Esența acestei vulnerabilități este că, dacă efectuați o copie umbră a fișierelor dvs. importante cu parole hashing pentru toate conturile de sistem de operare, datele cheii de criptare și alte informații importante (fișierele stocate în SAM, SECURITY și SYSTEM) - veți putea să Citeste-le imediat cu drepturi de utilizator standard.

În timp ce într-o situație standard, după efectuarea unei copii umbre, nu puteți citi fișierele specificate cu drepturi de utilizator. Cu alte cuvinte, veți putea crește privilegiile după obținerea hash-ului de parolă dorit.

Există modalități de a o remedia, fără a instala cele mai recente actualizări Windows?

Folosim o soluție de soluție

Creați un fișier .bat

icacls %windir%\system32\config\*.* /inheritance:e 
vssadmin șterge umbrele /all /quiet 

Creați un fișier numit Windows_10_all.mof

instanță MSFT_SomFilter
{
    Autor = „Administrator@domeniu”;
    ChangeDate = „20210722135205.787000-000”;
    CreationDate = "20210722134746.125000-000";
    Descriere = „Numai clienți Windows 10”;
    Domeniu = „domeniu”;
    ID = „{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}”;
    Nume = „Numai Windows 10”;
    Reguli = {
instanța MSFT_Rule
{
    Interogare = „Selectați * din Win32_OperatingSystem unde Versiune ca \"10.%\" și ProductType=\"1\"";
    QueryLanguage = "WQL";
    TargetNameSpace = "rădăcină\CIMv2";
}};
};

Creați un GPO pentru scriptul de pornire

Copiați lotul de mai sus în directorul creat.

Utilizați filtrul MWI

Mergeți la Filtru WMI, faceți clic dreapta pe importați fișierul de sus

sau fă-o leneș, creându-l manual

„Selectați * din Win32_OperatingSystem unde Versiune ca \"10.%\" și ProductType=\"1\"";

După aceea, selectați GPO-ul în partea stângă și apoi selectați în partea dreaptă în jos filtrul WMI.

Concluzii

Aceasta este doar o soluție pe care Microsoft îi spune să o facă, majoritatea site-urilor web explică doar pentru a remedia fișierul în loc de permisiunile folderului.