Memperbaiki Kerentanan Preloading DLL dengan Dasar Kumpulan - Bagaimana Untuk

Memperbaiki Kerentanan Preloading DLL dengan Dasar Kumpulan

Microsoft telah mengeluarkan patch untuk menetapkan kelemahan di mana "buruk" DLL boleh dimuatkan dari SMB atau WebDAV. Setelah digunakan, patch memerlukan kemasukan pendaftaran untuk membolehkan perlindungan. Microsoft telah mengeluarkan alat FixIt, tetapi ini tidak membantu kedai-kedai yang mempunyai banyak mesin dengan Dasar Kumpulan.

Kami akan menggunakan Keutamaan Dasar Kumpulan untuk menggunakan kunci. Pelanjutan Keutamaan Dasar Kumpulan dimasukkan ke dalam Windows Vista dan kemudian, dan merupakan kemas kini yang tersedia untuk XP SP3. Penetapan itu ditulis untuk SBS 2008 tetapi boleh digunakan di mana-mana persekitaran domain di mana GP digunakan.

8 langkah total

Langkah 1: Prasyarat

Anda perlu menggunakan kemas kini patch DLL itu sendiri, KB2264107, dan untuk klien XP, Klien Keutamaan Dasar Kumpulan.

Langkah 2: Buat GPO baharu

Buka Konsol Pentadbiran Dasar Kumpulan (GPMC.MSC) yang dilantik sebagai pentadbir. Klik pada domain anda dan klik ke bawah ke OU yang anda mahu - dalam cara ini, saya akan menentukan SBSComputers. Bagi kebanyakan kedai, OU mungkin "Komputer" atau "Pelanggan"; adalah yang terbaik untuk tidak menggunakannya ke domain lalai sehingga ia diuji. Klik kanan pada OU anda dan klik "Buat dan Taipkan GPO sini". Namakannya "Pencegahan Kerentanan Memulihkan DLL".

Langkah 3: Edit Keutamaan GP

Setelah GPO dibuat, klik kanan padanya sekali lagi dan pilih Edit. Pilih Konfigurasi Komputer / Keutamaan / Tetapan Windows / Pejabat Pendaftaran. Klik kanan item Pendaftaran dan pilih Item Baru / Pendaftaran.

Langkah 4: Pilih kemasukan Pengurus Sesi dalam pendaftaran


Di tetingkap yang ditunjukkan di sebelah kanan, klik butang [...] untuk menyemak imbas pendaftaran. Pilih SYSTEM / CurrentControlSet / Control / Session Manager. TIDAK membuka sebarang subkey di bawah Pengurus Sesi. Klik Pilih.

Langkah 5: Tambah nilai DWORD CWDIllegalinDllSearch


Tambah nilai DWORD baharu, bernama "CWDIllegalInDllSearch". Masukkan data nilai untuk kekunci ini, 2. (Lebih lanjut mengenai tetapan ini kemudian.) Klik OK.

Langkah 6: Tutup Editor dan Konsol GPO

Tutup editor dan konsol GPO.

Langkah 7: Kemas kini Dasar Kumpulan

Keutamaan kini akan digunakan dalam Dasar Kumpulan. Jika anda ingin mengemas kini tetapan pada klien dengan lebih cepat, dari klien menjalankan gpupdate / force.

Langkah 8: Tetapan DLL ganti untuk menyekat pemuatan dari peranti USB

Nilai yang disyorkan untuk CWDIllegalinDllSearch ialah 2. Ini akan menghalang pemuatan DLL dari lokasi SMB dan WebDAV. Terdapat tetapan yang lebih ketat yang akan menyekat pemuatan DLL dari peranti USB juga. Untuk membuat perubahan itu, pada langkah 5, masukkan FFFFFFFF untuk nilai dan pastikan butang Radio Nilai Dasar ditetapkan ke Hexadecimal.

Pastikan anda menyemak pautan Microsoft untuk maklumat lanjut, dan dapatkan patch jika anda belum melakukannya. Terdapat kit ujian kelemahan yang boleh didapati dari Metasploit.org, yang saya telah sambungkan. Ujian ini akan mengambil masa kira-kira 20 minit dan secara automatik akan menghasilkan laporan mengenai aplikasi yang terjejas.