У претходном чланку смо говорили о томе како је једна од техника заштите од вађења лозинки из Виндовс меморије помоћу услужних програма сличних мимикатз-у спречавање привилегија за уклањање погрешака за администраторе система помоћу коришћења смерница програмске групе за отклањање грешака. Међутим, недавно је откривено да без исправљања погрешака (за Виндовс ово није привилегија) СеДебугПривилеге), локални администратор сервера не може инсталирати или ажурирати Мицрософт СКЛ Сервер. Чињеница је да инсталацијски програм СКЛ Сервер при покретању провјерава има ли привилегија СеСецурити. СеБацкуп и СеДебуг, који су му потребни да покрене процес СКЛ Сервер и добије информације о успешном покретању СКЛ Сервера. Овако то изгледа.
Током инсталације СКЛ Сервера, приликом обављања прелиминарних провера, инсталатер се спотакнуо на чек Подесите повластице налога.
Кликом на везу "Неуспешно" можете видети следећу поруку:
Налог на коме се покреће инсталација СКЛ сервера нема једно или сва следећа права: право на прављење резервних копија датотека и директорија, право на управљање ревизијом и сигурносним дневником и право на уклањање погрешака у програмима. Да бисте наставили, користите налог са оба ова права. За више информација погледајте хттпс://мсдн.мицрософт.цом/ен-ус/либрари/мс813696.аспк, хттпс://мсдн.мицрософт.цом/ен-ус/либрари/мс813959.аспк и хттпс: // мсдн .мицрософт.цом / хр-нас / либрари / мс813847.аспк.
Сада отворите извештај о инсталацији СистемЦонфигуратионЦхецк_Репорт.хтм.
Као што видите, инсталатер је приликом провере правила ХасСецуритиБацкупАндДебугПривилегесЦхецк утврдио да тренутни процес нема једну од следећих привилегија:
- СеСецурити - ревизија и управљање евиденцијама сигурности
- СеБацкуп - права на израду сигурносних копија датотека и директорија
- СеДебуг - право на уклањање погрешака у програмима
У дневнику се налазе детаљније информације које указују на то да поступак инсталације нема заставицу СеДебуг:
(09) 2017-09-12 14:25:13 Слп: Правило иницијализације: Постављање привилегија налога
(09) 2017-09-12 14:25:13 Слп: Правило ће се извршити: Тачно
(09) 2017-09-12 14:25:13 Слп: Циљани објекат за правило правила: Мицрософт.СклСервер.Цонфигуратион.СетупЕктенсион.ФацетПривилегеЦхецк
(09) 2017-09-12 14:25:13 Слп: Правило 'ХасСецуритиБацкупАндДебугПривилегесЦхецк' Резултат: Процес покретања има привилегију СеСецурити, има привилегију СеБацкуп и нема привилегију СеДебуг.
(09) 2017-09-12 14:25:13 Слп: Правило вредновања: ХасСецуритиБацкупАндДебугПривилегесЦхецк
(09) 2017-09-12 14:25:13 Слп: Правило на строју: мск-скл10
(09) 2017-09-12 14:25:13 Слп: Обављена процена правила: Неуспешно
Одлучио сам потражити решење за добијање права СеДебугПривилеге без промене или онемогућавања политике програма за отклањање грешака. И као што се испоставило, постоји прилично једноставан начин заобилажења ове политике ако имате локална администраторска права на серверу. Услужни програм сецедит ће нам помоћи у томе, омогућавајући вам управљање безбедносним политикама локалних сервера.
Проверите тренутне привилегије:
вхоами / прив
Као што видите, сада у тренутном корисничком токену не постоји привилегија СеДебугПривилеге .
Извозимо тренутна корисничка права конфигурирана по групним правилима у текстуалну датотеку:
сецедит / екпорт / цфг сецполици.инф / подручја УСЕР_РИГХТС
Сада, користећи било који тест едитор, морате да отворите датотеку сецполици.инф за уређивање и додате линију у одељак [Привилеге Ригхтс] која одобрава права на програм за уклањање погрешака групи локалних администратора..
СеДебугПривилеге = * С-1-5-32-544
Сачувајте датотеку. Сада морате да примените нова корисничка права:
сецедит / цонфигуре / дб сецедит.сдб / цфг сецполици.инф / преписати / подручја УСЕР_РИГХТС
Сада је потребно покренути пријаву / пријаву и користећи сецпол.мсц осигурајте да су права за уклањање погрешака додијељена групи локалних администратора. Иста команда вхоами / прив ово потврђује:
Омогућени су програми за уклањање погрешака СеДебугПривилеге
Сада можете да започнете инсталацију / исправке СКЛ сервера. Али вриједно је имати на уму да је привилегија СеДебугПривилеге у овом случају додељена само привремено и они ће се ресетовати следећи пут када се ажурирају групне политике (али након одјаве корисника).
Као што разумете, укључивање политике забране Дебуг програма није панацеа за стицање права СеДебугПривилеге од стране злонамерних програма који су већ ушли у сервер са локалним административним правима, који могу угрозити све корисничке / административне налоге који раде на серверу..
