重要说明 本文包含的信息介绍了如何在计算机上降低安全设置或关闭安全功能。 您可以通过这些更改来解决特定的问题。 在实施这些更改之前,建议您对在特定环境中实施此解决方法可能带来的风险进行评估。 如果实施该解决方法,请采取任何适当的附加措施来帮助保护你的系统。
摘要
Internet Explorer 的事件日志定义了自定义安全描述符 (CustomSD),它允许任何经过身份验证的域用户(非管理员)连接并接收事件日志的句柄。 这样一来,域中任何经过身份验证的用户都可接收事件日志的句柄(即使在其他设备或其他已加入域的设备或其他域控制器上),并将日志文件写入事件日志。 此行为可能会导致暂时拒绝服务,因为经过身份验证的远程用户可以填充目标设备的存储系统。 这会使设备在删除无关文件之前不可用。
CVE-2022-37981 实现了一项行为更改,限制域用户帐户访问 Internet Explorer 事件日志。 此行为更改包含在 2022 年 10 月或之后的 Windows 安全更新中。
此行为更改允许执行以下操作:
-
允许域管理员进行所有访问
-
允许本地管理员进行所有访问
-
拒绝域用户的所有访问
-
允许所有人进行所有访问
解决方法
警告 此解决方法可能使你的计算机或网络更容易受到恶意用户或恶意软件(如病毒)的攻击。 我们不建议您采用这种替代方法,此信息仅供参考,您应自行决定是否实施此替代方法。 使用此解决方法需要自担风险。
具体而言,如果使用此解决方法,域中经过身份验证的用户可能会将日志文件写入事件日志,这可能会导致暂时拒绝服务,并导致设备不可用。
若要还原到安装 2022 年 10 月安全更新之前的行为,请更改注册表中的 Internet Explorer 安全描述符。
重要说明 此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
更改以下 CustomSD 值:
注册表项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
CustomSD 值 |
|
到以下 CustomSD 值:
注册表项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
CustomSD 值 |
|
详细信息
以下是安装 2022 年 10 月安全更新之前和之后的行为。
访问 |
之前的行为 |
之后的行为 |
域管理员 |
允许 |
允许 |
本地管理员 |
允许 |
允许 |
域用户(非管理员) |
允许 |
拒绝 |
本地用户 |
允许 |
允许 |
服务帐户 |
允许 |
允许 |
所有其他访问 |
允许 |
允许 |
安装 2022 年 10 月安全更新后,域用户将无法访问域控制器上的 Internet Explorer 事件日志。 这种行为更改可防止临时分布式拒绝服务。 但是,域控制器上的管理员帐户可以根据需要将 CustomSD 值更改为任何应用程序逻辑的上一个值。