Вопросы Теги

как установить разрешения для службы

Аудиторское сканирование подключаемого модуля Nessus 44676 выявило эту проблему: «Небезопасно настроенная служба SMB» Описание На удаленном узле обнаружена как минимум одна небезопасно настроенная служба Windows. Непривилегированные пользователи могут изменять свойства этих затронутых служб.

Непривилегированный локальный злоумышленник может использовать это для выполнения произвольных команд как СИСТЕМА. Решение Убедитесь, что группа «Все» не имеет разрешений ChangeConf, WDac или WOwn. Обратитесь к документации Microsoft для получения дополнительной информации. Смотрите также http://support.microsoft.com/kb/914392 http://msdn.microsoft.com/en-us/library/ms685981 (VS.85) .aspx Выход • Следующая служба имеет незащищенные разрешения для всех: •
• Планировщик заданий (расписание): DC, WD, WO

Я скопировал дескриптор безопасности с другого компьютера, на котором нет этой проблемы, с помощью sc sdshow schedule . Затем я попытался установить его на пораженном компьютере с помощью sc sdset schedule * SDDL_security_descriptor * . Но когда я перезагрузил компьютер, а затем снова проверил с помощью sdshow, он вернулся к тому, что было раньше. Кто-нибудь знает, как сделать эту работу или другое решение для этого открытия?

3
задан 11 August 2016 в 00:22
3 ответа

Наконец-то я нашел ответ. Команда sc sdset работала, но действительно не нужна. Настоящей причиной проблемы был объект групповой политики, который задавал параметры запуска и разрешения службы планировщика задач. Он был установлен неправильно и применялся каждый раз при запуске машины, конечно, поскольку он применялся к корню домена.

1
ответ дан 3 December 2019 в 08:01

Следующая команда решила для нас проблему: 

sc.exe sdset wuauserv D:(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
-1
ответ дан 3 December 2019 в 08:01

У меня была аналогичная проблема, но https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/ был отличным ресурсом для понимания формата дескриптора безопасности. Так что для всех, у кого могут быть проблемы с этим, дескриптор безопасности Romans Original: "D: (A; OICI; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD) S: (AU; FA; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD;)"

= РАЗРЕШЕННЫЙ OICI; = НАСЛЕДОВАНИЕ ОБЪЕКТА, НАСЛЕДИЕ КОНТЕЙНЕРА; CCDCLCSWRPWPDTLOCRSDRCWDWO будет перечисленными разрешениями и WD = Все. Для защиты уязвимости DC (Удалить все дочерние объекты), WD (Изменить разрешения) и WO (Изменить владельца) необходимо удалить из группы разрешений для всех. Таким образом, вы удалите эти три тега WD, WO и DC из исходного дескриптора безопасности следующим образом.

sc sdset расписание D: (A; OICI; CCLCSWRPWPDTLOCRSDRC ;;; WD) S: (AU; FA; CCLCSWRPWPDTLOCRSDRC ;;; WD)

0
ответ дан 3 January 2020 в 20:57

Теги

Похожие вопросы