随着metasploit模块和POC代码的可用, 越来越多的微软和第三方应用程序越来越担心DLLpathsearch漏洞。 看来,确保SafeDLLSearchMode启用缓解了这种情况,我想通过组策略在networking上强制执行此操作。 虽然它在XP SP2 +默认启用,并需要registry编辑禁用,我想find一个ADM文件(或者有一个现有的策略设置,我失踪),这将让我确保它仍然活跃。
有谁知道这样的东西是否在那里,或者有人可以build议这样一个ADM文件应该看起来如何? 问题的关键是:
HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode 启用时为1,禁用时为0。
您可以使用以下ADM来应用此首选项。 如果你有客户端偏好,你可以更好地pipe理这个设置。
CLASS MACHINE CATEGORY "Extras" CATEGORY "Software Settings" CATEGORY "Safe DLL Search Mode" POLICY "Safe DLL Search Mode" KEYNAME "System\CurrentControlSet\Control\Session Manager" EXPLAIN "Enable safe DLL search mode." VALUENAME "SafeDllSearchMode" VALUEON NUMERIC 1 VALUEOFF NUMERIC 0 END POLICY END CATEGORY END CATEGORY END CATEGORY
你也可以用一个简单的脚本改变这个值:
REG ADD "HKLM\System\CurrentControlSet\Control\Session Manager" /v "SafeDllSearchMode" /t REG_DWORD /d "1" /f