С метасплоит модуль и код POC, растет озабоченность по поводу Поиск пути к DLL уязвимость во все большем количестве приложений Microsoft и сторонних производителей. Похоже, что включение SafeDLLSearchMode снижает уязвимость, и я хотел бы применить это в сети с помощью групповой политики. Хотя он включен по умолчанию в XP SP2 + и требует редактирования реестра для отключения, я хотел бы найти файл ADM (или, возможно, есть существующий параметр политики, который мне не хватает), который позволит мне убедиться, что он остается активным.
Кто-нибудь знает, есть ли что-то подобное, или кто-нибудь может предложить, как должен выглядеть такой файл ADM? Речь идет о следующем:
HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
Со значением 1 для включения и 0 для отключения.
Вот ADM, который вы можете использовать для применения этого предпочтения. Если бы у вас были настройки на стороне клиента, вы могли бы лучше управлять этим параметром.
CLASS MACHINE
CATEGORY "Extras"
CATEGORY "Software Settings"
CATEGORY "Safe DLL Search Mode"
POLICY "Safe DLL Search Mode"
KEYNAME "System\CurrentControlSet\Control\Session Manager"
EXPLAIN "Enable safe DLL search mode."
VALUENAME "SafeDllSearchMode"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY
END CATEGORY
END CATEGORY
Вы также можете изменить это значение с помощью простого скрипта:
REG ADD "HKLM\System\CurrentControlSet\Control\Session Manager" /v "SafeDllSearchMode" /t REG_DWORD /d "1" /f