Nessus插件44676审计扫描显示此问题:“SMB不安全configuration的服务”说明在远程主机上至less检测到一个不安全configuration的Windows服务。 未授权的用户可以修改这些受影响的服务的属性。
一个非特权的本地攻击者可以利用这个来执行任意命令作为SYSTEM。 解决scheme确保“每个人”组没有ChangeConf,WDac或WOwn权限。 有关更多信息,请参阅Microsoft文档。 另请参阅http://support.microsoft.com/kb/914392 http://msdn.microsoft.com/zh-cn/library/ms685981(VS.85).aspx输出•以下服务对每个人都具有不安全的权限: •
•任务计划程序(计划):DC,WD,WO
我从另一台没有这个问题的机器上复制安全描述符,用sc sdshow schedule 。 然后我尝试用sc sdset schedule *SDDL_security_descriptor*将其设置在受影响的机器上。 但是,当我重新启动机器,然后再次检查sdshow,它回到了以前。 有没有人知道如何做这个工作或另一个补救这个发现?
我终于find了答案。 sc sdset命令正在工作,但真的没有必要。 问题的真正原因是一个组策略对象,用于设置任务计划程序服务启动设置和权限。 它被设置得不合适,并且每当机器启动时都被应用,当然,因为它被应用到域的根。
下面的命令为我们解决了这个问题:
sc.exe sdset wuauserv D:(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)