Applies ToWindows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 20H2

WAŻNE Ten artykuł zawiera informacje, które pokazują, jak zmniejszyć ustawienia zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany, aby obejść konkretny problem. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z zaimplementowaniem tego obejścia w danym środowisku. Jeśli zaimplementujesz to obejście, wykonaj wszelkie odpowiednie dodatkowe kroki, aby chronić swój system.

Podsumowanie

Dziennik zdarzeń programu Internet Explorer ma zdefiniowany niestandardowy deskryptor zabezpieczeń (CustomSD), który umożliwia każdemu uwierzytelnionemu użytkownikowi domeny (nieadministratorowi) nawiązanie połączenia z dziennikiem zdarzeń i odebranie do niej uchwytu. Umożliwia to każdemu uwierzytelnionemu użytkownikowi w domenie odbieranie uchwytu do dziennika zdarzeń (nawet na innym urządzeniu lub innym urządzeniu przyłączonym do domeny lub innym kontrolerze domeny) i zapisywanie plików dziennika w dzienniku zdarzeń. To zachowanie może spowodować tymczasową odmowę usługi, ponieważ system magazynu urządzenia docelowego może zostać wypełniony przez zdalnie uwierzytelnionego użytkownika. Może to spowodować, że urządzenie będzie niezbywalne, dopóki nie zostaną usunięte nadmiarowe pliki.

Cve-2022-37981 implementuje zmianę zachowania, która ogranicza dostęp konta użytkownika domeny do dziennika zdarzeń programu Internet Explorer. Ta zmiana zachowania jest uwzględniana w aktualizacjach zabezpieczeń systemu Windows z października 2022 r. lub później.

Ta zmiana zachowania umożliwia:

  • Zezwalaj na cały dostęp do administratora domeny

  • Zezwalaj na dostęp do administratora lokalnego

  • Odmów wszelkiemu dostępowi do użytkownika domeny

  • Zezwalaj wszystkim na dostęp do wszystkich

Obejście

OSTRZEŻENIE To obejście może narazić komputer lub sieć na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było wdrożyć to obejście według własnego uznania. Użyj tego obejścia na własne ryzyko.

W szczególności w przypadku użycia tego obejścia uwierzytelniony użytkownik w domenie może zapisywać pliki dziennika w dzienniku zdarzeń, co może spowodować tymczasowe odmowę usługi i spowodować, że urządzenie będzie bezużyteczne.

Aby przywrócić zachowanie przed zainstalowaniem aktualizacji zabezpieczeń z października 2022 r., zmień deskryptory zabezpieczeń programu Internet Explorer w rejestrze.

WAŻNE Ta sekcja, metoda lub zadanie zawiera kroki umożliwiające modyfikowanie rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać poniższe czynności. Aby uzyskać dodatkową ochronę, utwórz kopię zapasową rejestru przed jego modyfikacją. Następnie możesz przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej rejestru i przywracania go, kliknij następujący numer artykułu, aby wyświetlić ten artykuł w bazie wiedzy Microsoft Knowledge Base:

KB322756: Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Zmień następującą wartość CustomSD :

Klucz rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer

Wartość CustomSD

O:BAG:SYD:(A;;0x07;;;WD)S:(ML;;0x1;;;LW)

Do następującej wartości CustomSD :

Klucz rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer

Wartość CustomSD

O:BAG:SYD:(A;;0x07;;;DA)(A;;0x07;;;LA)(D;;0x07;;;DU)(A;;0x07;;;WD)S:(ML;;0x1;;;LW)

Więcej informacji

Poniżej przedstawiono zachowanie przed zainstalowaniem aktualizacji zabezpieczeń z października 2022 r. i po jej zainstalowaniu.

Access

Zachowanie przed

Zachowanie po

Administrator domeny

Zezwól

Zezwól

Administrator lokalny

Zezwól

Zezwól

Użytkownik domeny (nie administrator)

Zezwól

Odmów

Użytkownik lokalny

Zezwól

Zezwól

Konto usługi

Zezwól

Zezwól

Wszystkie inne dostępy

Zezwól

Zezwól

Po zainstalowaniu aktualizacji zabezpieczeń z października 2022 r. użytkownik domeny nie będzie mógł uzyskać dostępu do dziennika zdarzeń programu Internet Explorer na kontrolerze domeny. Ta zmiana zachowania zapobiega tymczasowej rozproszonej odmowie usługi. Jednak konto administratorów na kontrolerze domeny może zmienić wartość CustomSD na poprzednią wartość dowolnej logiki aplikacji zgodnie z potrzebami.   

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.