我正在使用 Microsoft 的 Attack Surface Analyzer 测试一些软件。我对正在测试的软件进行了基线扫描,并在安装后进行了扫描。当我创建报告时,它显示某项服务容易受到篡改,请参阅附图。
我一直在研究如何修改 ACL 和 ACE。
我正在处理的服务原始ACL定义如下:D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWD WO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)
我已经多次修改了原文,包括将所有用户组更改为 SU 和 BA,并再次运行攻击面分析器,但它仍然标记它。
就目前而言,我已对其进行了修改,如下所示:D:(A;;CCLCSWLOCRRC;;;BU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWD WO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)
我认为该服务仍然被标记的原因是运行该服务的程序位于“C:\ProgramData”文件夹中,据我所知,所有用户都可以访问该文件夹。
那么从理论上讲,更改运行该服务的程序是否可以解决问题?还是我需要对服务权限进行其他更改?
我们将非常感激您的帮助。
答案1
经过大量研究、阅读大量文档、头疼不已以及找不到解决方案之后,我找到了答案。归根结底,它被标记的原因是服务启动的路径,而不是服务本身或其权限。
ProgramData 文件夹(Windows XP 中的 Application Data 文件夹的替代品)设计用于存储所有用户共用的程序的非敏感数据,而不是使用 Program Files 文件夹。
由于这些文件夹的权限问题,ProgramData 文件夹下的文件夹不适合用来启动服务,也不是一个安全的地方,因此可能会被标记“服务易被篡改”。
我希望这可以为将来的某些人提供帮助,并且欢迎提供任何额外的信息,人越多越好。