有metasploit模块和 POC 代码可用,人们越来越担心DLL 路径搜索脆弱性在越来越多的 Microsoft 和第三方应用程序中。看来确保 SafeDLLSearchMode 已启用可缓解漏洞,我想通过组策略在网络上强制执行此操作。虽然它在 XP SP2+ 中默认启用,并且需要编辑注册表才能禁用,但我想找到一个 ADM 文件(或者也许我遗漏了一个现有的策略设置),以便确保它保持活动状态。
有人知道是否存在类似的东西,或者有人可以建议这样的 ADM 文件应该是什么样子吗?问题的关键是:
HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
值为 1 表示启用,值为 0 表示禁用。
答案1
这里有一个 ADM,您可以使用它来应用此首选项。如果您有客户端首选项,您可以更好地管理此设置。
CLASS MACHINE
CATEGORY "Extras"
CATEGORY "Software Settings"
CATEGORY "Safe DLL Search Mode"
POLICY "Safe DLL Search Mode"
KEYNAME "System\CurrentControlSet\Control\Session Manager"
EXPLAIN "Enable safe DLL search mode."
VALUENAME "SafeDllSearchMode"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY
您还可以使用一个简单的脚本来更改此值:
REG ADD "HKLM\System\CurrentControlSet\Control\Session Manager" /v "SafeDllSearchMode" /t REG_DWORD /d "1" /f