この脆弱性の本質は、すべてのOSアカウント、暗号化キーデータ、その他の重要な情報(SAM、SECURITY、SYSTEMに保存されているファイル)のハッシュ化されたパスワードを使用して重要なファイルのシャドウコピーを実行すると、それらを読み取ることができるようになることです。標準ユーザー権限ですぐに使用できます。
一方、標準的な状況では、シャドウ コピーを実行した後、ユーザー権限で指定されたファイルを読み取ることはできません。つまり、必要なパスワード ハッシュを取得した後で権限を昇格できるようになります。
最新の Windows アップデートをインストールせずに修正する方法はありますか?
答え1
回避策を使用しています
.batファイルを作成する
icacls %windir%\system32\config\*.* /inheritance:e
vssadmin delete shadows /all /quiet
Windows_10_all.mofというファイルを作成する
instance of MSFT_SomFilter
{
Author = "Administrator@domain";
ChangeDate = "20210722135205.787000-000";
CreationDate = "20210722134746.125000-000";
Description = "Windows 10 Clients only";
Domain = "domain";
ID = "{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}";
Name = "Windows 10 Only";
Rules = {
instance of MSFT_Rule
{
Query = "Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
QueryLanguage = "WQL";
TargetNameSpace = "root\\CIMv2";
}};
};
スタートアップスクリプト用のGPOを作成する
上記のバッチを作成したディレクトリにコピーします。
MWIフィルターを使用する
WMIフィルターに移動し、右クリックして上記のファイルをインポートします
または手動で作成して怠惰に行う
"Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
その後、左側で GPO を選択し、右側で WMI フィルターを選択します。
結論
これは Microsoft が指示している単なる回避策であり、ほとんどの Web サイトではフォルダーのアクセス許可ではなくファイルのアクセス許可を修正することのみを説明しています。