我注意到以下文件夹具有everyone权限:
c:/Windows/System32/DriverStore
c:/Windows/System32/spool
- 这是 Windows 的默认行为还是某种丑陋的修复?
- 如果提到的文件夹未共享(NTFS/CIFS)并且权限被限制
ReadAndExecute/Synchronize,那么这些权限是否有可能被利用?
值得一提的是,该计算机已加入域(Windows 10 Enterprise)。
答案1
对我来说,“每个人”的权限仅限于以下 3 项:
- 读取并执行
- 列出文件夹内容
- 读
和Spool目录下有进一步的限制。据推测,系统打印机驱动程序会在将数据发送到打印机或服务器之前,在这些目录下“假脱机”数据。PRINTERSSERVER
最糟糕的情况是,有人可以列出您的系统可能有哪些驱动程序。普通用户没有这些区域的写入权限,也无法影响将数据交给系统打印软件以外的内容,因为做有权写入这些区域。
不存在真正的安全问题,因为要执行任何操作,您的计算机首先需要能够读取驱动程序信息。您插入某个设备,需要扫描驱动程序,然后使用该设备。您的程序可能需要获取打印机颜色配置文件信息(存储在驱动程序中),以便准确打印色调。
你不能改变驱动程序,因为您没有这些区域的写权限,只有管理员才有。
最糟糕的情况是,有人可以查看这些文件夹并说“嘿,他们连接了一台 Epson 打印机”。这只有在您知道涉及这些驱动程序的权限提升攻击时才有用,仅仅能够读取它们并不会自动使它们比能够读取文件夹内容更不安全system32。