Я тестирую некоторое программное обеспечение с помощью Microsoft Attack Surface Analyzer. Я взял базовый уровень и после установки отсканировал тестируемое программное обеспечение. Когда я создаю отчет, он показывает, что определенная служба уязвима для взлома, См. Прикрепленное изображение.
Я занимаюсь изучением того, как изменить ACL и ACE.
Исходный ACL службы, с которым я имею дело, определяется следующим образом: D: (A ;; CCLCSWRPWPDTLOCRRC ;;; SY) (A ;; CCDCLCSWRPWPDTLOCRSDRCWD WO ;;; BA) (A ;; CCLCSWLOCRRC ;;; IU) (A; ; CCLCSWLOCRRC ;;; SU) S: (AU; FA; CCDCLCSWRPWPDTLOCRS DRCWDWO ;;; WD)
Я несколько раз модифицировал оригинал, включая изменение всех групп пользователей на SU и BA и повторный запуск анализатора поверхности атаки, но он все еще отмечает это.
Сейчас я изменил его так: D: (A ;; CCLCSWLOCRRC ;;; BU) (A ;; CCLCSWRPWPDTLOCRRC ;;; SY) (A ;; CCDCLCSWRPWPDTLOCRSDRCWD WO ;;; BA) (A ;; CCLCSWLOCRRC ;;; IU) (A ;; CCLCSWLOCRRC ;;; SU) S: (AU; FA; CCDCLCSWRPWPDTLOCRS DRCWDWO ;;; WD)
Я думаю, что причина, по которой служба все еще помечена, заключается в том, что программа, запускающая службу, находится в папке «C: \ ProgramData», к которой, насколько я понимаю, все пользователи имеют доступ.
Итак, теоретически может ли изменение программы, в которой запущена служба, решить проблему? Или мне нужно внести другие изменения в разрешения службы?
Мы будем очень благодарны за помощь в этом.
После долгих исследований, чтения большого количества документации, головной боли и отсутствия решений на мой вопрос я нашел ответ. Выяснилось, что причина, по которой он был отмечен, - это путь, откуда запущена служба, а не сама служба или ее разрешения.
Папка ProgramData (замена папки Application Data в Windows XP) была разработана для хранения неконфиденциальных данных программы, которые являются общими для всех пользователей, а не для использования папки Program Files.
Папки в папке ProgramData не предназначены и не являются безопасным местом для запуска служб из-за разрешений для этих папок, следовательно, возможность пометки «Службы, уязвимые для взлома».
Я надеюсь, что это поможет кому-то в будущем, и не стесняйтесь сообщать любую дополнительную информацию, чем больше, тем лучше.
