Фіксація DLL попереднього навантаження Уразливість з груповою політикою - Як

Фіксація DLL попереднього навантаження Уразливість з груповою політикою

Корпорація Майкрософт випустила виправлення для виправлення уразливості, де можуть бути завантажені "погані" бібліотеки DLL з SMB або WebDAV. Після застосування патч потребує запис реєстру, щоб увімкнути захист. Microsoft випустила інструмент FixIt, але це не допомагає магазинам, які мають багато машин з груповою політикою.

Для розгортання ключа ми будемо використовувати параметри групової політики. Розширення налаштувань групової політики включено до Windows Vista та пізніших версій і є доступним оновленням для SP3 для XP. Виправлення написано для SBS 2008, але застосовується в будь-якому доменному середовищі, де використовується GP.

Загалом 8 кроків

Крок 1: Передумови

Вам потрібно буде розгорнути само оновлення патча DLL, KB2264107 і для клієнтів XP - клієнт налаштувань групової політики.

Крок 2. Створіть новий GPO

Відкрийте консоль адміністрування групових політик (GPMC.MSC), підняту як адміністратор. Натисніть на свій домен і клацніть вниз до OU ви хочете - в цьому, як, я буду вказувати SBSComputers. Для більшості магазинів OU може бути "Комп'ютери" або "Клієнти"; краще не застосовувати його до домену за умовчанням, поки не буде перевірено. Клацніть правою кнопкою миші на вашому підрозділі і натисніть кнопку "Створити та пов'язати GPO тут". Назвіть його "Запобігання вразливості DLL Preloading".

Крок 3: Редагування параметрів GP

Після створення об'єкта групової політики клацніть правою кнопкою миші і виберіть Редагувати. Виберіть Налаштування комп'ютера / Параметри / Параметри Windows / Реєстр. Клацніть правою кнопкою миші пункт Registry і виберіть пункт New / Registry Item.

Крок 4: Виберіть запис диспетчера сеансів у реєстрі


У вікні, показаному праворуч, натисніть кнопку [...], щоб переглянути реєстр. Виберіть SYSTEM / CurrentControlSet / Control / Session Manager. НЕ відкривайте підрозділи в розділі Менеджер сеансів. Натисніть Вибрати.

Крок 5. Додайте значення DWORD для CWDIllegalinDllSearch


Додайте нове значення DWORD з ім'ям "CWDIllegalInDllSearch". Введіть дані про значення для цього ключа, 2. (Докладніше про цю настройку пізніше.) Натисніть OK.

Крок 6: Закрийте редактор GPO і консоль

Закрийте редактор GPO і консоль.

Крок 7. Оновлення групової політики

Тепер налаштування застосовуватимуться до групової політики. Якщо ви хочете оновити параметри на клієнті швидше, від клієнта запустіть gpupdate / force.

Крок 8: Альтернативна настройка DLL для блокування завантаження з пристроїв USB

Рекомендоване значення для CWDIllegalinDllSearch - 2. Це заблокує завантаження DLL з розташувань SMB і WebDAV. Існує більш обмежувальне налаштування, яке блокує завантаження DLL з пристроїв USB. Щоб зробити це, в кроці 5 введіть FFFFFFFF для значення та переконайтеся, що перемикач Value Base встановлено на Шістнадцяткову.

Не забудьте перевірити посилання Microsoft для отримання додаткової інформації та отримати виправлення, якщо ви цього ще не зробили. Існує набір тестів на уразливості, доступний на сайті Metasploit.org, до якого я зв'язався. Цей тест займе приблизно 20 хвилин і автоматично генеруватиме звіт про зачеплені програми.