我正在尝试使用以下 Powershell 脚本对ACLsWin.txt
位于\%Windows%\System32
(例如)中的多个文件(列于)设置审计控制:aaclient.dll
$FileList = Get-Content ".\ACLsWin.txt"
$ACL = New-Object System.Security.AccessControl.FileSecurity
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "Delete", "Failure")
$ACL.AddAuditRule($AccessRule)
foreach($File in $FileList)
{
Write-Host "Changing audit on $File"
$ACL | Set-Acl $File
}
每当我运行脚本时,都会出现错误PermissionDenied [Set-Acl] UnauthorizedAccessException
。
这似乎是因为这些文件的所有者是TrustedInstaller
。我以管理员身份运行这些脚本(即使我使用的是内置管理员帐户),但仍然失败。我可以使用“安全”选项卡手动设置这些审计控制,但至少有 200 个文件手动操作可能会导致人为错误。
如何TrustedInstaller
使用 Powershell 绕过并设置这些审计控制?
答案1
修改受 Windows 资源保护 (TrustedInstaller 帐户是 WRP 的一部分) 保护的文件的唯一受支持方法是使用 Windows 模块安装程序服务,这实际上只是说“您无法自己以受支持的方式修改这些文件;只有通过安装修补程序和服务包才能以受支持的方式修改这些文件。”
该sfc.exe
实用程序也是 Windows 资源保护的一部分。使用sfc.exe
它可以知道文件已被修改,并且它将用 WinSxS 存储中的副本替换它。
你会有在修改这些文件之前,您需要自己取得这些文件的所有权。最简单的方法是使用takeown.exe
。
但事实上你不应该修改这些文件。
应用程序开发人员可以使用SfcIsFileProtected
或SfcIsKeyProtected
API 来检查文件是否受到 WRP 的保护。
我之所以不愿意为别人编写脚本来做这件事,是因为不支持修改这些文件,而且作为一名专业人士,我无法凭良心帮助别人让他们的系统进入不受支持的状态。;)编辑:该死,我刚才这么做了……
编辑:如果你仍然坚持要破解它,那么从技术上讲,一个选择是Powershell.exe
使用 的安全令牌启动TrustedInstaller.exe
。
或者,更简单的方法是编写一个带有 Try/Catch 块的脚本,如果 catch 块由 触发[UnauthorizedAccessException]
,则获取文件的所有权并重试。
C:\Windows\system32>takeown /A /F C:\Windows\System32\aaclient.dll
SUCCESS: The file (or folder): "C:\Windows\System32\aaclient.dll" now owned by the administrators group.
您还可以使用过滤驱动程序来监控这些文件的修改。这就是防病毒产品等产品实现这一点的方法。但是呃……这可能比您目前想要做的还要多……
再次编辑!:哦,之后您想将所有者重新设置为 TrustedInstaller 吗?您需要有SeRestorePrivilege
权限才能这样做。
将其复制粘贴到 .\Enable-Privilege.ps1:
Function Enable-Privilege
{
param([ValidateSet("SeAssignPrimaryTokenPrivilege", "SeAuditPrivilege", "SeBackupPrivilege",
"SeChangeNotifyPrivilege", "SeCreateGlobalPrivilege", "SeCreatePagefilePrivilege",
"SeCreatePermanentPrivilege", "SeCreateSymbolicLinkPrivilege", "SeCreateTokenPrivilege",
"SeDebugPrivilege", "SeEnableDelegationPrivilege", "SeImpersonatePrivilege", "SeIncreaseBasePriorityPrivilege",
"SeIncreaseQuotaPrivilege", "SeIncreaseWorkingSetPrivilege", "SeLoadDriverPrivilege",
"SeLockMemoryPrivilege", "SeMachineAccountPrivilege", "SeManageVolumePrivilege",
"SeProfileSingleProcessPrivilege", "SeRelabelPrivilege", "SeRemoteShutdownPrivilege",
"SeRestorePrivilege", "SeSecurityPrivilege", "SeShutdownPrivilege", "SeSyncAgentPrivilege",
"SeSystemEnvironmentPrivilege", "SeSystemProfilePrivilege", "SeSystemtimePrivilege",
"SeTakeOwnershipPrivilege", "SeTcbPrivilege", "SeTimeZonePrivilege", "SeTrustedCredManAccessPrivilege",
"SeUndockPrivilege", "SeUnsolicitedInputPrivilege")]$Privilege,
$ProcessId = $pid,
[Switch]$Disable)
$Definition = @'
using System;
using System.Runtime.InteropServices;
public class AdjPriv
{
[DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
internal static extern bool AdjustTokenPrivileges(IntPtr htok, bool disall,
ref TokPriv1Luid newst, int len, IntPtr prev, IntPtr relen);
[DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
internal static extern bool OpenProcessToken(IntPtr h, int acc, ref IntPtr phtok);
[DllImport("advapi32.dll", SetLastError = true)]
internal static extern bool LookupPrivilegeValue(string host, string name, ref long pluid);
[StructLayout(LayoutKind.Sequential, Pack = 1)]
internal struct TokPriv1Luid
{
public int Count;
public long Luid;
public int Attr;
}
internal const int SE_PRIVILEGE_ENABLED = 0x00000002;
internal const int SE_PRIVILEGE_DISABLED = 0x00000000;
internal const int TOKEN_QUERY = 0x00000008;
internal const int TOKEN_ADJUST_PRIVILEGES = 0x00000020;
public static bool EnablePrivilege(long processHandle, string privilege, bool disable)
{
bool retVal;
TokPriv1Luid tp;
IntPtr hproc = new IntPtr(processHandle);
IntPtr htok = IntPtr.Zero;
retVal = OpenProcessToken(hproc, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, ref htok);
tp.Count = 1;
tp.Luid = 0;
if(disable)
{
tp.Attr = SE_PRIVILEGE_DISABLED;
}
else
{
tp.Attr = SE_PRIVILEGE_ENABLED;
}
retVal = LookupPrivilegeValue(null, privilege, ref tp.Luid);
retVal = AdjustTokenPrivileges(htok, false, ref tp, 0, IntPtr.Zero, IntPtr.Zero);
return retVal;
}
}
'@
$ProcessHandle = (Get-Process -id $ProcessId).Handle
$type = Add-Type $definition -PassThru
$type[0]::EnablePrivilege($processHandle, $Privilege, $Disable)
}
在 Powershell 中,像这样点源 Enable-Privilege.ps1:
PS C:\> . .\Enable-Privilege.ps1
PS C:\> [System.Security.Principal.NTAccount]$TrustedInstaller = "NT SERVICE\TrustedInstaller"
保存当前 ACL:
PS C:\> $ACL = Get-Acl C:\Windows\System32\aaclient.dll
将所有者更改为 TrustedInstaller:
PS C:\> $ACL.SetOwner($TrustedInstaller)
启用 SeRestorePrivilege:
PS C:\> Enable-Privilege SeRestorePrivilege
重新应用修改后的 ACL。如果您未明确设置 SeRestorePrivilege 权限,则此部分将会失败,即使对于本地系统帐户也是如此:
PS C:\> Set-Acl -Path C:\Windows\System32\aaclient.dll -AclObject $ACL