重要 本文包含如何降低安全性設定或關閉電腦安全性功能的資訊。 您可以進行這些變更,為特定的問題尋求因應措施。 在進行這些變更之前,建議您先評估在特定環境中實作此因應措施的相關風險。 如果您實作此因應措施,請採用任何其他的適當步驟,以協助保護您的系統。
摘要
Internet Explorer 的事件記錄檔定義了自訂安全性描述元 (CustomSD),它允許任何已驗證的網域使用者 (非系統管理員) 連線並接收事件記錄檔的控點。 這可讓網域中的任何已驗證使用者接收事件記錄檔的控點 (即使是在不同的裝置或不同已加入網域的裝置或其他網域控制站上),並將記錄檔寫入事件記錄檔。 此行為可能會導致臨時拒絕服務,因為目標裝置的儲存系統可能會被遠端已驗證使用者填滿。 這可能會使裝置無法使用,直至删除無關檔案。
CVE-2022-37981 實作限制網域使用者帳戶存取 Internet Explorer 事件記錄檔的行為變更。 此行為變更包含在 2022 年 10 月當天或之後的 Windows 安全性更新中。
這種行為變更允許以下事項:
-
允許對網域系統管理員的所有存取
-
允許對本機系統管理員的所有存取
-
拒絕對網域使用者的所有存取
-
允許對所有人的所有存取
因應措施
警告 此因應措施會讓您的電腦或網路更容易受到惡意使用者或惡意軟體 (例如病毒) 攻擊。 雖然不建議使用此因應措施,但我們仍提供這項資訊,讓您可以自行選擇是否採用這項因應措施。 請自行承擔使用這個因應措施的風險。
具體來說,如果您使用此因應措施,網域中已驗證的使用者可能會將記錄檔寫入事件記錄檔,這可能會導致臨時拒絕服務並導致裝置無法使用。
若要還原至安裝 2022 年 10 月安全性更新之前的行為,請變更登錄中的 Internet Explorer 安全性描述元。
重要 這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:
變更以下 CustomSD 值:
|
登錄機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
|
CustomSD 值 |
|
至以下 CustomSD 值:
|
登錄機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
|
CustomSD 值 |
|
詳細資訊
以下是安裝 2022 年 10 月安全性更新前後的行為。
|
Access |
之前的行為 |
之後的行為 |
|
網域系統管理員 |
允許 |
允許 |
|
本機系統管理員 |
允許 |
允許 |
|
網域使用者 (非系統管理員) |
允許 |
拒絕 |
|
本機使用者 |
允許 |
允許 |
|
服務帳戶 |
允許 |
允許 |
|
所有其他存取 |
允許 |
允許 |
安裝 2022 年 10 月安全性更新後,網域使用者將無法存取網域控制站上的 Internet Explorer 事件記錄檔。 這種行為變更可防止臨時分散式拒絕服務。 但是,網域控制站上的系統管理員帳戶可以根據需要將 CustomSD 值變更為任何應用程式邏輯的上一個值。
