ग्रुप पॉलिसी के साथ डीएलएल प्रीलोडिंग वल्नेरेबिलिटी फिक्स करना - कैसे

ग्रुप पॉलिसी के साथ डीएलएल प्रीलोडिंग वल्नेरेबिलिटी फिक्स करना

Microsoft ने एक भेद्यता तय करने के लिए एक पैच जारी किया है जहाँ "खराब" DLL को SMB या WebDAV से लोड किया जा सकता है। एक बार आवेदन करने के बाद, पैच को सुरक्षा को सक्षम करने के लिए एक रजिस्ट्री प्रविष्टि की आवश्यकता होती है। Microsoft ने एक FixIt टूल जारी किया है, लेकिन यह उन दुकानों की मदद नहीं करता है जिनकी समूह नीति के साथ बहुत सारी मशीनें हैं।

हम कुंजी को तैनात करने के लिए समूह नीति वरीयता का उपयोग करेंगे। समूह नीति प्राथमिकताएँ एक्सटेंशन को Windows Vista और बाद में शामिल किया गया है, और यह XP SP3 के लिए उपलब्ध अद्यतन है। फिक्स SBS 2008 के लिए लिखा गया है लेकिन किसी भी डोमेन वातावरण में लागू होता है जहाँ GP का उपयोग किया जाता है।

कुल 8 चरण

चरण 1: पूर्वापेक्षाएँ

आपको स्वयं DLL पैच अपडेट, KB2264107, और XP क्लाइंट्स के लिए, ग्रुप पॉलिसी प्राथमिकताएँ क्लाइंट को तैनात करने की आवश्यकता होगी।

चरण 2: नया GPO बनाएँ

व्यवस्थापक के रूप में उन्नत समूह नीति प्रशासनिक कंसोल (GPMC.MSC) खोलें। अपने डोमेन पर क्लिक करें और नीचे दिए गए OU पर क्लिक करें - इस तरह से, मैं SBSComputers निर्दिष्ट करूंगा। अधिकांश दुकानों के लिए OU "कंप्यूटर" या "ग्राहक" हो सकता है; इसे परीक्षण करने तक डिफ़ॉल्ट डोमेन पर लागू नहीं करना सबसे अच्छा है। अपने OU पर राइट क्लिक करें और "Create and Link a GPO here" पर क्लिक करें। इसे "DLL प्रीलोडिंग वल्नरेबिलिटी प्रिवेंशन" नाम दें।

चरण 3: जीपी वरीयताएँ संपादित करें

GPO बन जाने के बाद, उस पर फिर से राइट क्लिक करें और Edit चुनें। कंप्यूटर कॉन्फ़िगरेशन / वरीयताएँ / विंडोज सेटिंग्स / रजिस्ट्री का चयन करें। रजिस्ट्री आइटम पर राइट क्लिक करें और नया / रजिस्ट्री आइटम चुनें।

चरण 4: रजिस्ट्री में सत्र प्रबंधक प्रविष्टि का चयन करें


दाईं ओर दिखाई गई विंडो में, रजिस्ट्री के माध्यम से ब्राउज़ करने के लिए [...] बटन पर क्लिक करें। सिस्टम / करंटकंट्रोलसेट / कंट्रोल / सेशन मैनेजर का चयन करें। सत्र प्रबंधक के अंतर्गत कोई उपकुंजी न खोलें। Select पर क्लिक करें।

चरण 5: CWDIllegalinDllSearch DWORD मान जोड़ें


एक नया DWORD मान जोड़ें, जिसका नाम "CWDIllegalInDllSearch" है। इस कुंजी के लिए मान डेटा दर्ज करें, 2. (बाद में इस सेटिंग के बारे में और अधिक।) ठीक पर क्लिक करें।

चरण 6: GPO संपादक और कंसोल बंद करें

GPO संपादक और कंसोल बंद करें।

चरण 7: अपडेट ग्रुप पॉलिसी

वरीयता अब समूह नीति में लागू की जाएगी। यदि आप क्लाइंट को gpupdate / force से तेजी से सेटिंग को अपडेट करना चाहते हैं।

चरण 8: USB उपकरणों से लोडिंग को ब्लॉक करने के लिए वैकल्पिक DLL सेटिंग

CWDIllegalinDllSearch के लिए अनुशंसित मूल्य 2 है। यह SMB और WebDAV स्थानों से DLL लोडिंग को अवरुद्ध करेगा। एक अधिक प्रतिबंधात्मक सेटिंग है जो USB उपकरणों से DLL लोडिंग को भी अवरुद्ध कर देगी। उस परिवर्तन को करने के लिए, चरण 5 में, मान के लिए FFFFFFFF दर्ज करें और सुनिश्चित करें कि मान बेस रेडियो बटन हेक्साटाइमल पर सेट है।

अधिक जानकारी के लिए Microsoft लिंक की जाँच करना सुनिश्चित करें, और यदि आपने पहले ही ऐसा नहीं किया है तो पैच प्राप्त करें। Metasploit.org से एक भेद्यता परीक्षण किट उपलब्ध है, जिसे मैंने लिंक किया है। इस परीक्षण में लगभग 20 मिनट लगेंगे और स्वचालित रूप से प्रभावित अनुप्रयोगों पर एक रिपोर्ट उत्पन्न होगी।