Como posso definir controles de auditoria em arquivos de propriedade do TrustedInstaller usando o Powershell?

Navegue suas respostas
3

Estou tentando definir controles de auditoria em vários arquivos (listados em ACLsWin.txt ) localizados em \%Windows%\System32 (por exemplo, aaclient.dll ) usando o seguinte script Powershell: 

$FileList = Get-Content ".\ACLsWin.txt"
$ACL = New-Object System.Security.AccessControl.FileSecurity

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "Delete", "Failure")
$ACL.AddAuditRule($AccessRule)
foreach($File in $FileList)
{
    Write-Host "Changing audit on $File"
    $ACL | Set-Acl $File
}

Sempre que executo o script, recebo o erro PermissionDenied [Set-Acl] UnauthorizedAccessException .

Isso parece vir do fato de que o proprietário desses arquivos é TrustedInstaller . Estou executando esses scripts como administrador (embora eu esteja na conta de administrador interna) e ainda está falhando. Eu posso definir esses controles de auditoria manualmente usando a guia Segurança, mas existem pelo menos 200 arquivos para os quais fazer manualmente pode levar a erros humanos.

Como posso obter cerca de TrustedInstaller e definir esses controles de auditoria usando o Powershell?

    
por Drise 07.11.2013 / 18:40

1 resposta

5

A única maneira suportada de modificar arquivos protegidos pela Proteção de Recursos do Windows (da qual a conta TrustedInstaller faz parte do WRP) é usar o serviço Windows Module Installer, que é apenas uma maneira de dizer "você não pode modificar Esses arquivos são suportados por você mesmo, somente através da instalação de patches e service packs esses arquivos podem ser modificados de forma compatível. "

O utilitário sfc.exe também faz parte da Proteção de Recursos do Windows. Usando sfc.exe , você pode modificar o arquivo e substituí-lo por uma cópia do armazenamento WinSxS.

Você tem para assumir a propriedade desses arquivos antes de modificá-los. A maneira mais fácil de fazer isso é com takeown.exe .

Mas o fato é que você não deveria estar modificando esses arquivos.

Os desenvolvedores de aplicativos podem usar as APIs SfcIsFileProtected ou SfcIsKeyProtected para verificar se um arquivo está ou não sob a proteção do WRP.

A razão pela qual eu não escreveria um script para alguém fazer isso é porque não há suporte para modificar esses arquivos e, como profissional, eu não poderia, em boa consciência, ajudar alguém a colocar o sistema em um estado não suportado. ;) Edit: Droga, eu acabei de fazer ...

Editar: se você ainda insistir em hackeá-lo, tecnicamente, uma opção é lançar Powershell.exe usando o token de segurança de TrustedInstaller.exe .

Ou, o mais fácil seria escrever um script com um bloco Try / Catch, e se o bloco catch for acionado por um [UnauthorizedAccessException] , assuma a propriedade do arquivo e tente novamente. 

C:\Windows\system32>takeown /A /F C:\Windows\System32\aaclient.dll

SUCCESS: The file (or folder): "C:\Windows\System32\aaclient.dll" now owned by the administrators group.

Você também pode monitorar modificações nesses arquivos usando um driver de filtro. É assim que coisas como produtos antivírus fazem isso. Mas uh ... isso é provavelmente mais trabalho do que você quer fazer no momento ...

Editar novamente: Ah, você quer definir o proprietário de volta para TrustedInstaller depois? Você precisa do privilégio SeRestorePrivilege para isso.

Copie e cole isso em. \ Enable-Privilege.ps1: 

Function Enable-Privilege 
{
 param([ValidateSet("SeAssignPrimaryTokenPrivilege", "SeAuditPrivilege", "SeBackupPrivilege",
   "SeChangeNotifyPrivilege", "SeCreateGlobalPrivilege", "SeCreatePagefilePrivilege",
   "SeCreatePermanentPrivilege", "SeCreateSymbolicLinkPrivilege", "SeCreateTokenPrivilege",
   "SeDebugPrivilege", "SeEnableDelegationPrivilege", "SeImpersonatePrivilege", "SeIncreaseBasePriorityPrivilege",
   "SeIncreaseQuotaPrivilege", "SeIncreaseWorkingSetPrivilege", "SeLoadDriverPrivilege",
   "SeLockMemoryPrivilege", "SeMachineAccountPrivilege", "SeManageVolumePrivilege",
   "SeProfileSingleProcessPrivilege", "SeRelabelPrivilege", "SeRemoteShutdownPrivilege",
   "SeRestorePrivilege", "SeSecurityPrivilege", "SeShutdownPrivilege", "SeSyncAgentPrivilege",
   "SeSystemEnvironmentPrivilege", "SeSystemProfilePrivilege", "SeSystemtimePrivilege",
   "SeTakeOwnershipPrivilege", "SeTcbPrivilege", "SeTimeZonePrivilege", "SeTrustedCredManAccessPrivilege",
   "SeUndockPrivilege", "SeUnsolicitedInputPrivilege")]$Privilege,
  $ProcessId = $pid,
  [Switch]$Disable)

   $Definition = @'
 using System;
 using System.Runtime.InteropServices;

 public class AdjPriv
 {
  [DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
  internal static extern bool AdjustTokenPrivileges(IntPtr htok, bool disall,
   ref TokPriv1Luid newst, int len, IntPtr prev, IntPtr relen);

  [DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
  internal static extern bool OpenProcessToken(IntPtr h, int acc, ref IntPtr phtok);
  [DllImport("advapi32.dll", SetLastError = true)]
  internal static extern bool LookupPrivilegeValue(string host, string name, ref long pluid);
  [StructLayout(LayoutKind.Sequential, Pack = 1)]
  internal struct TokPriv1Luid
  {
   public int Count;
   public long Luid;
   public int Attr;
  }

  internal const int SE_PRIVILEGE_ENABLED = 0x00000002;
  internal const int SE_PRIVILEGE_DISABLED = 0x00000000;
  internal const int TOKEN_QUERY = 0x00000008;
  internal const int TOKEN_ADJUST_PRIVILEGES = 0x00000020;
  public static bool EnablePrivilege(long processHandle, string privilege, bool disable)
  {
   bool retVal;
   TokPriv1Luid tp;
   IntPtr hproc = new IntPtr(processHandle);
   IntPtr htok = IntPtr.Zero;
   retVal = OpenProcessToken(hproc, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, ref htok);
   tp.Count = 1;
   tp.Luid = 0;
   if(disable)
   {
    tp.Attr = SE_PRIVILEGE_DISABLED;
   }
   else
   {
    tp.Attr = SE_PRIVILEGE_ENABLED;
   }
   retVal = LookupPrivilegeValue(null, privilege, ref tp.Luid);
   retVal = AdjustTokenPrivileges(htok, false, ref tp, 0, IntPtr.Zero, IntPtr.Zero);
   return retVal;
  }
 }
'@


 $ProcessHandle = (Get-Process -id $ProcessId).Handle
 $type = Add-Type $definition -PassThru
 $type[0]::EnablePrivilege($processHandle, $Privilege, $Disable)

}

Em Powershell, o código-fonte do tipo Enable-Privilege.ps1 assim: 

PS C:\> . .\Enable-Privilege.ps1

PS C:\> [System.Security.Principal.NTAccount]$TrustedInstaller = "NT SERVICE\TrustedInstaller"

Salvar a ACL atual: 

PS C:\> $ACL = Get-Acl C:\Windows\System32\aaclient.dll

Altere o proprietário para TrustedInstaller: 

PS C:\> $ACL.SetOwner($TrustedInstaller)

Ativar o SeRestorePrivilege: 

PS C:\> Enable-Privilege SeRestorePrivilege

Aplique novamente a ACL modificada. Esta é a parte que falhará, mesmo para a conta do Sistema Local, se você não definir explicitamente o privilégio SeRestorePrivilege: 

PS C:\> Set-Acl -Path C:\Windows\System32\aaclient.dll -AclObject $ACL

Eu sem vergonha roubou a função Enable-Privilege deste tópico dos Fóruns do TechNet.

    
por 07.11.2013 / 18:56

Tags

Não é possível iniciar o MySQL 5.6 instalado via macports no OS X 10.8.5 (novo install errno: 13 - Permission denied) Nagios - medindo a carga média do CPU