VIGTIGT Denne artikel indeholder oplysninger, der viser, hvordan du kan sænke sikkerhedsindstillingerne, eller hvordan du deaktiverer sikkerhedsfunktioner på en computer. Du kan foretage disse ændringer for at omgå et bestemt problem. Før du foretager disse ændringer, anbefaler vi, at du evaluerer de risici, der er knyttet til implementering af denne løsning i det pågældende miljø. Hvis du implementerer denne løsning, skal du udføre de relevante yderligere trin for at beskytte dit system.
Sammendrag
Hændelsesloggen for Internet Explorer har defineret en brugerdefineret sikkerhedsbeskrivelse (CustomSD), som giver alle godkendte domænebrugere (ikke-administrator) mulighed for at oprette forbindelse og modtage en handle til hændelsesloggen. Dette giver alle godkendte brugere i domænet mulighed for at modtage et håndtag til hændelsesloggen (selv på en anden enhed eller en anden domæneforbundet enhed eller en anden domænecontroller) og skrive logfiler til hændelsesloggen. Denne funktionsmåde kan medføre en midlertidig denial-of-service, fordi destinationsenhedens lagersystem kan fyldes op af en ekstern godkendt bruger. Dette kan gøre enheden ubrugelig, indtil de overflødige filer slettes.
CVE-2022-37981 implementerer en funktionsmådeændring, der begrænser en domænebrugerkontos adgang til Internet Explorer-hændelsesloggen. Denne ændring af funktionsmåden er inkluderet i Windows-sikkerhedsopdateringer, der er dateret den eller efter oktober 2022.
Denne ændring af funktionsmåde giver mulighed for følgende:
-
Tillad al adgang til en domæneadministrator
-
Tillad al adgang til en lokal administrator
-
Afvis al adgang til en domænebruger
-
Tillad al adgang til alle
Løsning
ADVARSEL Denne løsning kan gøre din computer eller dit netværk mere sårbar over for angreb fra ondsindede brugere eller skadelig software, f.eks. virus. Vi anbefaler ikke denne løsning, men leverer disse oplysninger, så du kan implementere denne løsning efter eget skøn. Brug denne løsning på eget ansvar.
Hvis du bruger denne løsning, kan en godkendt bruger på domænet skrive logfiler til hændelsesloggen, hvilket kan medføre en midlertidig denial-of-service og medføre, at enheden ikke kan bruges.
Hvis du vil vende tilbage til funktionsmåden, før du installerer sikkerhedsopdateringen for oktober 2022, skal du ændre sikkerhedsbeskrivelserne i Internet Explorer i registreringsdatabasen.
VIGTIGT Dette afsnit, denne metode eller denne opgave indeholder trin, der fortæller dig, hvordan du redigerer registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis du redigerer registreringsdatabasen forkert. Derfor skal du sørge for at følge disse trin omhyggeligt. Du kan få ekstra beskyttelse ved at sikkerhedskopiere registreringsdatabasen, før du redigerer den. Derefter kan du gendanne registreringsdatabasen, hvis der opstår et problem. Flere oplysninger om, hvordan du sikkerhedskopier og gendanner registreringsdatabasen, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
KB322756: Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows
Skift følgende CustomSD-værdi :
Registreringsdatabasenøgle |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
CustomSD-værdi |
|
Til følgende CustomSD-værdi :
Registreringsdatabasenøgle |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
CustomSD-værdi |
|
Flere oplysninger
Følgende er funktionsmåden før og efter installation af sikkerhedsopdateringen for oktober 2022.
Access |
Funktionsmåde før |
Funktionsmåde efter |
Domæneadministrator |
Tillad |
Tillad |
Lokal administrator |
Tillad |
Tillad |
Domænebruger (ikke-administrator) |
Tillad |
Afvis |
Lokal bruger |
Tillad |
Tillad |
Tjenestekonto |
Tillad |
Tillad |
Alle andre adgange |
Tillad |
Tillad |
Når du har installeret sikkerhedsopdateringen for oktober 2022, kan en domænebruger ikke få adgang til Internet Explorer-hændelsesloggen på domænecontrolleren. Denne ændring i funktionsmåden forhindrer en midlertidig distribueret denial-of-service. En administratorkonto på domænecontrolleren kan dog ændre CustomSD-værdien til en tidligere værdi for programlogik efter behov.