易受篡改緩解影響的 Windows 服務
我正在使用 Microsoft 的 Attack Surface Analyzer 測試一些軟體。我做了一個基線,並在安裝後掃描了我正在測試的軟體。當我創建報告時,它顯示某項服務容易被篡改,請參見附圖。
我一直在研究如何修改 ACL(s) 和 ACE(s)。
我正在處理的服務原始ACL定義如下:D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWD WO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A; ;CCLCSWLOCRRC;;;SU)S:(澳大利亞;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)
我已經修改了幾次,包括將所有使用者組更改為 SU 和 BA 並再次執行攻擊面分析器,它仍然在標記它。
就像現在一樣,我已將其修改如下: D:(A;;CCLCSWLOCRRC;;;BU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWD WO;;;BA)(A;;CCLCSWLOCRRC ;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRS DRCWDWO;;;WD)
我認為該服務仍被標記的原因是執行該服務的程序位於“C:\ProgramData”文件夾中,據我所知,所有使用者都可以訪問該文件夾。
所以理論上改變執行服務的程序會解決問題嗎?還是我需要對服務權限進行不同的更改?
對此的幫助將不勝感激。
經過大量研究,大量文件閱讀,頭痛,並且沒有找到我的問題的解決方案,我找到了答案。歸根結底,它被標記的原因是服務啟動的路徑,而不是服務本身或其權限。
ProgramData 文件夾(替代 Windows XP 中的 Application Data 文件夾)是為所有使用者通用的程序的非敏感數據儲存而設計的,而不是使用 Program Files 文件夾。
由於對這些文件夾的權限,ProgramData 文件夾下的文件夾並不是用來啟動服務的安全位置,因此可能會標記“易被篡改的服務”。
我希望這對將來的某人有所幫助,並隨時提供任何額外的資訊,越多越好。