La esencia de esta vulnerabilidad es que si realiza una instantánea de sus archivos importantes con contraseñas hash para todas las cuentas del sistema operativo, datos de clave de cifrado y otra información importante (los archivos almacenados en SAM, SEGURIDAD y SISTEMA), podrá leerlosinmediatamente con derechos de usuario estándar.
Mientras que en una situación estándar, después de realizar una instantánea, no se pueden leer los archivos especificados con derechos de usuario. En otras palabras, podrá elevar los privilegios después de obtener el hash de contraseña deseado.
¿Hay alguna forma de solucionarlo sin instalar las últimas actualizaciones de Windows?
Respuesta1
Estamos usando una solución alternativa
Crear un archivo .bat
icacls %windir%\system32\config\*.* /inheritance:e
vssadmin delete shadows /all /quiet
Cree un archivo llamado Windows_10_all.mof
instance of MSFT_SomFilter
{
Author = "Administrator@domain";
ChangeDate = "20210722135205.787000-000";
CreationDate = "20210722134746.125000-000";
Description = "Windows 10 Clients only";
Domain = "domain";
ID = "{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}";
Name = "Windows 10 Only";
Rules = {
instance of MSFT_Rule
{
Query = "Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
QueryLanguage = "WQL";
TargetNameSpace = "root\\CIMv2";
}};
};
Cree un GPO para el script de inicio
Copie el lote anterior en el directorio creado.
Usar filtro MWI
Vaya al filtro WMI, haga clic derecho en importar el archivo desde arriba
o hacerlo de forma perezosa, creándolo manualmente
"Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
Después de eso, seleccione su GPO en el lado izquierdo y luego seleccione en el lado derecho su filtro WMI.
Conclusiones
Esta es solo una solución alternativa que Microsoft indica que se debe hacer; la mayoría de los sitios web solo explican cómo corregir los permisos de archivos en lugar de carpetas.