачать редактор групповой политики

Запустите установочный файл и в появившемся окне кликайте кнопку «Next».

Открывается еще одно окно – тут жмем «Install».

Началась установка gpeditmsc, она не потребует много времени.

Windows обнаружила? что у нас не установлена библиотека NET Framework5. Соглашаемся с ее инсталляцией нажатием обозначенного на скриншоте пункта.

После того как данные будут загружены, в автоматическом режиме начнется их установка.

NET Framework успешно установлен, жмем «Закрыть».

Gpedit.msc тоже установлен, кликаем по «Finish».

Восстановление системы

Лучше всего перед установкой каких-либо файлов (особенно системных) выполнить создание точки восстановления. Если внесенные изменения будут сказываться на работе ОС не лучшим образом, можно попытаться восстановить прежние параметры.

Создание точки для Win10 и 8.1:

кликаем правой кнопкой по иконке «Пуск»;
выбираем «Система», в открывшимся окне открываем «Защита системы»;
в «Свойства системы» щелкаем по вкладке «Создать»;
в окне вводим имя точки и жмем «Создать».

В случае, если установка компонента «gpedit» вызовет системные сбои в ходе работы ОС, можно выполнить откат к предыдущим параметрам.

Для Windows 10 и 8.1 откат к прежним параметрам будет осуществляется так:

кликаем «ПКМ» по иконке «Пуск»;
в списке открываем «Параметры»;
выбираем раздел «Обновление и безопасность», далее «Восстановление»;
в модуле «Вернуть компьютер к исходному состоянию», щелкаем по вкладке «Начать».

Для Windows 7 восстановление будет выглядеть следующим образом:

«Пуск», в списке программ выбираем «Стандартные»;
кликаем по утилите «Восстановление системы»;
в окне нажимаем «Далее» и выбираем из предложенного списка нужную точку;
запускаем процесс восстановления файлов и параметров Windows.

Если gpedit.msc все-равно не работает, переходим к следующему пункту.

Трюк 5. Используем исключения

Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:

на программы, запущенные от имени учетной записи SYSTEM;
драйверы и другие приложения уровня ядра;
макросы внутри документов Microsoft Office;
программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).

Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). Utilman.exe (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.

Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:

В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как cmd.exe. Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!