Суть этой уязвимости заключается в том, что если вы выполняете теневое копирование важных файлов с хешированными паролями для всех учетных записей ОС, данными ключа шифрования и другой важной информацией (файлы, хранящиеся в SAM , БЕЗОПАСНОСТЬ и СИСТЕМА) - вы сможете читать их немедленно со стандартными правами пользователя.
Тогда как в стандартной ситуации после выполнения теневого копирования вы не можете прочитать указанные файлы с правами пользователя. другими словами, вы сможете повысить привилегии после получения желаемого хэша пароля.
Есть ли способы исправить это, не устанавливая последние обновления Windows?
Мы используем обходной путь
icacls %windir%\system32\config\*.* /inheritance:e
vssadmin delete shadows /all /quiet
instance of MSFT_SomFilter
{
Author = "Administrator@domain";
ChangeDate = "20210722135205.787000-000";
CreationDate = "20210722134746.125000-000";
Description = "Windows 10 Clients only";
Domain = "domain";
ID = "{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}";
Name = "Windows 10 Only";
Rules = {
instance of MSFT_Rule
{
Query = "Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
QueryLanguage = "WQL";
TargetNameSpace = "root\\CIMv2";
}};
};
Копировать Вышеупомянутый пакет в созданный каталог.
Перейти к фильтру WMI, щелкните правой кнопкой мыши, импортируйте файл сверху
или делайте это лениво, создав его вручную
"Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
После этого выберите объект групповой политики слева, а затем выберите справа ниже вашего фильтра WMI.
Это просто обходной путь, который Microsoft рекомендует делать, большинство веб-сайтов только объясняют, чтобы исправить файл, а не права доступа к папке.