Как установить разрешения на сервис

Question

Как установить разрешения на сервис

В результате проверки аудита подключаемого модуля Nessus 44676 была обнаружена эта проблема: "Небезопасно настроенная служба SMB" Описание На удаленном хосте была обнаружена как минимум одна ненадежно настроенная служба Windows. Непривилегированные пользователи могут изменять свойства этих уязвимых служб.

Непривилегированный локальный злоумышленник может использовать это для выполнения произвольных команд в качестве SYSTEM. Решение Убедитесь, что группа "Все" не имеет прав ChangeConf, WDac или WOwn. Обратитесь к документации Microsoft для получения дополнительной информации. См. Также http://support.microsoft.com/kb/914392 http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx Вывод • Следующая служба имеет небезопасные разрешения для каждого: •
• Планировщик заданий (Расписание): DC, WD, WO

Я скопировал дескриптор безопасности с другого компьютера, у которого нет этой проблемы, с sc sdshow schedule, Затем я попытался установить его на зараженной машине с sc sdset schedule *SDDL_security_descriptor*, Но когда я перезагрузил машину, а затем снова проверил с помощью sdshow, все вернулось к тому, что было раньше. Кто-нибудь знает, как сделать эту работу или другое исправление для этого открытия?

4

windows permissions windows-service nessus

Источник

Roman 10 авг '16 в 21:22

2 ответа

Другие вопросы по тегам windows permissions windows-service nessus

Roman 17 авг '16 в 03:18 2016-08-17 03:18 · Answer 1 · 2016-08-17 03:18

Я наконец нашел ответ. Команда sc sdset работала, но на самом деле не нужна. Настоящей причиной проблемы был объект групповой политики, который устанавливал параметры и разрешения запуска службы планировщика задач. Он был установлен неправильно и применялся каждый раз, когда машина запускалась, конечно, так как он был применен к корню домена.

04 янв '20 в 00:57 2020-01-04 00:57 · Answer 2 · 2020-01-04 00:57

У меня была аналогичная проблема, но https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/ был отличным ресурсом для понимания формата дескриптора безопасности. Итак, для всех, у кого могут быть проблемы с этим, дескриптор безопасности Romans Original: "D:(A;OICI;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

А; = РАЗРЕШЕННЫЙ OICI; = НАСЛЕДОВАНИЕ ОБЪЕКТА, НАСЛЕДИЕ КОНТЕЙНЕРА; CCDCLCSWRPWPDTLOCRSDRCWDWO будет перечисленными разрешениями и WD= Все. Для защиты уязвимости DC(Удалить все дочерние объекты), WD(Изменить разрешения) и WO(Изменить владельца) необходимо удалить из группы разрешений "Все". Поэтому вы удалите эти три тега WD, WO и DC из исходного дескриптора безопасности следующим образом.

sc sdset расписание D:(A;OICI;CCLCSWRPWPDTLOCRSDRC;;;WD)S:(AU;FA;CCLCSWRPWPDTLOCRSDRC;;;WD)

deX 28 мар '17 в 12:10 2017-03-28 12:10 · Answer 3 · 2017-03-28 12:10

Следующая команда решила проблему для нас:

sc.exe sdset wuauserv D:(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

-1

Источник

deX 28 мар '17 в 12:10