Uma verificação de auditoria do plug-in Nessus 44676 revelou esse problema: "SMB Insecurity Configured Service" Descrição Pelo menos um serviço do Windows configurado de forma insegura foi detectado no host remoto. Usuários não privilegiados podem modificar as propriedades desses serviços afetados.
Um invasor local não privilegiado pode explorar isso para executar comandos arbitrários como SYSTEM.
Solução
Certifique-se de que o grupo "Todos" não tenha permissões ChangeConf, WDac ou WOwn. Consulte a documentação da Microsoft para mais informações.
Veja também
link
link
Saída
• O serviço a seguir tem permissões inseguras para todos:
•
• Agendador de Tarefas (Schedule): DC, WD, WO
Eu copiei o descritor de segurança de outra máquina que não tem esse problema, com sc sdshow schedule . Então tentei configurá-lo na máquina afetada com sc sdset schedule *SDDL_security_descriptor* . Mas quando eu reiniciei a máquina e verifiquei novamente com o sdshow, estava de volta ao que era antes.
Alguém sabe como fazer esse trabalho ou outra correção para esse achado?
Eu finalmente encontrei a resposta. O comando sc sdset estava funcionando, mas realmente desnecessário. A causa real do problema era um objeto de Diretiva de Grupo que definia a configuração e as permissões de inicialização do serviço do planejador de tarefas. Ele foi definido de forma inadequada e estava sendo aplicado toda vez que a máquina começou, é claro, como foi aplicado à raiz do domínio.
O seguinte comando resolveu o problema para nós:
sc.exe sdset wuauserv D:(A;;CCLCSWRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)