4 votes

comment définir les autorisations sur un service

Un audit du plugin 44676 de Nessus a révélé ce problème : "Service SMB configuré de manière non sécurisée" Description du problème Au moins un service Windows configuré de manière non sécurisée a été détecté sur l'hôte distant. Des utilisateurs non privilégiés peuvent modifier les propriétés de ces services.

Un attaquant local non privilégié peut exploiter cette situation pour exécuter des commandes arbitraires en tant que SYSTEM. Solution Assurez-vous que le groupe 'Everyone' n'a pas les permissions ChangeConf, WDac, ou WOwn. Reportez-vous à la documentation Microsoft pour plus d'informations. Voir aussi http://support.microsoft.com/kb/914392 http://msdn.microsoft.com/en-us/library/ms685981(VS.85).aspx Sortie - Le service suivant a des permissions non sécurisées pour Tout le monde : -
- Planificateur de tâches (Schedule) : DC, WD, WO

J'ai copié le descripteur de sécurité d'une autre machine qui n'a pas ce problème, avec sc sdshow schedule . J'ai ensuite essayé de le paramétrer sur la machine concernée avec sc sdset schedule *SDDL_security_descriptor* . Mais lorsque j'ai redémarré la machine et que j'ai vérifié à nouveau avec le sdshow, la situation est revenue à ce qu'elle était auparavant. Est-ce que quelqu'un sait comment faire fonctionner cela ou une autre solution pour remédier à cette situation ?

1voto

Roman Points 314

J'ai enfin trouvé la réponse. La commande sc sdset fonctionnait, mais n'était pas nécessaire. La véritable cause du problème était un objet de stratégie de groupe qui définissait les paramètres et les autorisations de démarrage du service de planification des tâches. Il était défini de manière inappropriée et s'appliquait à chaque fois que la machine démarrait, bien sûr, puisqu'il était appliqué à la racine du domaine.

0voto

Cody Payne Points 1

J'ai eu un problème similaire mais https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/ a été une ressource précieuse pour comprendre le format du descripteur de sécurité. Donc, pour tous ceux qui ont des difficultés avec cela, Romans Original security descriptor : "D :(A;OICI;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)S :(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

A ; = ALLOWED OICI ; =OBJECT INHERIT, CONTAINER INHERIT ; CCDCLCSWRPWPDTLOCRSDRCWDWO sont les autorisations listées et WD=Everyone. Pour sécuriser la vulnérabilité, DC(Delete All Child Objects), WD(Modify Permissions) et WO(Modify Owner) doivent être supprimés du groupe de permissions everyone. Vous devez donc supprimer les trois balises WD, WO et DC du descripteur de sécurité d'origine, comme suit.

sc sdset schedule D :(A;OICI;CCLCSWRPWPDTLOCRSDRC;;;WD)S :(AU;FA;CCLCSWRPWPDTLOCRSDRC;;;WD)

-1voto

deX Points 1

La commande suivante a permis de résoudre le problème :

sc.exe sdset wuauserv D:(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X