Nessus 插件 44676 审计扫描发现了此问题:“SMB 不安全配置的服务”描述在远程主机上检测到至少一个不安全配置的 Windows 服务。非特权用户可以修改这些受影响服务的属性。
未经授权的本地攻击者可以利用此漏洞以 SYSTEM 身份执行任意命令。解决方案确保“Everyone”组没有 ChangeConf、WDac 或 WOwn 权限。有关更多信息,请参阅 Microsoft 文档。另请参阅
http://support.microsoft.com/kb/914392
http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx
输出 • 以下服务对每个人来说都有不安全的权限: •
• 任务计划程序(计划):DC、WD、WO
我从另一台没有此问题的机器上复制了安全描述符,使用sc sdshow schedule。然后我尝试使用 在受影响的机器上设置它sc sdset schedule *SDDL_security_descriptor*。但是当我重新启动机器,然后再次使用 sdshow 检查时,它又恢复到了之前的状态。有谁知道如何使它工作或针对此发现的其他补救措施?
答案1
我终于找到了答案。sc sdset 命令可以工作,但实际上没有必要。问题的真正原因是设置任务计划程序服务启动设置和权限的组策略对象。它设置不当,并且每次机器启动时都会应用,当然,因为它被应用于域的根目录。
答案2
我遇到了类似的问题,但是https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/是理解安全描述符格式的重要资源。因此,对于其他可能遇到此问题的人,Romans 原始安全描述符:“D:(A;OICI;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)”
A; = ALLOWED OICI; =OBJECT INHERIT, CONTAINER INHERIT; CCDCLCSWRPWPDTLOCRSDRCWDWO 将是列出的权限,而 WD=Everyone。为了保护漏洞,需要从权限组 Everyone 中删除 DC(删除所有子对象)、WD(修改权限)和 WO(修改所有者)。因此,您需要从原始安全描述符中删除这三个标签 WD、WO 和 DC,如下所示。
sc sdset 计划 D:(A;OICI;CCLCSWRPWPDTLOCRSDRC;;;WD)S:(AU;FA;CCLCSWRPWPDTLOCRSDRC;;;WD)
答案3
以下命令为我们解决了这个问题:
sc.exe sdset wuauserv D:(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)