如何使用 Powershell 对 TrustedInstaller 拥有的文件设置审计控制?

如何使用 Powershell 对 TrustedInstaller 拥有的文件设置审计控制?

我正在尝试使用以下 Powershell 脚本对ACLsWin.txt位于\%Windows%\System32(例如)中的多个文件(列于)设置审计控制:aaclient.dll

$FileList = Get-Content ".\ACLsWin.txt"
$ACL = New-Object System.Security.AccessControl.FileSecurity

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "Delete", "Failure")
$ACL.AddAuditRule($AccessRule)
foreach($File in $FileList)
{
    Write-Host "Changing audit on $File"
    $ACL | Set-Acl $File
}

每当我运行脚本时,都会出现错误PermissionDenied [Set-Acl] UnauthorizedAccessException

这似乎是因为这些文件的所有者是TrustedInstaller。我以管理员身份运行这些脚本(即使我使用的是内置管理员帐户),但仍然失败。我可以使用“安全”选项卡手动设置这些审计控制,但至少有 200 个文件手动操作可能会导致人为错误。

如何TrustedInstaller使用 Powershell 绕过并设置这些审计控制?

答案1

修改受 Windows 资源保护 (TrustedInstaller 帐户是 WRP 的一部分) 保护的文件的唯一受支持方法是使用 Windows 模块安装程序服务,这实际上只是说“您无法自己以受支持的方式修改这些文件;只有通过安装修补程序和服务包才能以受支持的方式修改这些文件。”

sfc.exe实用程序也是 Windows 资源保护的一部分。使用sfc.exe它可以知道文件已被修改,并且它将用 WinSxS 存储中的副本替换它。

你会在修改这些文件之前,您需要自己取得这些文件的所有权。最简单的方法是使用takeown.exe

但事实上你不应该修改这些文件。

应用程序开发人员可以使用SfcIsFileProtectedSfcIsKeyProtectedAPI 来检查文件是否受到 WRP 的保护。

我之所以不愿意为别人编写脚本来做这件事,是因为不支持修改这些文件,而且作为一名专业人士,我无法凭良心帮助别人让他们的系统进入不受支持的状态。;)编辑:该死,我刚才这么做了……

编辑:如果你仍然坚持要破解它,那么从技术上讲,一个选择是Powershell.exe使用 的安全令牌启动TrustedInstaller.exe

或者,更简单的方法是编写一个带有 Try/Catch 块的脚本,如果 catch 块由 触发[UnauthorizedAccessException],则获取文件的所有权并重试。

C:\Windows\system32>takeown /A /F C:\Windows\System32\aaclient.dll

SUCCESS: The file (or folder): "C:\Windows\System32\aaclient.dll" now owned by the administrators group.

您还可以使用过滤驱动程序来监控这些文件的修改。这就是防病毒产品等产品实现这一点的方法。但是呃……这可能比您目前想要做的还要多……

再次编辑!:哦,之后您想将所有者重新设置为 TrustedInstaller 吗?您需要有SeRestorePrivilege权限才能这样做。

将其复制粘贴到 .\Enable-Privilege.ps1:

Function Enable-Privilege 
{
 param([ValidateSet("SeAssignPrimaryTokenPrivilege", "SeAuditPrivilege", "SeBackupPrivilege",
   "SeChangeNotifyPrivilege", "SeCreateGlobalPrivilege", "SeCreatePagefilePrivilege",
   "SeCreatePermanentPrivilege", "SeCreateSymbolicLinkPrivilege", "SeCreateTokenPrivilege",
   "SeDebugPrivilege", "SeEnableDelegationPrivilege", "SeImpersonatePrivilege", "SeIncreaseBasePriorityPrivilege",
   "SeIncreaseQuotaPrivilege", "SeIncreaseWorkingSetPrivilege", "SeLoadDriverPrivilege",
   "SeLockMemoryPrivilege", "SeMachineAccountPrivilege", "SeManageVolumePrivilege",
   "SeProfileSingleProcessPrivilege", "SeRelabelPrivilege", "SeRemoteShutdownPrivilege",
   "SeRestorePrivilege", "SeSecurityPrivilege", "SeShutdownPrivilege", "SeSyncAgentPrivilege",
   "SeSystemEnvironmentPrivilege", "SeSystemProfilePrivilege", "SeSystemtimePrivilege",
   "SeTakeOwnershipPrivilege", "SeTcbPrivilege", "SeTimeZonePrivilege", "SeTrustedCredManAccessPrivilege",
   "SeUndockPrivilege", "SeUnsolicitedInputPrivilege")]$Privilege,
  $ProcessId = $pid,
  [Switch]$Disable)

   $Definition = @'
 using System;
 using System.Runtime.InteropServices;

 public class AdjPriv
 {
  [DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
  internal static extern bool AdjustTokenPrivileges(IntPtr htok, bool disall,
   ref TokPriv1Luid newst, int len, IntPtr prev, IntPtr relen);

  [DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
  internal static extern bool OpenProcessToken(IntPtr h, int acc, ref IntPtr phtok);
  [DllImport("advapi32.dll", SetLastError = true)]
  internal static extern bool LookupPrivilegeValue(string host, string name, ref long pluid);
  [StructLayout(LayoutKind.Sequential, Pack = 1)]
  internal struct TokPriv1Luid
  {
   public int Count;
   public long Luid;
   public int Attr;
  }

  internal const int SE_PRIVILEGE_ENABLED = 0x00000002;
  internal const int SE_PRIVILEGE_DISABLED = 0x00000000;
  internal const int TOKEN_QUERY = 0x00000008;
  internal const int TOKEN_ADJUST_PRIVILEGES = 0x00000020;
  public static bool EnablePrivilege(long processHandle, string privilege, bool disable)
  {
   bool retVal;
   TokPriv1Luid tp;
   IntPtr hproc = new IntPtr(processHandle);
   IntPtr htok = IntPtr.Zero;
   retVal = OpenProcessToken(hproc, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, ref htok);
   tp.Count = 1;
   tp.Luid = 0;
   if(disable)
   {
    tp.Attr = SE_PRIVILEGE_DISABLED;
   }
   else
   {
    tp.Attr = SE_PRIVILEGE_ENABLED;
   }
   retVal = LookupPrivilegeValue(null, privilege, ref tp.Luid);
   retVal = AdjustTokenPrivileges(htok, false, ref tp, 0, IntPtr.Zero, IntPtr.Zero);
   return retVal;
  }
 }
'@


 $ProcessHandle = (Get-Process -id $ProcessId).Handle
 $type = Add-Type $definition -PassThru
 $type[0]::EnablePrivilege($processHandle, $Privilege, $Disable)

}

在 Powershell 中,像这样点源 Enable-Privilege.ps1:

PS C:\> . .\Enable-Privilege.ps1

PS C:\> [System.Security.Principal.NTAccount]$TrustedInstaller = "NT SERVICE\TrustedInstaller"

保存当前 ACL:

PS C:\> $ACL = Get-Acl C:\Windows\System32\aaclient.dll

将所有者更改为 TrustedInstaller:

PS C:\> $ACL.SetOwner($TrustedInstaller)

启用 SeRestorePrivilege:

PS C:\> Enable-Privilege SeRestorePrivilege

重新应用修改后的 ACL。如果您未明确设置 SeRestorePrivilege 权限,则此部分将会失败,即使对于本地系统帐户也是如此:

PS C:\> Set-Acl -Path C:\Windows\System32\aaclient.dll -AclObject $ACL

我厚颜无耻地从这个 TechNet 论坛主题中偷了 Enable-Privilege 功能。

相关内容