Foydalanish huquqlari darajasining ko'payishini talab qiladi. Windows-da imtiyozlarni oshirish asoslari
Ehtimol,, ehtimol, keyingi o't yoki hujum stsenariysi bog'liq bo'lgan imtiyozlarni oshirish. Ko'pincha ushbu bosqichda hamma narsa "vakolatlarini kengaytirmasa" ishlamasa, hamma narsa tugaydi. Shu sababli, bugun biz foydalanuvchini nafaqat ma'muriy, balki tizimli ravishda oshirishni qanday oshirishga haqlimiz.
Kirish
Windows-Linux-da imtiyozlarni oshirish biroz boshqacha. Ikkala operatsion tizimlar odatdagi zaifliklarini olib borayotganiga qaramay, tadqiqotchilar linux holatida yangi malakali derazalar serveri yanada keng tarqalganligini ta'kidlashadi. Bundan tashqari, Windows yamalaridagi yamalar chiqarilish vaqti ko'pincha kamroq, bu Windows vazifalaridagi imtiyozlar juda qiziqarli va shuhratparastlikni oshiradi. Biz uning hikoyamizni bag'ishlaganimiz uchundir.
Variantlar
Xo'sh, derazalar dunyosida qanday imkoniyatlar ko'tarilishimiz kerak? Birinchidan, so'nggi paytlarda OT yadroida etarlicha zaifliklar mavjud edi, bu esa etarlicha qiyin bo'lgan imtiyozlarni ko'paytirish jarayonini, agar uning qo'llarida munosib torting. Agar siz metasploit-dan foydalanayotgan bo'lsangiz, unda terim qobig'ini olish uchun bitta jamoa etarli. Biroq, bularning barchasi yuqori ehtimollik bilan, agar tizim to'liq isbotlanmasa, faqat muvaffaqiyatli ishlaydi. Agar barcha yangilanishlar mashinada o'rnatilgan bo'lsa, Linuxdan farqli o'laroq, SUID-dan farqli o'laroq, atrof-muhit o'zgaruvchilari odatda yuqori imtiyozlar bilan xizmatlar yoki jarayonlar bilan uzatilmaydi. Bizning natijasi nima?
Ma'murdan tizimga yoki hamma biladigan narsa
Odatda, imtiyozlar ortib borayotganda, vazifalarni rejalashtirish usulidan foydalanib, darhol ongga keladi. Windows-da siz ikkita dastur yordamida topshiriqni qo'shishingiz mumkin: va Shtasks. Ikkinchisi, vazifani qo'shgan foydalanuvchi nomidan, birinchi tizim nomidan bo'lgani uchun vazifani boshlaydi. Siz eshitgan standart hiyla-nayrang, siz tizim huquqlari bilan konsolni boshlashingizga imkon beradi:
13:01 / Interfaol CMD da
Aqlga chiqqan ikkinchi narsa - bu taklifni bajaradigan / bajaradigan xizmatni bajaradigan xizmatni qo'shishdir:
@echo Off @Break Off Sarlavha ildiz Cls Echo-ni yaratishda xizmat. SC Yovvoyi binafatni yarating \u003d "CMD.EXE / K starti" turi \u003d O'z turlari \u003d INTSE \u003d INTSE \u003d INTERSE\u003e & 1 ECHO boshlang'ich xizmati. Sc Yovuzlik boshlang'ich\u003e Nul 2\u003e & 1 aks sado ... Ping 127.0.0.1 -N 4\u003e & 1 echo echo echo ni olish. Aks sado. Yovuz Yovuzlik meni yo'q qiling\u003e Nul 2\u003e & 1
Uchinchi usul - bu c: \\ Windows \\ Sethc.exe tizimining yordam dasturi, masalan, CMD. Agar shundan keyin ko'tarilgan bo'lsa va SHIFT tugmachasini bir necha marta bosing, shunda konsol tizim huquqlari bilan paydo bo'ladi.
Avtomatlashtirilgan usullarga kelsak, metasploit va uning getsssistesure insplentimentstesure. Alternativ variant PSEXEC-dan PSEXEC-dan (PSEXEC -E -S -D CMDE.EXE) deb hisoblash mumkin.
Biz boshqacha yo'lni olamiz
Ushbu barcha usullarning barchasi umumiy kambag'allikka ega: ma'muriy imtiyozlar kerak. Bu shuni anglatadiki, biz imtiyozli hisob ostida allaqachon imtiyozlarni oshiramiz. Aksariyat hollarda, administrator huquqlarini olganingizda, sizda qo'llardagi bir nechta variantlar bor, hatto undan yuqori ko'tarilish kerak. Shunday qilib, bu juda qiyin vazifa emas. Bugungi kunda biz odatiy tizimimiz va oddiy ajratilmagan foydalanuvchi hisob qaydnomasiga ega ekanligimizga ishonib, bizda odatiy tizim va oddiy maxsus foydalanuvchi hisobi borligiga ishonadigan har qanday zaifliklardan foydalanmaydigan imtiyozlarni oshirish usullari haqida gaplashamiz.
Hisob ma'lumotlarini ov qilish.
Tizimda imtiyozlar va konsolidatsiyalarni oshirishning ishonchli va barqaror va barqaror usullaridan biri bu yuqori imtiyozlarga ega ma'murlar yoki foydalanuvchilar parollarini olishdir. Va bu avtomatlashtirilgan dasturiy ta'minotni o'rnatishni eslash vaqti keldi. Agar siz keng ko'lamli mashinalarni o'z ichiga olgan domenni boshqarsangiz, albatta yurishni xohlamaysiz va ularning har birini qo'lda o'rnatishni xohlamaysiz. Ha, va bu safar shundan shunchalik shug'ullanadiki, boshqa vazifalar uchun etarli emas. Shuning uchun, qarovsiz asboblardan foydalaniladi, ular ma'mur parollarini sof shaklda o'z ichiga olgan fayllarni yaratadi. Ikkala penkalar va tajovuzkorlar uchun juda xazina nima.
Qarovsiz O'rnatishlar
Mijozda avtomatlashtirilgan o'rnatish holatida, odatdagidek, odatdagidek% \\ Panther \\ yoki% Windrir% \\ Panther \\ va Administrator parolini saqlab turadi ochiq shaklda. Boshqa tomondan, ushbu faylni serverdan olish uchun, hatto autentifikatsiya talab qilinmaydi. Faqat "Windows Dapiting xizmatlari" serverini topish kerak. Buning uchun siz yordamchi / skaner / derzerpc / Windows_Dephloyitment-dan Metasploit-dan foydalanishingiz mumkin. Va derazalar joylashtirish xizmatlari avtomatlashtirilgan installyatsiyalarni amalga oshirishning yagona usuli bo'lmasa-da, qarovsizlangan.XML fayli standart hisoblanadi, shunda uni aniqlash muvaffaqiyatli amalga oshirilishi mumkin.
GPP.
XML xavfsizlik guruhi siyosati sozlamalari (guruh siyosati afzal) ko'pincha yangi foydalanuvchilar qo'shish, to'pni yaratish uchun ishlatilishi mumkin bo'lgan shifrlangan ishonch yorliqlarini o'z ichiga oladi. Baxt uchun shifrlash usuli rasmiylashtiriladi, shuning uchun siz uni toza shaklida osongina olishingiz mumkin. Bundan tashqari, metasploit jamoasi siz uchun hamma narsani allaqachon bajargan - /post/winows/credensials/gpp.rb moduli /postenals/gpp.rb. Agar siz tafsilotlarni qiziqtirsangiz, barcha kerakli ma'lumotlar ushbu havolada mavjud.
Shaxsiy huquqlar
Ko'pincha, imtiyozlarning o'sishi noto'g'ri sozlangan maxsus huquqlarning natijasi bo'ladi. Masalan, domen foydalanuvchisi xostdagi mahalliy ma'mur (yoki quvvatlanuvchi). Yoki domen foydalanuvchilari (yoki domen guruhlarining a'zolari) barcha xostlar bo'yicha mahalliy ma'murlardir. Bunday holda, siz allaqachon hech narsa qilishingiz shart emas. Ammo bunday variantlar tez-tez tegib turadi.
Har doim.
Ba'zida ma'murlar bizga dasturlarni mustaqil ravishda mustaqil ravishda o'rnatishga imkon beradi, u odatda quyidagi ro'yxatga olish kalitlari orqali amalga oshiriladi:
Hklm \\ dasturiy ta'minot \\ polislar \\ Microsoft \\ Windows \\ Installer \\ doim
HKCU \\ Dasturiy ta'minot \\ Siyosat \\ Microsoft \\ Windows S \\ Installer \\ doim
Ular har qanday MSI faylini yuqori imtiyozlar bilan o'rnatilishi kerakligini ko'rsatadi (NT Offici \\ tizim). Shunga ko'ra, maxsus yaratilgan fayldan foydalanish, siz yana tizim nomidan harakatlarni bajarishingiz va imtiyozlaringizni pompor qilishingiz mumkin.
Metasploit maxsus ekspluat / Windows / Windows / Down / Doim_install_El_install_El_install_El_install_eleweVeVEVEVEVEVED modulini o'z ichiga oladi, u tizim imtiyozlari bilan o'rnatilgan maxsus ijrochi fayl bilan MSI faylini yaratadi va tizim imtiyozlari bilan o'rnatiladi. MSI faylini bajargandan so'ng, tizimda ishlashning oldini olish uchun o'rnatishni to'xtatadi (maxsus yaratilgan VBS-ni yaratgan). Bundan tashqari, agar siz o'rnatishni / sokin kalit bilan o'rnatishni boshlasangiz, foydalanuvchi xatoni ham qaytarib olmaydi.
Yo'qolgan Autorun.
Ko'pincha, tizim yozda allaqachon allaqachon paydo bo'lganidan keyin avtomatik ravishda ishga tushirilishi kerak bo'lgan fayl yozuvini saqlaydi. Ehtimol, ba'zi xizmat noto'g'ri o'chirilgan - bajariladigan fayl yo'q va registratsiyaga kirish qoldi va har bir start muvaffaqiyatsiz qoldi va tizimni ochish to'g'risidagi xabarlarni boshdan kechirish boshlandi va taqiq haqidagi xabarlarni bekor qila boshlagach, tadbirlar jurnalining kirish xabarlarini bekor qila boshlagach, tadbirlar jurnallari haqida xabarlarni boshdan kechira boshladi va taqiq haqidagi xabarlarni bekor qila boshlagach, tadbirlar jurnallari haqida xabarlarni boshdan kechira boshladi va nazorat haqida jurnal xabarlarini bekor qila boshladi. Ushbu holat, shuningdek, sizning vakolatingizni kengaytirish uchun ham ishlatilishi mumkin. Birinchidan, siz bunday etim yozuvlarini topishingiz kerak. Masalan, Sysintersning Autunun kompaniyasidan foydalanish.
AutunCc.exe -A | Findst / n / r "fayl \\ topilmadi"
Shundan so'ng, siz taxmin qilganingizdek, bu sizning nomzangizning yo'qolgan faylining joyiga kirishni yaxshi ko'radi.
Sehr Kavolek
Ha, tirnoq nafaqat SQL so'rovlarida o'ynagan, balki in'ektsiya o'tkazishga imkon beradigan, balki imtiyozlarni oshirishga yordam beradi. Muammo juda eski va NT vaqtlaridan beri ma'lum. Gap shundaki, ba'zi xizmatlarning bajarilishi mumkin bo'lgan fayllaridagi yo'llar kotirovkalar (masalan, Ijacath \u003d C: \\ dastur fayllari \\ mcsheld.exe), bu yo'lda bo'sh joy belgilari bor . Bunday holda, agar tajovuzkor tizimga yangi ma'murlar qo'shadigan yoki boshqa harakatlarni amalga oshiradigan faylni yaratsa va uni chaqiradi: \\ Dastur fayllari \\ Useexe, keyinchalik xizmatning keyingi ishga tushirilishi bilan odatiy holdir. Bu yo'lning bir qismi bo'lib qolsa, argument (dalillar) sifatida qabul qilinadi. Dasturdagi fayllarni amalga oshirilmagan foydalanuvchi hech narsa qo'ya olmaydi, ammo bajarilishi mumkin bo'lgan xizmat faylida boshqa bir katalogda bo'lishi mumkin, ammo bajarilishi mumkin bo'lgan xizmat fayli boshqa katalogda bo'lishi mumkin, ammo bu foydalanuvchi o'z faylini tanlash imkoniyatiga ega bo'ladi.
Ushbu uslubdan foydalanish uchun himoyasiz xizmatni topish kerak (bu sizning ikkilik sahifangizga bo'lgan tirnoqlardan foydalanmaydi). Bu quyidagicha amalga oshiriladi:
WMIC xizmatini ko'rsatish Nom, Ko'rishnoma, PatName, StartMode | FindstrR / i "Auto" | Findstrst / i / V "Windows \\\\" ""
To'g'ri, XPda ma'murning imtiyozlaridan foydalanishni talab qiladi, shuning uchun u erda quyidagi usuldan foydalanish yaxshiroqdir: Xizmatlar ro'yxatidan foydalanish, har bir xizmat uchun ma'lumot oling, so'ngra Har bir xizmat uchun ma'lumot oling - Sc service nomi.
Hammasi rejaga muvofiq
Huquqlarni va odatda unutilgan boshqa mexanizm vazifadir vazifasini bajaradi. Shtasksning yordam dasturi ma'lum bir voqealar uchun vazifalarni bajarishga imkon beradi. Biz uchun eng qiziqarli, onelogon va onstart. Ismlar quyidagicha, HEPELL har safar kompyuter oddiy, onlogon va onstast - foydalanuvchi loginlari va tizim boshlanganda. Shunday qilib, har bir voqealar alohida vazifani ushlab turishlari mumkin. Masalan, tizimni zararli ikkilik / kalitloggerni nusxalashda / ... va uni ishga tushirish uchun tizimni ishga tushirganda. Tizimga kirishda - kredit karta libperini ishga tushiring. Qisqasi, hamma narsa sizning xayolingiz va vazifangiz bilan cheklangan.
Ruxsatnomalar bilan fokuslar
Fayl kirish huquqi - bu odatda bizning imtiyozlarimizni oshirishga xalaqit beradigan birinchi himoya vositadir. Har qanday tizim faylini qayta yozish vasvasasi (masalan, maqolaning boshida aytib o'tilgan Setc.exe darhol tizim imtiyozlarini oling). Ammo bularning barchasi faqat orzular, aslida biz uni o'qishga ruxsatimiz bor, bu bizda hatto hisob qaydnomasi bilan hech qanday aloqasi yo'q. Biroq, burnimni osib qo'yishingiz kerak, chunki hammasi hammasi juda silliq emas, balki hamma narsa juda tekis emas - bu erda boshqa joyda, iloji boricha zarar etkazishimiz mumkin.
Ushbu mexanizm bilan himoyalangan tizim kataloglaridan biri bu imtiyoz nuqtai nazaridan - dasturiy fayllar nuqtai nazaridan juda qiziq. U erda foydalanilmagan foydalanuvchilar buyurtma qilingan. Biroq, ba'zida u o'rnatish paytida ro'y beradi, instanterlar barcha foydalanuvchilar barcha foydalanuvchilar bajariladigan fayllardan to'liq foydalanish imkoniyatiga ega bo'lishi mumkin. Bu nimadan kelib chiqadi - siz allaqachon taxmin qildingiz.
Yana bir cheklovlar - odatiy o'lim tizim diskining ildiziga yozishga ruxsat berilmaydi. Biroq, masalan, XP diskning ildizida yangi katalog yaratishda XPda, o'rnatilgan \\ Foydalanuvchi guruhi Film_Append_data ruxsatlarini oladi (papkaning egasi ma'mur bo'lsa ham):
"Indenin" foydalanuvchilari: (si) r '), (CI) (Maxsus kirish :) File_Append_data Indenin \\ amaldagi: (Maxsus kirish :) fayl_write_data
"Etti" da deyarli bir xil narsa yuz beradi, faqat ruxsat etilgan foydalanuvchilar guruhini qabul qiladi. Bunday xatti-harakatlar qanday qilib muammoga aylantiriladi? Faqat ba'zi dasturlar o'zlarini muhofaza etiladigan katalogni o'rnatdilar, bu ularning bajarilishi mumkin bo'lgan fayllarini almashtirishni osonlashtiradi. Masalan, bunday idoralar multiplayer o'rnatish holatida metasploit doirasi bilan yuz berdi. Ushbu xato 3.5.2 versiyasida pofsixen edi va yordam dasturi dasturiy fayllarga o'tdi.
Qanday qilib bunday kataloglar / fayllarni qidirish kerak
Noto'g'ri ruxsatlar bo'lgan katalogni aniqlash yarim muvaffaqiyat. Biroq, birinchi navbatda topilishi kerak. Buning uchun siz quyidagi ikkita vositalardan foydalanishingiz mumkin: KICECHCHK va CACLS / ICACLS. "EkherChk" "Zaif" kataloglari bilan topish uchun sizga ushbu buyruqlar kerak bo'ladi:
EcceSchk.exe --uwqs foydalanuvchilari C: \\ uppkchk.exe - "Tasdiqlangan foydalanuvchilar" C: \\
"Zaif" ruxsatnomalar bilan fayllarni qidirish quyidagilardan iborat:
EcceChchk.exe -UWQS foydalanuvchilari C: \\ *. * ENCESCHK.Exe - "Tasdiqlangan foydalanuvchilar" c: \\ *. *
Xuddi shu narsa Cacls / iCakls yordamida amalga oshirilishi mumkin:
CACLS "C: \\ dastur fayllari" / t | Findstrct foydalanuvchilari.
Xizmatlar bilan fokuslar
Yana bir variant, tizimga qanday ko'tarilish kerak, bu dunyodan foydalanish va xizmat xatolaridan foydalanishdir. Amaliyot shuni ko'rsatadiki, nafaqat fayllar va papkalar noto'g'ri ruxsatlarga ega bo'lishi, balki tizimda ishlaydigan xizmatlar ham bo'lishi mumkin. Buni kashf etish, siz SIZNING RASSALANG, SIZNING SIZNING SIZGA XIZMAT KO'RSATADI:
Eccesschk.exe -uckV *
Tasdiqlangan foydalanuvchilarga yoki quvvat foydalanuvchilari uchun xizmat_all_all_all_ACCAccucT ruxsati haqida ko'proq xabar beradi. Ammo quyidagi omad ham quyidagilarni ko'rib chiqish mumkin:
- Xizmat_change_config - biz bajariladigan xizmat faylini o'zgartirishimiz mumkin;
- Writ_dac - Siz ruxsatni o'zgartirishingiz mumkin, bu xizmat_change_cucig) ning qarorini olishda olib keladi;
- Yozish_ouner - siz ega bo'lishingiz va ruxsatlarni o'zgartirishingiz mumkin;
- Generic_write - xizmat_change_cughig-ning rezolyutsiyasini meros qilib oladi;
- Generic_all - xizmat_change_cucigining qarorini meros qilib oladi.
Agar ulardan kam uchraydigan foydalanuvchilar uchun ushbu ruxsatnomalardan biri (yoki bir nechta) bo'lsa, ularning imtiyozlari ko'payishi ehtimoli keskin oshadi.
Qanday qilib ko'tarilish kerak?
Aytaylik, tegishli xizmatni topdingiz, unda ishlash vaqti keldi. Bu konsolda yordam yordamiga yordam beradi. Avvaliga biz qiziqtirayotgan xizmat haqida to'liq ma'lumot olamiz, aytaylik, bu zamonaviy:
Sc qc tarnphst.
Bir xil yordam dasturi yordamida biz uni bekor qilamiz:
Sc concight vnopolsrv dynpath \u003d "Net Don Jon Hello / qo'shish va lateral loadroup" Ro'ycer \u003d Intercact Sc Confight Upnphth ASJ \u003d "Parol \u003d" "
Ko'rinib turibdiki, keyingi safar siz xizmatni bajaradigan faylni, sv Jon Hello / qo'shing && qo'shing loiduktumchilik ma'murlari Yuhanno Jon / qo'shish buyrug'i Yuhannoga salom paroliga qo'shib yuboriladi. Bu faqat xizmatni qo'lda qayta boshlash uchun davom etadi:
Tarmoqni to'xtatish sopi yuqoriroqni tiklashni boshlang
Bu sehrli sehr.
Oxirida bu
Bir marta men Windows-dagi imtiyozlarni oshirish uchun asosiy texnikaga ega bo'lgan jurnaldagi maqolani o'qidim. Men unga alohida ahamiyat bermadim, ammo boshimdagi nazariya to'plangan va men o'zim menga juda ko'p yordam bergan. Shunday qilib, umid qilamanki, men o'zim uchun yangi narsani topasiz, bu keyingi to'siqni engib o'tishga yordam beradi.
Maqolaning qismlari foydalanuvchi hisobini boshqarishning printsipini batafsil tavsiflab berildi. Shu tomonda, kompyuteringiz avtonom ravishda ishlayotganda UACni sozlash bilan bog'liq bo'ladi, ya'ni faol katalog domeniga kiritilmagan. Foydalanuvchi hisobini boshqarishni sozlash uchun mahalliy xavfsizlik siyosati mahalliy guruh siyosatining muharriri bilan tanishish uchun ishlatiladi.
Foydalanuvchi qayd yozuvini boshqarish uchun javobgar bo'lgan 10 guruh siyosat sozlamalari mavjud. Siyosat sozlamalarini o'zgartirish uchun siz Snapda ochishingiz kerak "Mahalliy guruh siyosati muharriri" Node kompyuter konfiguratsiyasi \\ Windows konfiguratsiyasi \\ Xavfsizlik sozlamalari \\ Mahalliy siyosati \\ xavfsizlik sozlamalari. Ushbu maqolada, shuningdek, har bir siyosat parametrlarini tizimni ro'yxatga olish uchun sozlash yo'lini topasiz. Quyidagi jadvalda siyosat sozlamalarining har birida standart qiymatlar ko'rsatilgan.
Guruh siyosatini boshqarish uchun sozlamalar parametrlar parametrlari:
| Guruh siyosat parametrlari | Standart qiymat |
| Hisobni boshqarish: Administrator tomonidan tasdiqlash rejimini yoqing | Yoqilgan |
| Buxgalteriya monitoringi: Ilovani o'rnatish va to'g'ri so'rovni ko'tarishni aniqlash | Yoqilgan |
| Hisobni boshqarish: Xavfsiz ish stoliga o'tishni amalga oshirish uchun so'rovni bajarishda o'zgartirish | Yoqilgan |
| Hisobni boshqarish: ma'muriyat ma'murlarini takomillashtirish uchun so'rov | Derazalardan emas, ikkilik ma'lumotlar uchun rozilikni talab qiling |
| Buxgalteriya monitoringi: huquqlar uchun so'rov ortib bormoqda | Hisobotni talab qilish |
| Buxgalteriya monitoringi: faqat xavfsiz joyda o'rnatilgan UYCCSCES dasturlari uchun | Yoqilgan |
| Hisobni boshqarish: faqat imzolangan va tasdiqlangan bajariladigan fayllar uchun huquqlarni yaxshilash | Nogiron |
| Buxgalteriya monitoringi: foydalanuvchilarga joylashtirish uchun fayl yoki registratsiyani yozishda | Yoqilgan |
| Hisobni boshqarish: UACCSCES dasturlariga xavfsiz ish stolidan foydalanmasdan huquqlarning ko'payishini talab qilish uchun ruxsat bering | Nogiron |
| Hisobni boshqarish: O'rnatilgan administrator hisobvarag'idan ma'mur tasdiqlash rejimidan foydalanish | Nogiron |
Foydalanuvchi qayd yozuvini boshqarish (UAC) bilan bog'liq bo'lgan guruh siyosatining parametrlari quyida keltirilgan:
Barcha ma'murlar ma'mur tomonidan tasdiqlangan rejimda ishlaydi
Ushbu siyosatni sozlash kompyuter uchun barcha hisoblarni boshqarish siyosatining xususiyatlarini aniqlaydi. Ushbu parametrga ma'murlar hisobi "Ma'muriy tasdiqlash rejimida" ishga tushiriladimi, ya'ni hokimiyatning oshishi uchun so'rov bilan dialoglar bo'ladi. Ushbu sozlamani deyarli o'chirib qo'yishni o'chiring, bu foydalanuvchi hisobini boshqarish funktsiyasini butunlay o'chirib qo'yadi. Ushbu siyosat o'zgarganda kompyuterni qayta ishga tushirishingiz kerak. Odatiy qiymat yoqilgan.
Mumkin parametr qiymatlari:
- Kiritilgan. Ichki ma'mur ma'muri va guruh a'zolari bo'lgan boshqa barcha foydalanuvchilarga ma'mur tasdiqlash holati yoqilgan. "Ma'murlar", Administratorni tasdiqlash rejimida ishlang.
- Nogiron. Administrator tomonidan tasdiqlash rejimi va hisobni boshqarish siyosati uchun barcha tegishli sozlamalar o'chiriladi.
; "Enablua" ni o'chiring \u003d DUCD: 00000000
Arizalar o'rnatishni aniqlash va ularni boqish huquqlarining oshish
Ushbu sozlama kompyuter uchun dasturni aniqlash xususiyatlarini belgilaydi, dasturlarni tarqatishda ishlatiladigan dasturlar yoki yo'qligini tekshiradi. Odatiy hollarda, agar foydalanuvchi ishchi guruhiga kirsa, u yoqilgan.
Mumkin parametr qiymatlari:
- Kiritilgan (uy uchun odatiy). Talabnomani o'rnatish dasturi hokimiyatni kuchaytirish zarurligini aniqlasa, foydalanuvchi ma'mur qayd yozuvining foydalanuvchi nomi va parolini kiritishga taklif qilinadi. Agar foydalanuvchi to'g'ri hisob ma'lumotlariga kirsa, operatsiya tegishli huquqlar bilan davom etmoqda. So'rovning ko'rinishi foydalanuvchiga tegishli bo'lgan guruhga bog'liq.
- O'chirilgan (tashkilot uchun omad). Ushbu sozlagich tanlanganda, dasturni o'rnatish dasturini aniqlash organning oshishi uchun so'rovni chiqarmaydi. Odatda ushbu parametr domenga kiritilgan tashkilotlar, kompyuterlar va foydalanuvchilarga tegishli dasturlarga kiritilgan dasturlarda qo'llaniladi (Guruh siyosatini o'rnatish - GPSI). Shunga ko'ra, o'rnatgichni aniqlash kerakligi yo'qoladi.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "Enjeinstalversetektsiyani o'chiring" \u003d DUCD: 00000000
Xavfsiz ish stoliga to'g'ri keladigan so'rovni bajarishda davom etganda
Ushbu Siyosat parametrlari, uC so'rovini boshlaganda, idoraning interfaol ish stolida yoki xavfsiz ish stolida risolasining so'rovi so'rovlarini belgilaydimi yoki yo'qligini aniqlaydi. Odatiy qiymat yoqilgan. Ushbu siyosat o'zgarganda kompyuterni qayta ishga tushirishingiz kerak.
Mumkin qiymat parametrlari:
- Kiritilgan. O'tish uchun barcha talablar, ma'muriyat va oddiy foydalanuvchilarning taklifi siyosatining parametrlaridan qat'i nazar, xavfsiz stolda ko'rsatiladi.
- Nogiron. Huquqni oshirish uchun barcha so'rovlar interfaol ish stolida qayd etilgan.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "PrepttonsCanceSctop" ni o'chiring \u003d DUCD: 00000000
Administratorda ma'murlar huquqlarini kengaytirish uchun so'rov
Joriy parametr sizga guruhga kiritilgan foydalanuvchi harakatlarini aniqlashga imkon beradi "Ma'murlar" Operatsiyani bajarishda ularning ortib borishi talab etiladi. Odatiy qiymat o'rnatilgan. "Uchinchi tomonli ikkilik fayllar uchun rozilikni talab qiling (Windows-ni emas)".
Mumkin parametr qiymatlari:
- Talab qilmasdan kuchaytirish. Imtiyozli hisob-kitoblarga rozilik yoki ma'lumotni kiritmasdan huquqlarning ko'payishi talab qiladigan operatsiyani amalga oshirishga imkon beradi. Ushbu variantni faqat foydalanuvchi cheklovlari bilan cheklash bilan foydalanish tavsiya etiladi. Ushbu sozlama tanlanganda, odatiy kuchlar administratorning o'rnatilgan hisobi bilan bir xil bo'ladi.
- . Xavfsiz foydalanuvchi nomi va parolini kiritishni talab qiladigan har qanday operatsiya uchun Xavfsiz ish stolida ko'rsatiladi. Agar to'g'ri hisob ma'lumotlari kiritilsa, foydalanish foydalanuvchi huquqlari bilan davom etadi.
- Xavfsiz ish stolida rozilikni talab qiling. Mehnatlanuvchi huquqlarni talab qiladigan har qanday operatsiya uchun ushbu taklif xavfsiz ish stolida namoyish etiladi. "Ruxsat berish" yoki "Taqiqlamoq". Variantni tanlashda "Ruxsat berish"Operatsiya foydalanuvchi huquqlari bo'yicha davom etadi.
- Hisobotni talab qilish. Hokimiyatning oshishini talab qiladigan har qanday operatsiya uchun, ma'mur qayd yozuvining foydalanuvchi nomi va parolini kiritish taklifi namoyish etiladi. To'g'ri hisob ma'lumotlariga kirishda operatsiya yuqori kuchlar bilan davom etadi.
- So'rovning roziligi. Ushbu parametr tanlangan bo'lsa, huquqni oshirishni talab qiladigan har qanday operatsiya uchun foydalanuvchi taklifni tanlash taklif etiladi: "Ruxsat berish" yoki "Taqiqlamoq". Tugmani bosish "Ruxsat berish"
- Uchinchi tomonning ikkilik fayllari uchun roziligi (Windows emas). Ushbu parametrni tanlashda tanlov xavfsiz ish stolida ko'rsatiladi: "Ruxsat berish" yoki "Taqiqlamoq"Tadbirda ishlab chiqaruvchining uchinchi tomonni qo'llash operatsiyasi (Microsoft emas). Huquqlarni oshirishni talab qiladi. Tugmani bosish "Ruxsat berish"Amaliyot mavjud bo'lmagan imtiyozlar bilan davom etadi.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "RABRPROMBIONMADIORDMIN" deb topmasdan ko'tarilmasdan \u003d 00000000; "KubrptTBehavadmin"; "KubpromptTBehavioradmin"; "KubrptTBehaioradmin"; "KubrptTBehaioradmin"; "KubrptTBehaioradmin"; "RACRPROMBAHAVIOREMIN" \u003d 00000003; so'rovning roziligi; "KubrptTabehtboioradmin" \u003d Derazalardan emas; "KubrptTBehaioradmin" \u003d DWWOR: 00000005
Oddiy foydalanuvchilarga huquqlarning o'sishi uchun so'rovning xatti-harakati
Ushbu Siyosat parametrlari oddiy foydalanuvchi huquqlarning oshishini talab qiladigan arizalar bilan o'zaro ta'sirda amalga oshirilgan harakatlarni aniqlaydi. Odatiy qiymat - "Xavfsiz ish stolida hisob ma'lumotlarini olish".
Mumkin parametr qiymatlari:
- Hisobotni talab qilish. Ushbu parametrdan foydalanib, odatdagi foydalanuvchi ma'mur qayd yozuvini tanlash va keyingi keyingi nusxa ko'chirish uchun parolni kiriting. Operatsiya hisob ma'lumotlari to'g'ri kiritilgan bo'lsa, davom etadi.
- Avtomatik ravishda huquqlarning o'sishi uchun so'rovlarni taqiqlaydi. Ushbu parametr tanlanganda, idoraning ko'payishi kerak bo'lgan operatsiyani amalga oshirishni talab qiladigan mantiqiy foydalanuvchini muntazam ravishda ko'rsatadi. Ish stollari an'anaviy foydalanuvchilar tomonidan qo'llaniladigan tashkilotlar xizmat parametrini qo'llab-quvvatlash uchun qo'ng'iroqlar sonini kamaytirish uchun ushbu Siyosat parametrini tanlashlari mumkin.
- Xavfsiz ish stolida hisob ma'lumotlarini olish uchun so'rov. Ushbu parametrni tanlash orqali odatiy foydalanuvchini administrator hisobini tanlash va parolni faqat xavfsiz ish stolida amalga oshirish uchun parolni kiriting. Operatsiya hisob ma'lumotlari to'g'ri kiritilgan bo'lsa, davom etadi.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
"Kuchromptabehaiorser" huquqlarini yaxshilash uchun so'rovlarni avtomatik ravishda rad etish "\u003d 00000000;" RACRPROMTBAHASIORSER "da bekor qilish to'g'risidagi arizasi \u003d" rubridrombeheehaorser "\u003d 00000001; "RABRPROMBIHABIORSER" hisob ma'lumotlarini olish uchun so'rov: 00000003
UYaCCSCES dasturlariga faqat xavfsiz joylarga o'rnatishda bo'lgan huquqlarni oshiring
Ushbu dastur parametrlari sizning foydalanuvchi interfeysi (UACCSCOSCS) ning foydalanuvchi interfeys interfeysining (UACCSCOSCSS) fayl tizimining xavfsiz joylashuvida foydalanuvchilarning interfeysi atributini aniqlashni talab qiladigan dasturlarning joylashuvini boshqarishga imkon beradi. Odatiy bo'lib, ushbu sozlamada va maxsus xususiyatlarga ega bo'lgan ilovalarda, tanishish to'g'risidagi atributlar uchun qulaylik kiritiladi, bu qiymatni kengaytirish oynasini boshqarishga to'g'ri keladi. Agar arizalar noto'g'ri qiymatga ega bo'lsa, ya'ni atribut tushirilsa yoki yig'ish uchun aniq bo'lsa, dastur xavfsiz foydalanuvchi interfeysiga kira olmaydi. Faqat quyidagi papkalar xavfsiz deb hisoblanadi:
... \\ dastur fayllari \\, shu jumladan pastki papka
... \\ Windows \\ Syme32 \\
... \\ Dastur fayllari (X86) \\, shu jumladan Windows-ning 64 bitli versiyalari uchun pastki paprala
Mumkin parametr qiymatlari:
- Kiritilgan. Ilova faqat xavfsiz fayl tizim papkasida bo'lsa, UPCCS-ning yaxlitligi darajasidan boshlanadi.
- Nogiron. Ilova UPCCSCES yaxlitligi darajasidan boshlanadi, hatto u xavfsiz fayl tizimi papkasida bo'lmasa ham.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "ENESOSECEUREUAPAIAPASS" ni o'chiring \u003d DUDO: 00000000
Faqat imzolangan va tasdiqlangan bajariladigan fayllar uchun huquqlarni yaxshilash
Guruhda hisobni boshqarish siyosati Ushbu vositalar interfaol dasturlarni haqiqiy infratuzilmasi (jamoatning asosiy infratuzilmasi PKI) bilan tasdiqlashni talab qiladigan interfaol dasturlarni autentifikatsiya qilishini aniqlashga imkon beradi, bu esa hokimiyatning oshishi talab etiladi. PKI vazifasi - bu sertifikatlarning to'g'riligini amalga oshirish uchun zarur bo'lgan ma'lumotlarni berish, keyinchalik ma'lumotlarni saqlash va bekor qilish to'g'risidagi raqamli sertifikatni aniqlash va bekor qilish. PKI-ni qo'llab-quvvatlaydigan dasturlarga: himoyalangan elektron pochta, to'lovlar protokollari, elektron ma'lumotlarni almashish, IP protokoli tarmoqlarida ma'lumotlarni, elektron shakllar va elektron raqamli imzo bilan ma'lumotlarni himoya qilish. Agar ushbu chek yoqilgan bo'lsa, dasturlar sertifikat yo'lini tekshirish orqali boshlanadi. Ushbu standart sozlamaning qiymati o'chirilgan.
Mumkin parametr qiymatlari:
- Kiritilgan. Ushbu faylni bajarishdan oldin PKI sertifikatlarini tekshirishni majburiy ravishda boshlaydi. Asosan, ushbu parametrlar domen bilan, agar ma'mur PKI sertifikatlarini ishonchli va'zgo'ylar omborida joylashtirsa.
- Nogiron. Ushbu parametrni o'rnatishda hisobni monitoring ushbu bajariladigan faylning ijrosini amalga oshirishga ruxsat berishdan oldin PKI sertifikatini tekshirish zanjirining tekshirilishini tasdiqlamaydi.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "TasdiqeDeDeCincodeSignes" ni o'chiring \u003d DUCD: 00000000
Agar siz foydalanuvchi joyini joylashtirishda fayl yoki reestr yoki ro'yxatga olish huquqiga yoza olmasangiz
Ushbu parametr ro'yxatga olish kitobida va fayllar tizimidagi muayyan joylarga yozuvlarni yozishni boshqaradi. Ushbu sozlamada muhofaza qilinadigan tizimlardan foydalanib, ma'lumotlarni o'qishga yoki yozishga harakat qiladigan eskirgan arizalar, hisobni boshqarish Ro'yxatdan o'tish va fayllar tizimini virtualizatsiya qilish imkoniyati mavjud. Ushbu konfiguratsiya tufayli UAA Administrator nomidan bajarilgan yoki bajarilganligi to'g'risidagi ma'lumotlarni bekor qilish imkonini beradi% papka,% Windrir%; % Windrir% \\ System32 yoki Tizimda HKLM \\ Dasturiy ta'minotni ro'yxatga olish bo'limidir \\. Odatiy qiymat yoqilgan.
Mumkin parametr qiymatlari:
- Kiritilgan. Ilova yozuvlari foydalanuvchi tomonidan belgilangan joyda fayl tizimida va reestrida bajarilishi davomida qayta yo'naltiriladi.
- Nogiron. Xavfsiz joylashuvga ma'lumotlarni yozish xato bilan yozib qo'yadigan dasturlarni bajarish va bajarilmaydi.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "EnabbusiTuNizeualizatsiya" ni o'chiring \u003d DUCD: 00000000
Xolcess dasturlariga xavfsiz ish stolidan foydalanmasdan huquqlarni kuchaytirishga ruxsat berish
Windows 7-da paydo bo'lgan ushbu yangi siyosiy parametr R2 operatsion tizimlari R2 operatsion tizimlari UACCSCES dasturlari odatdagi foydalanuvchi tomonidan ishlatiladigan hokimiyatning oshishi uchun so'rovlar uchun xavfsiz stolni avtomatik ravishda o'chirib qo'yishi mumkinligini aniqlaydi. Odatiy qiymat o'chirilgan.
Mumkin parametr qiymatlari:
- Kiritilgan. Ushbu konfiguratsiya tanlanganda, UACCOS dasturi, jumladan Windows masofadan ortiq yordamchisiga vakolatni oshirish uchun avtomatik ravishda xavfsiz ish stolini o'chiradi. Agar siyosatni sozlash "Buxgalteriya monitoringi: to'g'ri oshirishni kuchaytirishni amalga oshirishda xavfsiz ish stoliga o'tish" bo'lsa, ushbu taklif foydalanuvchilarning interfaol ish stolida emas, balki foydalanuvchi interfaol ish stolida ko'rinadi.
- Nogiron. Ushbu parametr tanlanganda, xavfsiz ish stolida faqat interfaol ish stolidan foydalanishi yoki "Hisobni boshqarish siyosatini o'chirish" dan o'chirilishi mumkin. "Huquqlarning oshishida xavfsiz ish stoliga o'tish."
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "EnjuiaDesktogggle" ni o'chiring \u003d DUCWOR: 00000000
Ma'mur ma'muri ma'mur hisobi uchun ma'mur tomonidan tasdiqlash rejimi
Ushbu sozlama foydalanuvchi hisoblari Administratorning tasdiqlangan rejimida o'rnatilgan hisob raqamiga qo'llanilishini aniqlaydi "Ma'mur". Ushbu o'rnatilgan standart hisob qaydnomasi foydalanuvchiga Windows XP moslashuv rejimida tizimga kirishga imkon beradi, bu esa har qanday murojaatni to'liq ma'mur huquqlari bilan boshqarishga imkon beradi. Odatiy bo'lib, ushbu Siyosat parametrlari o'chirilgan.
Mumkin parametr qiymatlari:
- Kiritilgan. Ushbu parametr tanlanganda ma'murning o'rnatilgan hisoboti uchun ma'mur tasdiqlash holati qo'llaniladi. Shu bilan birga, rioya qilishni talab qiladigan har qanday operatsiya operatsiyani tasdiqlash to'g'risidagi so'rov hamroh bo'ladi.
- Nogiron. O'rnatilgan administrator hisobi barcha talabnomalarni to'liq ma'mur huquqlari bilan amalga oshiradi.
Joriy siyosat parametrlari Ro'yxatdan o'tish:
; "FilterMinsitatatatatatatatatatatatatatatatatatatatatatatatatrathoken" ni o'chiring: 00000000
Xulosa
Ushbu maqola foydalanuvchi hisoblarini monitoring qilish uchun barcha mumkin bo'lgan sozlamalar haqida hikoya qiladi. UAA bilan bog'liq barcha mumkin bo'lgan harakatlar uchun javobgar bo'lgan o'nta xavfsizlik siyosati hisoblanadi. Hisobni boshqarish guruhi yordamida guruh siyosatidan foydalangan holda, ular bilan tenglashtirilgan ro'yxatga olish kitoblari hisobga olinadi.
Ura(Foydalanuvchi qayd yozuvini boshqarish) - birinchi marta paydo bo'lgan monitoring hisoblari texnologiyasi Windows Vista. Va undan katta. Ushbu texnologiya administrator huquqini talab qiladigan tadbirlarni amalga oshirish uchun dasturlarni taqiqlaydi. Bunday harakatlarning dasturini bajarishda uning ishi to'xtatib qo'yilgan va foydalanuvchi derazani xavfsiz ish stoliga so'rov bilan chiqaradi (OK dasturiy oqimini bosish uchun). Masalan, agar sizning dasturingiz ro'yxatga olish bo'limiga o'zgartirishlar kiritish kerak bo'lsa HKEY_LOCal_machinU administrator huquqiga muhtoj bo'ladi.
Ushbu muammoni hal qilish uchun siz ushbu loyihani amalga oshirishingiz kerak bo'lgan parametrlarni o'qiydigan va avtomatik ravishda aniqlaydigan loyihaga aniq faylni amalga oshirishdan foydalanishingiz mumkin.
"Ilovada" aniq faylning amalga oshirilishini ko'rib chiqing " Windows shakli" Buning uchun ochiq vizual studiya (ushbu misolda, 2012 versiyasi qo'llaniladi) va loyihani yaratish " Windows shakli" Ochiq " Echim qidiruvchisi."(Echimlar brauzerlari), bu loyihalar va ularning fayllarini buyurtma berishni ta'minlaydi, menyuga o'ting" Ko'rinish» - « Kuzatuvchi echimlar" Sichqonchaning o'ng tugmachasini ishga tushiring " Yo'lustikaga rioya qilish»Loyihaning nomi bilan va kontekst menyudan, elementni tanlang Qo'shmoq» - « Elementni yarating ...».
1) Daraja.- Majburiy majburiy. Ilova tomonidan talab qilinadigan xavfsizlik darajasini belgilaydi. Ushbu atribut uchun quyidagi qiymatlar mavjud:
- asinvoker- Arizada ota-onalar jarayoni huquqlari bilan boshlanadi. Bu shuni anglatadiki, agar dastur ma'murlik huquqlari bilan ishlaydigan dasturdan boshlangan bo'lsa, u avtomatik ravishda bir xil huquqlarga ega bo'ladi. Ushbu rejim ko'p hollarda Microsoft tavsiya etiladi. Ular. Bu dasturlar ma'murlik huquqlarini talab qilmaydigan dasturlar;
- eng yuqori- ariza joriy foydalanuvchiga qaraganda oliy huquqlardan boshlanadi. Bunday huquqlar bilan Regedit.exe, MMC.exe;
- keraksiz.- To'liq ma'mur huquqlari talab qilinadi. Ular. Administrator huquqisiz ishlamaydigan talablar uchun talab qilinadi.
Ilovalarni o'rnatish " Clickonce.»Faqat" Asinvoker "qiymati bilan mumkin. Boshqa har qanday qiymat bilan o'rnatish mumkin emas.
2) uycccess.- Ixtiyoriy. Ilova maxsus funktsiyalarni amalga oshirish uchun foydalanuvchi interfeysining xavfsiz elementlaridan foydalanish imkoniyatini talab qiladimi. Mavjud qiymatlar " to'g'ri."Va" yolg'on", standart qiymati" yolg'on". Qiymat" to'g'ri."Biz faqat arizalarni imzolashimiz va" \\ dastur fayllari \\ "va" \\ Windows \\ System32 \\ ". Ko'pincha, bu kerak emas.Dastur ma'mur darajasiga bo'lgan huquqni oshirish uchun atributda almashtiring " Daraja.»Standart qiymati" asinvoker" ustida " keraksiz.».
Satr s \u003d yangi WindowsPrincIpal (WindowsFolrent ()). Izinrot (WindowsBuiltinRele.adMIDMINTER)? "Administrator": "Oddiy foydalanuvchilar"; Agar sizda konsol qo'llanma bo'lsa, unda buning uchun harakatning printsipi bir xil.
Umuman olganda, imtiyozlarni oshirish maqsadida bizga erishish uchun bizga yordam berish uchun usullar mavjud.
Ushbu kichik maqolaning boshlang'ich nuqtasi - bu isitilmagan qobiq (hisob). Ehtimol, biz ekspluatatsiyadan foydalandik yoki hujum o'tkazdik va bu qobig'ini oldim.
Aslida, dastlabki lahzada biz mashinani tushunmaymiz: u nima bilan bog'liq, u nima bilan bog'liq, bizda qanday sharafli imtiyozlar va hatto operatsion tizim nima bo'lishi kerakligi yoki hatto operatsion tizim nima bo'lgan.
Birinchidan, biz hammamiz qayerda ekanligimizni tushunishingiz kerak va bizda bor narsa borligini tushunishimiz kerak:
SystiinFO | Findstr / b / c: "OS nomi" / C: "OS versiyasi"
Ushbu jamoa sizga u qanday ko'rinishi, OS nomi va versiyasini aniqlash imkonini beradi. Siz uni parametrlarsiz bajarishingiz mumkin, keyin buyruq chiqarish ko'proq to'liq bo'ladi, ammo biz uchun etarli.
- hostname - Foydalanuvchi nomi.
- echo% Foydalanuvchi nomi% - foydalanuvchi nomi.
- sof foydalanuvchilar - boshqa foydalanuvchilar
- net Foydalanuvchi1 - Foydalanuvchi1 foydalanuvchi to'g'risidagi batafsil ma'lumot, u erda foydalanuvchiingizning ismidir.
Avval biz mavjud interfeyslarga va marshrut jadvalini ko'rib chiqamiz.
- iPConFig / Hammasi - mavjud interfallar haqida ma'lumot.
- yo'nalish bosqichi - marshrutlash jadvali
- arp -a - arp stol yozuvlari
- netSTat --No - faol tarmoq ulanishlari.
-N - parametr sizga faol TCP ulanishlarini manzillar va port raqamlari bilan ko'rsatishga imkon beradi;
- Oldingi kalitlar bilan bir xil, faol TCP ulanishlari bilan bir xil, ammo jarayonlar kodlari statistikaga qo'shiladi, siz ulanishni aniq ishlatishingiz mumkin.
- netsh Firewall Show shtatlari - xavfsizlik devori holati
- netsh Firewall Construct - Firewall konfiguratsiyasi
Schtishasks / so'rov / fo ro'yxati / v
Qayerda
/ So'rov - barcha rejalashtirilgan vazifalar bo'yicha ma'lumotlarni ishlab chiqarish,
/ Fol ro'yxati - ro'yxatga chiqish.
/ V - vazifa haqida ma'lumot.
Ishlash jarayonlarini ishlaydigan ishlarni amalga oshirish bo'yicha quyidagi buyruqlarni boshqarish.
Vazifa ro'yxati / SVC.
Qayerda,
/ SVC - Har bir jarayon uchun xizmat ko'rsatish xizmatlari.
Shuningdek, biz Windows Hower xizmatlarining ro'yxatini ham ko'ramiz.
Net start.
Shuningdek, murosasi tizimining haydovchilari haqidagi ma'lumotlarni ko'rish juda foydali.
Asrineriya.
Keyingi, men eng foydali Windows buyrug'i - WMIC-ni eslatib o'taman. WMIC buyrug'i (Windows Seatch Incontratsiya buyrug'i) uskunalar, jarayonni boshqarish va ularning tarkibiy qismlari haqida ma'lumot olish, shuningdek Windows Magistratura yoki WMI) yordamida sozlamalarga o'zgartirishlar kiritiladi. Yaxshi tavsif.
Afsuski, agar foydalanuvchi ma'murlar guruhiga kiritilmagan bo'lsa, WMIC-ga kirish huquqiga ega emas (bu juda yaxshi g'oya). Har qanday XP versiyasi WMIC-ni qaytarib berilmagan hisobdan foydalanishiga yo'l qo'ymadi.
Aksincha, Windows 7 professional va Windows 8 Entercument WMIC-dan foydalanish uchun past imtiyozli foydalanuvchilar foydalanishi mumkin bo'lgan foydalanuvchilar.
Maxsus dasturiy parametrlar:
Keyinchalik borishdan oldin, yig'ilgan ma'lumotlarda yugurish kerak. Shuningdek, tizimda o'rnatilgan yamalar uchun e'tibor berish kerak, chunki tizimdagi teshiklar haqidagi har qanday ma'lumotlar o'z imtiyozlarini oshirish uchun qo'shimcha yordam beradi. HOTFIX raqamida siz imtiyozlarni oshirish uchun zaiflikni qidirishingiz mumkin.
Keyin, biz avtomatik o'rnatishni ko'rib chiqamiz. Agar asosiy parklarni o'rnatish va sozlash zarurati bo'lsa, unda qoida tariqasida, texnik xodimlar mashinaning har birini shaxsiy sozlash uchun mashinadan mashinaga o'tmaydilar. Avtomatik o'rnatish uchun bir nechta echimlar mavjud. Bu biz uchun unchalik muhim emaski, ular usullar va ular qanday ishlashi juda muhim emas, lekin ular mahsulot kaliti va ma'mur paroli kabi ko'plab maxfiy ma'lumotlarni o'z ichiga olgan konfiguratsiya fayllarini qoldirib ketishi juda muhimdir. Bizni eng katta qiziqishlar, biz imtiyozlarimizni ko'paytirish uchun ishlatishimiz mumkin bo'lgan ma'mur parolidir.
Qoida tariqasida, bular quyidagi kataloglar:
- c: \\ syspreRE.inf
- c: \\ syspre \\ syspreRE.xml
- % Windrir% \\ Panther \\ Ko'rsatma \\ qaratib bo'lmaydigan.xml
- % Windr shaklidagi% \\ pantter \\ qaratib bo'lmaydigan.xml
Ushbu fayllarda ochiq shaklda yoki kodlash bazasida parol mavjud.
Misollar:
Sysprep.inf - parol ochiq shaklda.
SyspreRE.xml - parol 64 kodlash.
"
Boad64 kodlashda qarovsiz.xl - parol.
Shuningdek, domenga ulangan mezbonlar uchun siz shifrlangan AES256 parolini o'z ichiga olgan Guruh.xml faylini qidirishingiz mumkin, ammo uni shifrlash mumkin, chunki Kalit MSDN (https:/mddn.microsoft.com/en-Ubus/cibrary/cc4292424242424.aspx) va boshqa manbalarda. Ammo bu, agar mahalliy foydalanuvchilarni mezbonlarda yaratishda siyosati ishlatilsa yoki, masalan, parol mahalliy ma'mur ekanligini ko'rsatuvchi bo'lsa.
Masalan, men bu erda yotaman:
Uni ochish, biz "Ekspassword" parametrini qidirmoqdamiz.
Keyinchalik, siz ushbu ketma-ketlikni shifrlashingiz kerak. Biz, masalan, kripteldan foydalanamiz. Birinchidan, biz 74-ni dekodlashamiz.
Xususiyat64 xususiyatlari shundaki, uning uzunligi 4 dan oshishi kerak, shuning uchun biz 4-ning bloklarini ko'rib chiqamiz va oxirgi blokda belgilar etarli bo'lmasa, unda etishmayotgan "\u003d" belgilari mavjud.
Menda 2 "\u003d".
Biz belgilarni baham ko'radigan va parolni olishni olib tashlaymiz.
Group.XML-ga qo'shimcha ravishda, bu erda boshqa bir nechta siyosat imtiyozli fayllar mavjud, ular qo'shimcha "Eksprword" ning qo'shimcha xususiyatlariga ega bo'lishi mumkin:
- Xizmatlar \\ Xizmatlar.xml.
- Rejalashtirilgan stantkalar \\ RealDTasks.XML
- Printerlar \\ printerlar.xml.
- Drayverlar \\ disk.xml
- DataSource \\ DataSources.xml.
Bundan tashqari, ushbu ro'yxatga olish kitobi yozuvlari o'rnatilganligini tekshirishimiz kerak va agar shunday bo'lsa, biz tizim qobig'ini olishimiz mumkinligini tekshirishimiz kerak. Tekshirish:
Report so'rovi hklm \\ dasturiy ta'minot \\ polislar \\ Microsoft \\ Windows \\ Windows \\ doim
AG Sery HKCU \\ Dasturi \\ polislar \\ Microsoft \\ Windows \\ Windows \\ doim
Metasploit maxsus ekspluat / Windows / Windows / Down / Doim_install_El_install_El_install_El_install_eleweVeVEVEVEVEVED modulini o'z ichiga oladi, u tizim imtiyozlari bilan o'rnatilgan maxsus ijrochi fayl bilan MSI faylini yaratadi va tizim imtiyozlari bilan o'rnatiladi. MSI faylini bajargandan so'ng tizimda ishlashning oldini olish uchun o'rnatishni to'xtatadi. Bundan tashqari, agar siz o'rnatishni / sokin kalit bilan o'rnatishni boshlasangiz, u hatto xato qilmaydi.
Xo'sh, tizimda bir nechta foydali jamoa:
Quyidagi buyruq ma'lum kalit so'zlarni o'z ichiga olgan fayl tizimidagi fayl nomlarini qidiradi. Siz har qanday kalit so'zlarni belgilashingiz mumkin.
Dir / S * Pass * \u003d\u003d * CREAL * \u003d\u003d * VNC * \u003d\u003d * .Konfig *
Kalit so'z bilan maxsus fayllarning o'ziga xos turlarini qidiring, ushbu buyruq juda ko'p mahsulot ishlab chiqarishi mumkin.
Findstr / Si parol * .xml * .txt
Shunga o'xshab, ushbu holatda grep ro'yxatga olish kitobining kalit so'zlari uchun quyidagi ikkita buyruqdan foydalanish mumkin.
REG so'rovi hklm / f parol / t reg_sz / s
REG so'rovi hkcu / f parol / t reg_sz / s
Ayni paytda bizda tizimli yurish uchun etarli mablag 'bor. Ammo istalgan natijaga erishish uchun hali ham hujum bosh direktori bor: biz Windows-ni va fayllar va papkalarni qidiramiz. Bizning golimiz bu sessiya imtiyozlarini oshirish uchun zaif ruxsatlardan foydalanish.
Biz ko'plab foydalanish huquqlarini tekshiramiz, bu AppicChk.exe-ga yordam beradi, bu esa Microsoft Sysinters Suitals kompaniyasining vositasidir. Microsoft Sysiningternalsalari juda yaxshi vositalar mavjud. To'plamni Microsoft Technet veb-saytidan yuklab olish mumkin (https://docs.microsoft.com/ru-ru/simu/simu/sysinals/downloads/sasysinters-suit).
Biz har bir xizmat uchun kerakli imtiyoz darajasini tekshiramiz.
Biz har bir foydalanuvchi darajasini ko'rishimiz mumkin.
AcceChk-ni avtomatik ravishda foydalanuvchi darajasiga ega bo'lganingiz uchun avtomatik ravishda tekshirishi mumkin. Qoida tariqasida, imtiyozli foydalanuvchi sifatida biz "foydalanuvchilarni" tekshirishni xohlaymiz. Ular qaysi foydalanuvchilarning qaysi guruhlariga tegishli ekanligingizni tekshirishlariga ishonch hosil qiling.
SSDPSRV kabi Windows xizmati sifatida, masalan, barcha xizmatlarni ko'rsatish uchun "*" ni belgilash
-D faqat kataloglarni qayta ishlash
- Chiqish faqat yaxlitlik darajasini aniq belgilang (faqat Windows Vista uchun)
-K nomi AGLM \\ dasturiy ta'minotining nomi bilan belgilanadi
-N chiqish faqat kirish huquqiga ega bo'lmagan ob'ektlar
- Ism sifatida ism yoki jarayon identifikatorini (PID) ko'rsatganligi sababli, masalan, CMD.EXE barcha jarayonlarni ko'rsatish uchun "*" deb belgilang.
-Q sarlavhani pastga tushiring
-r chiqish faqat o'qishga kirish imkoniyati mavjud
-sessiv davolash
-V Chiqish haqida batafsil ma'lumot
- Faqat kirish mavjud bo'lgan narsalarni namoyish eting
Yana bir qiziqarli jamoa ham bor:
AutunCc.exe -A | Findst / n / r "fayl \\ topilmadi"
Avtomatik boshlangan fayl reestrida yozuvni topishga imkon beradi, ammo endi tizimda endi yo'q. Yozish, masalan, xizmat noto'g'ri o'chirilgan bo'lsa, yozish mumkin edi. Har safar ishga tushirganingizda, tizim ushbu faylni ishga tushirishni muvaffaqiyatsiz boshlay boshladi. Ushbu holat, shuningdek, sizning vakolatingizni kengaytirish uchun ham ishlatilishi mumkin. Bu shunchaki ushbu faylning o'rniga, siz bizning o'rnini bosa olasiz.
Birinchidan: Grestaseer-dan Parvez tomonidan yozilgan post natijalarini takrorlang; "Kuchli papka ruxsatlarini ishlatish orqali" (http://www.greyhhatacker.net/?p\u003d738).
Ushbu misol - bu Dll o'g'irlashning alohida holati. Dasturlar odatda o'zimizga tegishli emas, ular (asosan dll, balki o'zlarining fayllari ham). Agar dastur yoki xizmat katalogdan yuklab olinsa, biz uni dasturni amalga oshiradigan imtiyozlar bilan qobiqni ishlatish uchun biz uni suiiste'mol qilishimiz mumkin.
Qoida tariqasida, Windows ilovasi oldindan ishlangan qidiruv yo'llaridan foydalanadi va u bu yo'llarni ma'lum bir tartibda tekshiradi. DLL O'g'rini o'g'irlash odatda zararli glslarni joylashtirish orqali sodir bo'ladi. Bu muammoni to'liq yo'llarni talab qilinadigan DLLga qo'llash orqali yo'q qilish mumkin.
DLL qidirish tartibi:
- Ilova ishlayotgan katalog
- 32-bitli tizim katalogi (C: \\ Windows \\ Syme32)
- 16-bit tizimi katalog (C: \\ Windows \\ tizim)
- Windows katalogi (C: \\ Windows)
- Ishlayotgan ish katalogi (CWD)
- O'zgaruvchining yo'l atrofidagi kataloglar (tizim o'sha foydalanuvchi foydalanuvchisi)
Dll yo'qligi sababli, biz butun qidiruv yo'llaridan o'tamiz. Kam imtiyozli foydalanuvchi sifatida biz zararli gllni n zararli dog 'qo'yish uchun ozgina imkoniyatga ega bo'ldik. Ammo agar bizda biron bir katalogga yozish imkoniyati mavjud bo'lsa, unda g'alaba qozonish imkoniyatimiz katta.
Keling, bu amaliyotda qanday ishlashini ko'rib chiqaylik, masalan, biz WlsCtrl.dll-ni yuklab olishga harakat qiladigan iCeext (Ikpec ike vaTe modullari) xizmatidan foydalanamiz.
"C: \\" Katalogda har qanday katalogda tasdiqlangan foydalanuvchilarga kirish huquqiga kiradi, bu bizga imkoniyat beradi.
C: \\ Foydalanma \\ User1 \\ donaktop\u003e EcceChchk.exe -DQV "C: \\ piton27"
C: \\ Python27 O'rta majburiy darajasi (Standart) RW buıltın \\ Administratorlar FILE_ALL_ACCESS RW NT AUTHORITY \\ system FILE_ALL_ACCESS R buıltın \\ Users FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE sinxronlashtirish READ_CONTROL RW NT AUTHORITY \\ kimligi tasdiqlangan foydalanuvchilar FILE_ADD_FILE FILE_ADD_SUBDIRECTORY FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE FILE_WRITE_ATTRIBUTES FILE_WRITE_EA DELETE sinxronlashtirish READ_CONTROL
C: \\ Foydalanmalar \\ User1 \\ derkop\u003e iCakcls "C: \\ piton27"
C: \\ python27 Yetasin \\ Ma'mur: (ID) FEASIN \\ Ma'murlar: (IO) (ID) f Nt Officent \\ tizim: (CI) (CI) Io) (ID) Flane \\ Foydalanuvchi: (ID) R NT Office \\ Auted \\ R NT Official \\ aatilayotgan foydalanuvchilar: (IO) (ID) c
F - to'liq kirish.
(Oy) - meros ob'ektlari.
(Ci) - meros idishlari.
(Io) - faqat meros.
(NP) - merosni taqsimlashni taqiqlash.
(I) - ota-ona konteyneridan ruxsatnomalarning merosi.
Harakatni davom ettirishdan oldin, siz iCext xizmatining holatini tekshirishingiz kerak. Bunday holda, u "Auto_Start" ga o'rnatilganini ko'rishimiz mumkin!
Sc Qc ikeext
QuerySerSerceConfig Muvaffaqiyatli Service_name: 20 win32_shoce_powne_costhe_costhe_costhe_costhe_costhe: 2 Auto_stath.xroup: 2 Auto_stath.xroup: Bfe Service_start_name: Jokol
Endi biz zarur sharoitlarga ega ekanligimizni bilamiz va biz zararli dll va qobiqlarni ushlashimiz mumkin!
Biz Metaploit-ni ishlatimiz, masalan, bu masalan, bu.
Yomon kompyuterni bizning maqsadli kompyuterimizga yuborganingizdan so'ng, biz uni Wlbsctrl.dll.dll-da o'zgartiramiz va "C: \\ piton27" ga o'ting. Bajarib o'tishi bilanoq, biz sabr-toqatni qayta ishga tushirishni kutishimiz kerak (yoki majburan qayta ishga tushirishga harakat qilishimiz mumkin) va biz tizimli qobiq olamiz.
Yovvoyi.dll c: \\ python27 \\ wlsctrl.dll
Shundan so'ng, bu tizimni qayta ishga tushirishni kutish kerak.
Bizning oxirgi misolimiz uchun, rejalashtirilgan vazifalarni ko'rib chiqamiz. Men printsipni tasvirlab beraman, chunki Har kim har xil holatlarga ega bo'lishi mumkin.
Biz tizimdan ish rejimida ishlash jarayonini, xizmatini, dasturni topamiz.
Bizning maqsadimiz bo'lgan papkaga kirish huquqini tekshiring.
Eccesschk.exe -DQV "Path_k_eli"
Bu jiddiy konfiguratsiya muammosi ekanligi aniq, ammo har qanday foydalanuvchi foydalanuvchi (haqiqiy foydalanuvchi) ushbu papkaga kirish huquqiga ega ekanligi aniq. Shu misolda biz metrploitda ishlab chiqarilgan Ikkilik bajariladigan fayl faylini yozib olishimiz mumkin.
Siz qo'shimcha ravishda kodlashingiz mumkin.
Endi bu faqat zararli kuchni yuklash va uni bajariladigan faylning jildiga yozish. Bajarib o'tishi bilanoq, biz tizimli yurish uchun biz yotoqda va erta tongda boramiz.
Ushbu ikkita misol bizga fayllar va papkalarga ruxsatnomalarni ko'rib chiqishda kerak bo'lgan zaifliklar haqida ma'lumot berishimiz kerak. Windows xizmatlari, rejalashtirilgan vazifalari va vazifalari uchun barcha Binparat yo'llarini o'rganish uchun vaqt kerak bo'ladi.
Va nihoyat, ENCESCHK.exe-dan foydalanish bo'yicha bir juft maslahatlar.
Diskdagi papkalar uchun barcha zaif ruxsatlarni toping.
EcceSchk.exe --uwqs foydalanuvchilari C: \\ uppkchk.exe - "Tasdiqlangan foydalanuvchilar" C: \\
Diskdagi fayllar uchun barcha zaif ruxsatlarni toping.
EcceChchk.exe -UWQS foydalanuvchilari C: \\ *. * ENCESCHK.Exe - "Tasdiqlangan foydalanuvchilar" c: \\ *. *
Bu kabi ko'rinadi.
Ishga tushirish davridagi ko'plab dasturlarni ko'tarish huquqini talab qiladi (ikonkacha), ammo aslida ularning normal ma'mur huquqlari uchun ular talab qilinmaydi (masalan, siz dasturlar uchun dasturlar katalogiga foydalanuvchilarga dasturlar katalogiga va ro'yxatga olish kitobida qo'lda berishingiz kerak Dastur tomonidan ishlatiladigan filiallar). Shunga ko'ra, agar siz hisobni boshqarish yoqilgan bo'lsa, ushbu dasturni oddiy foydalanuvchidan boshlaganingizda, UAC so'rovi paydo bo'ladi va siz Administrator parolini kiritishingiz kerak. Ushbu mexanizmni aylanib chiqish uchun ko'pchilik UACni o'chirib, uni Administratorning kompyuterdagi o'ng tomoniga mahalliy ma'murlar guruhiga qo'shib taqdim eting. Tabiiyki, ikkalasi ham xavfli.
Nega odatiy ariza ma'mur huquqlariga muhtoj bo'lishi mumkin
Ma'mur huquqlari ushbu fayllarni (jurnallar, konfiguratsiyalar va hk) o'zgartirish uchun C: \\ Dastur fayllari (X86) \\ SSAEAPP) ni o'zgartirish dasturi tomonidan talab qilinishi mumkin. Odatiy bo'lib, foydalanuvchilar bunday dasturning normal ishlashi uchun ushbu katalogni tahrirlash huquqiga ega emaslar, ma'mur huquqlari, ma'mur huquqlari zarur. Ushbu muammoni hal qilish uchun siz dastur bilan foydalanuvchi (yoki guruh foydalanuvchilari) uchun o'zgartirish / yozish huquqini qo'lda o'zgartirish / yozish huquqini qo'lda berish / yozish huquqini qo'lda berish uchun qo'lda qo'lda berishingiz kerak.
Eslatma. Aslida, C: \\ dastur fayllari noto'g'ri, dastur ma'lumotlarini o'zgartirish amaliyoti C: \\ Dastur fayllari noto'g'ri. Ilova ma'lumotlarini foydalanuvchi profilidagi saqlash yanada to'g'ri. Ammo bu ishlab chiqaruvchilarning dangasalik va qobiliyatsizligi haqidagi savol.
Normal foydalanuvchidan ma'murni talab qiladigan dasturni boshqarish
Biz ilgari Runasinvokokoker-dan foydalanib, avvalgidek tavsifladik. Biroq, bu usul moslashuvchan emas. Shuningdek, siz ma'mur parolini saqlash / sertifikatni saqlash bilan foydalanishingiz mumkin (shuningdek, xavfsiz). UAA (4,3 yoki 2 darajasi) bilan Administrator huquqisiz har qanday dasturni (va administrator tomonidan boshqarilmasdan) joriy qilishning soddalashtirilgan usulini ko'rib chiqing.
Masalan, reestr tahririni tahrirlash - regedit.exe (U C: \\ Windows \\ System32 katalogi). Regedit.exe boshlanganda, UAA derazasi paydo bo'ladi va agar siz imtiyozni tasdiqlamagan bo'lsangiz, muharrir boshlanmaydi.
Ish stolida fayl yarating ma'muriyatsiz Note.bat Quyidagi matn bilan:
cMD / MIN / C '__compat_layer \u003d Runasinvoker va & "% 1" ni boshlang
Endi arizani ma'mur huquqisiz boshlashga majbur qilish va UAA so'rovini bostirish uchun, shunchaki istalgan Exe faylini ish stolida torting.
Shundan so'ng, ro'yxatga olish muharriri UAC so'rovining ko'rinmasisiz boshlanishi kerak. Jarayon menejerini oching va ustun qo'shing Baland (Ruxsat etilgan), tizimga doimiy bo'lmagan holatga ega bo'lgan regedit.exe jarayoniga ega (foydalanuvchi huquqlari bilan ishga tushirilgan).
HKLM filialida istalgan parametrni tahrirlashga urinib ko'ring. Ushbu filialda reestr tahririga kirish huquqini qanday ko'rasiz (ushbu foydalanuvchi registr tizimlari filiallariga yozish huquqiga ega emas). Ammo siz o'z foydalanuvchiingizning ro'yxatga olish filiali - HKKU-da tugmachalarni qo'shishingiz va tahrirlashingiz mumkin.
Shunga o'xshab, siz bat faylini va aniq dastur orqali ishlashingiz mumkin, u bajariladigan faylga yo'lni ko'rsatish kifoya.
ma'muriyatsiz Note-Not.bat
Dasturpatni o'rnating \u003d "C: \\ dastur fayllari \\ myPApp \\ pistApp.exe"
cMD / MIN / C "__compat_layer \u003d Runasinvokere &&"% dasturpat% "boshlang'ich
Shuningdek, siz ochilish huquqining o'sishiga imkon beradigan barcha ilovalarga qo'shilgan kontekst menyusini qo'shishingiz mumkin. Buning uchun keyingi rej faylini yarating va uni reestrga olib kiring.
Windows regrafiya muharriri 5.00 versiyasi
@ \u003d "CMD / MIN / C \\" __compat_layer \u003d Runasiinvokere && \\ "% 1 \\" \\ ""
Shundan so'ng, ma'mur huquqisiz biron bir dasturni boshlash uchun, kontekst menyusida "" Elementni tanlash kifoya.
Atrof muhit o'zgaruvchisi __compat_Leyer va Runasinvoker
Atrof muhit o'zgaruvchisi __compat_Leyer sizga dasturlar uchun turli xil moslashuv darajasini o'rnatishga imkon beradi (jadval) Muvofiqlik Exe fayl xususiyatlarida). Ushbu o'zgaruvchidan foydalanib, siz dasturni boshqarishni xohlagan moslik sozlamalarini belgilashingiz mumkin. Masalan, Windows 7 bilan muvofiqlik rejimida dasturni ishga tushirish va 640 × 480-sonli:
__compat_layer \u003d Win7RTM 640x480
Bizga qiziqish variantlari, __compat_Leyer o'zgaruvchisi quyidagi parametrlarni ta'kidlaydi:
- Runashinvoker - UAC so'rovisiz ota-ona jarayoni imtiyozlari bilan dasturni boshlash.
- Runashi engil. - foydalanuvchi uchun mavjud bo'lgan maksimal huquqlar bilan dasturni ishga tushirish (UAA so'rovi foydalanuvchi administrator huquqiga ega bo'lsa).
- Runasadmin. - Administrator huquqlari bilan qo'llanmani o'tkazing (AUC so'rovi har doim paydo bo'ladi).
Ular. Runasinvoker parameter ma'murlik huquqlarini ta'minlamaydi va faqat UAC derazasining ko'rinishini bloklaydi.
Davlat xizmatlari Shaxsiy hisob
Dekil va telefonga kirish davlat nazorati -
Rossiya Federatsiyasida yagona telefonni qutqarish xizmati