WAŻNE Ten artykuł zawiera informacje, które pokazują, jak zmniejszyć ustawienia zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany, aby obejść konkretny problem. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z zaimplementowaniem tego obejścia w danym środowisku. Jeśli zaimplementujesz to obejście, wykonaj wszelkie odpowiednie dodatkowe kroki, aby chronić swój system.
Podsumowanie
Dziennik zdarzeń programu Internet Explorer ma zdefiniowany niestandardowy deskryptor zabezpieczeń (CustomSD), który umożliwia każdemu uwierzytelnionemu użytkownikowi domeny (nieadministratorowi) nawiązanie połączenia z dziennikiem zdarzeń i odebranie do niej uchwytu. Umożliwia to każdemu uwierzytelnionemu użytkownikowi w domenie odbieranie uchwytu do dziennika zdarzeń (nawet na innym urządzeniu lub innym urządzeniu przyłączonym do domeny lub innym kontrolerze domeny) i zapisywanie plików dziennika w dzienniku zdarzeń. To zachowanie może spowodować tymczasową odmowę usługi, ponieważ system magazynu urządzenia docelowego może zostać wypełniony przez zdalnie uwierzytelnionego użytkownika. Może to spowodować, że urządzenie będzie niezbywalne, dopóki nie zostaną usunięte nadmiarowe pliki.
Cve-2022-37981 implementuje zmianę zachowania, która ogranicza dostęp konta użytkownika domeny do dziennika zdarzeń programu Internet Explorer. Ta zmiana zachowania jest uwzględniana w aktualizacjach zabezpieczeń systemu Windows z października 2022 r. lub później.
Ta zmiana zachowania umożliwia:
-
Zezwalaj na cały dostęp do administratora domeny
-
Zezwalaj na dostęp do administratora lokalnego
-
Odmów wszelkiemu dostępowi do użytkownika domeny
-
Zezwalaj wszystkim na dostęp do wszystkich
Obejście
OSTRZEŻENIE To obejście może narazić komputer lub sieć na ataki złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było wdrożyć to obejście według własnego uznania. Użyj tego obejścia na własne ryzyko.
W szczególności w przypadku użycia tego obejścia uwierzytelniony użytkownik w domenie może zapisywać pliki dziennika w dzienniku zdarzeń, co może spowodować tymczasowe odmowę usługi i spowodować, że urządzenie będzie bezużyteczne.
Aby przywrócić zachowanie przed zainstalowaniem aktualizacji zabezpieczeń z października 2022 r., zmień deskryptory zabezpieczeń programu Internet Explorer w rejestrze.
WAŻNE Ta sekcja, metoda lub zadanie zawiera kroki umożliwiające modyfikowanie rejestru. Niepoprawne zmodyfikowanie rejestru może jednak spowodować poważne problemy. Dlatego należy uważnie wykonywać poniższe czynności. Aby uzyskać dodatkową ochronę, utwórz kopię zapasową rejestru przed jego modyfikacją. Następnie możesz przywrócić rejestr, jeśli wystąpi problem. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej rejestru i przywracania go, kliknij następujący numer artykułu, aby wyświetlić ten artykuł w bazie wiedzy Microsoft Knowledge Base:
KB322756: Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Zmień następującą wartość CustomSD :
Klucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
Wartość CustomSD |
|
Do następującej wartości CustomSD :
Klucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
Wartość CustomSD |
|
Więcej informacji
Poniżej przedstawiono zachowanie przed zainstalowaniem aktualizacji zabezpieczeń z października 2022 r. i po jej zainstalowaniu.
Access |
Zachowanie przed |
Zachowanie po |
Administrator domeny |
Zezwól |
Zezwól |
Administrator lokalny |
Zezwól |
Zezwól |
Użytkownik domeny (nie administrator) |
Zezwól |
Odmów |
Użytkownik lokalny |
Zezwól |
Zezwól |
Konto usługi |
Zezwól |
Zezwól |
Wszystkie inne dostępy |
Zezwól |
Zezwól |
Po zainstalowaniu aktualizacji zabezpieczeń z października 2022 r. użytkownik domeny nie będzie mógł uzyskać dostępu do dziennika zdarzeń programu Internet Explorer na kontrolerze domeny. Ta zmiana zachowania zapobiega tymczasowej rozproszonej odmowie usługi. Jednak konto administratorów na kontrolerze domeny może zmienić wartość CustomSD na poprzednią wartość dowolnej logiki aplikacji zgodnie z potrzebami.