Korrigieren der Sicherheitsanfälligkeit in DLL beim Vorladen durch Gruppenrichtlinien - Wie Man

Korrigieren der Sicherheitsanfälligkeit in DLL beim Vorladen durch Gruppenrichtlinien

Microsoft hat einen Patch zur Behebung einer Sicherheitslücke veröffentlicht, durch die "schlechte" DLLs von SMB oder WebDAV geladen werden können. Nach dem Anwenden benötigt der Patch einen Registrierungseintrag, um den Schutz zu aktivieren. Microsoft hat ein FixIt-Tool veröffentlicht. Dies ist jedoch nicht für Unternehmen mit vielen Maschinen mit Gruppenrichtlinien hilfreich.

Wir werden Gruppenrichtlinieneinstellungen verwenden, um den Schlüssel bereitzustellen. Die Erweiterung Gruppenrichtlinieneinstellungen ist in Windows Vista und höher integriert und ist ein verfügbares Update für XP SP3. Das Update wurde für SBS 2008 geschrieben, ist jedoch in jeder Domänenumgebung anwendbar, in der GP verwendet wird.

8 Schritte insgesamt

Schritt 1: Voraussetzungen

Sie müssen das DLL-Patch-Update (KB2264107) und für XP-Clients den Group Policy Preferences-Client bereitstellen.

Schritt 2: Erstellen Sie ein neues Gruppenrichtlinienobjekt

Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC.MSC), die als Administrator angehoben wurde. Klicken Sie auf Ihre Domäne und klicken Sie auf die gewünschte Organisationseinheit. In dieser Anleitung werde ich SBS-Computer angeben. Für die meisten Geschäfte kann es sich bei der Organisationseinheit um "Computer" oder "Clients" handeln. Es ist am besten, es nicht vor dem Test auf die Standarddomäne anzuwenden. Klicken Sie mit der rechten Maustaste auf Ihre Organisationseinheit und klicken Sie auf "GPO hier erstellen und verknüpfen". Nennen Sie es "DLL Preloading Vulnerability Prevention".

Schritt 3: GP-Einstellungen bearbeiten

Sobald das Gruppenrichtlinienobjekt erstellt wurde, klicken Sie erneut mit der rechten Maustaste darauf und wählen Sie Bearbeiten. Wählen Sie Computerkonfiguration / Einstellungen / Windows-Einstellungen / Registrierung. Klicken Sie mit der rechten Maustaste auf das Registrierungselement, und wählen Sie Neu / Registrierungselement aus.

Schritt 4: Wählen Sie den Sitzungsmanager-Eintrag in der Registrierung aus


Klicken Sie im rechts angezeigten Fenster auf die Schaltfläche [...], um die Registrierung zu durchsuchen. Wählen Sie SYSTEM / CurrentControlSet / Control / Session Manager. Öffnen Sie KEINE Unterschlüssel unter Sitzungsmanager. Klicken Sie auf Auswählen.

Schritt 5: Fügen Sie den DWORD-Wert CWDIllegalinDllSearch hinzu


Fügen Sie einen neuen DWORD-Wert mit dem Namen "CWDIllegalInDllSearch" hinzu. Geben Sie die Wertdaten für diesen Schlüssel ein 2. (Mehr zu dieser Einstellung später.) Klicken Sie auf OK.

Schritt 6: Schließen Sie den GPO-Editor und die Konsole

Schließen Sie den GPO-Editor und die Konsole.

Schritt 7: Aktualisieren Sie die Gruppenrichtlinie

Die Voreinstellung wird jetzt in den Gruppenrichtlinien angewendet. Wenn Sie die Einstellungen auf einem Client schneller aktualisieren möchten, führen Sie gpupdate / force auf dem Client aus.

Schritt 8: Alternative DLL-Einstellung, um das Laden von USB-Geräten zu blockieren

Der empfohlene Wert für CWDIllegalinDllSearch ist 2. Dadurch wird das Laden von DLLs von SMB- und WebDAV-Speicherorten blockiert. Es gibt eine restriktivere Einstellung, die das Laden von DLLs von USB-Geräten ebenfalls blockiert. Um diese Änderung vorzunehmen, geben Sie in Schritt 5 den Wert FFFFFFFF ein und stellen Sie sicher, dass das Optionsfeld Wertbasis auf Hexadezimal gesetzt ist.

Stellen Sie sicher, dass Sie die Microsoft-Links auf weitere Informationen überprüfen und den Patch erhalten, falls Sie dies noch nicht getan haben. Bei Metasploit.org ist ein Kit zum Testen der Schwachstellen verfügbar, mit dem ich verlinkt habe. Dieser Test dauert etwa 20 Minuten und generiert automatisch einen Bericht über die betroffenen Anwendungen.