Nessusプラグイン44676監査スキャンにより、次の問題が明らかになりました: "SMB Insecurely Configured Service"説明リモートホストで、安全でない構成のWindowsサービスが少なくとも1つ検出されました。非特権ユーザーは、影響を受けるこれらのサービスのプロパティを変更できます。
権限のないローカルの攻撃者がこれを悪用して、SYSTEMとして任意のコマンドを実行する可能性があります。解決策「Everyone」グループにChangeConf、WDac、またはWOwn権限がないことを確認してください。詳細については、Microsoftのドキュメントを参照してください。関連項目 http://support.Microsoft.com/kb/914392http://msdn.Microsoft.com/en-us/library/ms685981(VS.85).aspx 出力•次のサービスには、Everyoneに対する安全でない権限があります。•
•タスクスケジューラ(スケジュール):DC、WD、WO
この問題のない別のマシンからセキュリティ記述子をsc sdshow schedule
とともにコピーしました。次に、sc sdset schedule *SDDL_security_descriptor*
を使用して影響を受けるマシンに設定しようとしました。しかし、マシンを再起動してsdshowで再度確認すると、以前の状態に戻っていました。誰もがこの作業を行う方法またはこの発見のための別の修正を知っていますか?
ようやく答えが見つかりました。 sc sdsetコマンドは機能しましたが、実際には不要です。問題の本当の原因は、タスクスケジューラサービスの起動設定とアクセス許可を設定するグループポリシーオブジェクトでした。これは不適切に設定されており、ドメインのルートに適用されるため、マシンが起動するたびに適用されていました。
同様の問題がありましたが、 https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/ は、セキュリティ記述子の形式を理解するうえで非常に役立ちました。したがって、これに問題がある可能性のある他の人のために、Romansオリジナルのセキュリティ記述子:「D:(A; OICI; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD)S:(AU; FA; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; WD)」
A; =許可されたOICI; = OBJECT INHERIT、CONTAINER INHERIT; CCDCLCSWRPWPDTLOCRSDRCWDWOは、リストされている権限であり、WD = Everyoneです。脆弱性DC(すべての子オブジェクトの削除)を保護するには、WD(権限の変更)およびWO(所有者の変更)をすべての権限グループから削除する必要があります。したがって、これらの3つのタグWD、WO、およびDC=を元のセキュリティ記述子から次のように削除します。
sc sdsetスケジュールD:(A; OICI; CCLCSWRPWPDTLOCRSDRC ;;; WD)S:(AU; FA; CCLCSWRPWPDTLOCRSDRC ;;; WD)