При проверке аудита подключаемого модуля Nessus 44676 была обнаружена следующая проблема: «Незаконно настроенная служба SMB» Описание На удаленном узле обнаружена по крайней мере одна небезопасно настроенная служба Windows. Непривилегированные пользователи могут изменять свойства этих затронутых служб.
Непривилегированный локальный злоумышленник может использовать это для выполнения произвольных команд как SYSTEM. Решение Убедитесь, что группа «Все» не имеет разрешений ChangeConf, WDac или WOwn. Обратитесь к документации Microsoft для получения дополнительной информации. Смотрите также http://support.microsoft.com/kb/914392 http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx Выходные данные • Следующая служба имеет незащищенные разрешения для всех: •
• Планировщик заданий (расписание): DC, WD, WO
Я скопировал дескриптор безопасности с другого компьютера, на котором нет этой проблемы, с sc sdshow schedule. Затем я попытался установить его на пораженную машину с помощью sc sdset schedule *SDDL_security_descriptor*. Но когда я перезагрузил компьютер, а затем снова проверил с помощью sdshow, он вернулся к тому, что было раньше. Кто-нибудь знает, как сделать эту работу или другое исправление этой находки?
Я наконец нашел ответ. Команда sc sdset работала, но действительно не нужна. Настоящей причиной проблемы был объект групповой политики, который задавал параметры запуска и разрешения службы планировщика задач. Он был установлен неправильно и применялся каждый раз при запуске машины, конечно, поскольку он применялся к корню домена.
У меня была аналогичная проблема, но https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/ был отличным ресурсом для понимания формата дескриптора безопасности. Итак, для всех, у кого могут быть проблемы с этим, дескриптор безопасности Romans Original: "D: (A; OICI; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD) S: (AU; FA; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD)"
А; = РАЗРЕШЕННЫЙ OICI; = НАСЛЕДОВАНИЕ ОБЪЕКТА, НАСЛЕДИЕ КОНТЕЙНЕРА; CCDCLCSWRPWPDTLOCRSDRCWDWO будет перечисленными разрешениями и WD = Все. Для защиты уязвимости DC (Удалить все дочерние объекты), WD (Изменить разрешения) и WO (Изменить владельца) необходимо удалить из группы разрешений для всех. Поэтому вы удалите эти три тега WD, WO и DC из исходного дескриптора безопасности следующим образом.
sc sdset расписание D: (A; OICI; CCLCSWRPWPDTLOCRSDRC ;;; WD) S: (AU; FA; CCLCSWRPWPDTLOCRSDRC ;;; WD)
Следующая команда решила проблему за нас:
sc.exe sdset wuauserv D:(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)