Суть этой уязвимости в том, что если вы выполните теневое копирование ваших важных файлов с хэшированными паролями для всех учетных записей ОС, данными ключей шифрования и другой важной информацией (файлы, хранящиеся в SAM, SECURITY и SYSTEM) - вы сможете их прочитатьнемедленно с правами обычного пользователя.
Тогда как в стандартной ситуации, после выполнения теневого копирования, вы не сможете прочитать указанные файлы с правами пользователя. Другими словами, вы сможете повысить привилегии, получив нужный хэш пароля.
Есть ли способы исправить это, не устанавливая последние обновления Windows?
решение1
Мы используем обходной путь
Создать файл .bat
icacls %windir%\system32\config\*.* /inheritance:e
vssadmin delete shadows /all /quiet
Создайте файл с именем Windows_10_all.mof
instance of MSFT_SomFilter
{
Author = "Administrator@domain";
ChangeDate = "20210722135205.787000-000";
CreationDate = "20210722134746.125000-000";
Description = "Windows 10 Clients only";
Domain = "domain";
ID = "{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}";
Name = "Windows 10 Only";
Rules = {
instance of MSFT_Rule
{
Query = "Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
QueryLanguage = "WQL";
TargetNameSpace = "root\\CIMv2";
}};
};
Создайте GPO для сценария запуска
Скопируйте указанный выше пакет в созданный каталог.
Использовать фильтр MWI
Перейдите в WMI Filter, щелкните правой кнопкой мыши и импортируйте файл, указанный выше.
или сделайте это лениво, создав его вручную
"Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
После этого выберите GPO слева, а затем выберите WMI-фильтр справа внизу.
Выводы
Это всего лишь обходной путь, который рекомендует использовать Microsoft, большинство веб-сайтов объясняют необходимость исправления разрешений только для файлов, а не для папок.