Отнася се за
Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 20H2

ВАЖНО Тази статия съдържа информация, която ви показва как да намалите настройките за защита или как да изключите функциите за защита на компютъра. Можете да направите тези промени, за да заобиколите конкретен проблем. Преди да направите тези промени, ви препоръчваме да оцените рисковете, свързани с прилагането на това заобиколно решение във вашата конкретна среда. Ако внедрите това заобиколно решение, извършете съответните допълнителни стъпки, за да защитите вашата система.

Резюме

Регистрационният файл на събитията за Internet Explorer има дефиниран потребителски дескриптор на защитата (CustomSD), който позволява на всеки удостоверен потребител на домейн (който не е администратор) да се свърже и да получи манипулатор към регистрационния файл на събитията. Това позволява на всеки удостоверен потребител в домейна да получи манипулатор в регистрационния файл на събитията (дори на друго устройство или друго присъединено към домейн устройство или друг домейнов контролер) и да записва регистрационни файлове в регистрационния файл на събитията. Това поведение може да доведе до временен отказ на услуга, тъй като системата за съхранение на целевото устройство може да бъде запълнена от отдалечен удостоверен потребител. Това може да направи устройството неизползваемо, докато излишните файлове не бъдат изтрити.

CVE-2022-37981 реализира промяна в поведението, която ограничава достъпа на потребителски акаунт за домейн до регистъра на събитията на Internet Explorer. Тази промяна на поведението е включена в актуализациите на защитата на Windows от или след октомври 2022 г.

Тази промяна на поведението позволява следното:

  • Разрешаване на всичкия достъп до домейнов администратор

  • Разрешаване на всичкия достъп до локален администратор

  • Отказване на всичкия достъп до потребител на домейн

  • Позволяване на всички да имат достъп до всички

Заобиколно решение

ПРЕДУПРЕЖДЕНИЕ Това заобиколно решение може да направи вашия компютър или вашата мрежа по-уязвими за атака от злонамерени потребители или от злонамерен софтуер, като вируси. Не препоръчваме това заобиколно решение, но предоставяме тази информация, така че да можете да реализирате това заобиколно решение по ваше усмотрение. Използвайте това заобиколно решение на свой собствен риск.

По-конкретно, ако използвате това заобиколно решение, удостоверен потребител в домейна може да запише регистрационни файлове в регистъра на събитията, което може да доведе до временен отказ на услуга и да доведе до неизползваемо използване на устройството.

За да се върнете към поведението преди инсталирането на актуализацията на защитата от октомври 2022 г., променете дескрипторите на защитата на Internet Explorer в системния регистър.

ВАЖНО Тази секция, метод или задача съдържа стъпки, които ви казват как да промените системния регистър. Ако обаче промените системния регистър неправилно, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита архивирайте системния регистър, преди да го промените. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:

KB322756: Как да архивирате и възстановите системния регистър в Windows

Променете следната стойност на CustomSD :

Ключ от системния регистър

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer

Стойност на CustomSD 

O:BAG:SYD:(A;;0x07;;;WD)S:(ML;;0x1;;;LW)

За следната стойност на CustomSD :

Ключ от системния регистър

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer

Стойност на CustomSD 

O:BAG:SYD:(A;;0x07;;;DA)(A;;0x07;;;LA)(D;;0x07;;;DU)(A;;0x07;;;WD)S:(ML;;0x1;;;LW)

Още информация

По-долу е поведението преди и след инсталирането на актуализацията на защитата от октомври 2022 г.

Access

Поведение преди

Поведение след

Администратор на домейн

Разрешаване

Разрешаване

Локален администратор

Разрешаване

Разрешаване

Потребител на домейн (който не е администратор)

Разрешаване

Отказване

Локален потребител

Разрешаване

Разрешаване

Акаунт на услуга

Разрешаване

Разрешаване

Всички други достъпи

Разрешаване

Разрешаване

След инсталирането на актуализацията на защитата от октомври 2022 г. потребител на домейн няма да има достъп до регистъра на събитията на Internet Explorer на домейновия контролер. Тази промяна на поведението предотвратява временен разпределен отказ на услуга. Обаче акаунт на администратори на домейновия контролер може да промени стойността на CustomSD на предишна стойност за всяка логика на приложение, ако е необходимо.   

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност