В моем журнале событий поврежден DACL «Атрибуты записи» в 4656 событиях аудита файлов.

Question

В моем журнале событий поврежден DACL «Атрибуты записи» в 4656 событиях аудита файлов.

Я написал сценарий процедуры в PowerShell для получения журналов событий безопасности с моего сервера Windows 2012r2. Изучая ошибку в моей процедуре синтаксического анализа события в xml, я обнаружил очень странную проблему в свойстве «Причины доступа» события 4656:

%% 4423: %% 1801 D: (A; ID; FA ;; ; это все, что у меня есть на данный момент.


         
            3

         
         
            security windows-server-2012-r2 file-permissions ntfs windows-event-log         
         
         
            задан EPJK1337
            16 December 2015 в 20:58 
         
         
         Ссылка


    1 ответ


  
    
   
   
      

      
         
                     
      

         
         
            
               
                  
                      Так что, по-видимому, я обнаружил жучок "IsTextUnicode"/"Bush Hid The Facts", который существовал в окнах с момента моего рождения... Язык SDDL, определяющий ACE, является null terminated string. Способ, которым нули обрабатываются в различных кодировках, заставляет функцию ConvertSecurityDescriptorToStringSecurityDescriptor делать эту фанковую магию. Обратите внимание, что функция IsTextUnicode и функция ConvertSecurityDescriptorToStringSecurityDescriptor используют одну и ту же библиотеку: Advapi32. 

Вышеизложенное предполагает, что запись повреждается во время аудиторской записи. Я также предполагаю, что это не ошибка в функции AuthzReportSecurityEvent, которая разбирает выходы вышеуказанных функций. Вся документация, которую я прочитал в MSDN, относится к перечислениям, структурам и функциям сервера 2003. Поэтому все эти функции и структуры могут отличаться от того, что я читал в MSDN.

Этот вопрос также может быть во время чтения логов; речь идет о функциях ReadEventLog (Также разделяет Advapi32) и FormatMessage. 

Уверен, что свойство "Причины доступа" было добавлено в структуру аудита файлов в 2012 году в рамках "динамического контроля доступа". Вот оно. Любая из вышеперечисленных функциональных проблем может относиться к теперь увеличенному размеру сообщения о событии. 

https://en.wikipedia.org/wiki/Bush_hid_the_facts
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4656

EDIT:
Microsoft утверждает, что исправила эту ошибку в vista, но, как вы можете видеть, здесь возникает проблема преобразования юникода. Ошибка та же самая. Раскрою, что функция IsTextUnicode - это статистический анализ передаваемой в функцию строки. И хотя она никогда не будет идеальной, эта проблема связана с завершением строки, содержащейся в подразделе сообщения о событии. Каждая секция сообщения о событии также содержит байт-терминатор, поэтому я предполагаю, что два завершающих байта вызывают проблему разбора в логике функции преобразования unicode/ansi, как при чтении, так и при записи. 
                  
                  0

                  
                  
                     ответ дан 
                     3 December 2019 в 08:03 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         security windows-server-2012-r2 file-permissions ntfs windows-event-log       

        Похожие вопросы
        
          
                          2314 
 Наш аудитор безопасности является идиотом. Как я даю ему информацию, которую он хочет? - 12 July 2017 05:50 
                            602 
 Как я имею дело с поставленным под угрозу сервером? - 13 April 2017 15:14 
                            378 
 ssh возвращает “Плохого владельца или полномочия на ~/.ssh/config” - 23 June 2017 19:17 
                            359 
 Как Вы ищете бэкдоры от предыдущего человека IT? - 26 May 2011 19:02 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            204 
 Heartbleed: Что это и что опции состоят в том, чтобы смягчить его? - 17 March 2017 12:13 
                            196 
 Действительно ли нормально получить сотни попыток взлома в день? - 9 March 2011 14:29 
                            138 
 Возможный изменить адрес электронной почты в паре ключей? - 8 September 2011 02:12 
                            120 
 Как делает CTRL-ALT-DEL для входа в систему, делают Windows более безопасным? - 3 September 2015 06:10 
                            117 
 Как обработать обновления системы защиты в контейнерах Докера? - 6 December 2016 15:29 
                            109 
 Как я могу реализовать ansible с паролями на хост, надежно? - 23 May 2017 15:41 
                            104 
 Почему должен я серверы брандмауэра? - 14 October 2017 11:55 
                            104 
 Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59 
                            104 
 Поколение пары ключей SSH: RSA или DSA? - 13 July 2009 22:18 
                            96 
 “ВОЗМОЖНАЯ ПОПЫТКА ВЗЛОМА!” в/var/log/secure — что это означает? - 18 April 2011 00:32

score 0 · Answer 1 · 3 December 2019 в 08:03

Так что, по-видимому, я обнаружил жучок "IsTextUnicode"/"Bush Hid The Facts", который существовал в окнах с момента моего рождения... Язык SDDL, определяющий ACE, является null terminated string. Способ, которым нули обрабатываются в различных кодировках, заставляет функцию ConvertSecurityDescriptorToStringSecurityDescriptor делать эту фанковую магию. Обратите внимание, что функция IsTextUnicode и функция ConvertSecurityDescriptorToStringSecurityDescriptor используют одну и ту же библиотеку: Advapi32.

Вышеизложенное предполагает, что запись повреждается во время аудиторской записи. Я также предполагаю, что это не ошибка в функции AuthzReportSecurityEvent, которая разбирает выходы вышеуказанных функций. Вся документация, которую я прочитал в MSDN, относится к перечислениям, структурам и функциям сервера 2003. Поэтому все эти функции и структуры могут отличаться от того, что я читал в MSDN.

Этот вопрос также может быть во время чтения логов; речь идет о функциях ReadEventLog (Также разделяет Advapi32) и FormatMessage.

Уверен, что свойство "Причины доступа" было добавлено в структуру аудита файлов в 2012 году в рамках "динамического контроля доступа". Вот оно. Любая из вышеперечисленных функциональных проблем может относиться к теперь увеличенному размеру сообщения о событии.

https://en.wikipedia.org/wiki/Bush_hid_the_facts https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4656

EDIT: Microsoft утверждает, что исправила эту ошибку в vista, но, как вы можете видеть, здесь возникает проблема преобразования юникода. Ошибка та же самая. Раскрою, что функция IsTextUnicode - это статистический анализ передаваемой в функцию строки. И хотя она никогда не будет идеальной, эта проблема связана с завершением строки, содержащейся в подразделе сообщения о событии. Каждая секция сообщения о событии также содержит байт-терминатор, поэтому я предполагаю, что два завершающих байта вызывают проблему разбора в логике функции преобразования unicode/ansi, как при чтении, так и при записи.