LocalSecurityAuthority.Tcb，這規則是否必要？

显示全部楼层 · 发表于 2011-9-23 07:54:16

本帖最后由 a256886572008 于 2011-9-23 08:00 编辑

以下測試 0access 病毒

1.還沒取消這條規則

2011-09-23 07:44:33 C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe Sandboxed As Partially Limited

2011-09-23 07:44:34 C:\WINDOWS\system32\svchost.exe Sandboxed As Partially Limited

2011-09-23 07:44:40 C:\WINDOWS\system32\svchost.exe Modify File C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe

2011-09-23 07:44:40 C:\WINDOWS\system32\svchost.exe Access COM Interface LocalSecurityAuthority.Tcb

2.取消之後

2011-09-23 07:47:33 C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe Sandboxed As Partially Limited

2011-09-23 07:47:34 C:\WINDOWS\system32\svchost.exe Sandboxed As Partially Limited

2011-09-23 07:47:42 C:\WINDOWS\system32\svchost.exe Modify File C:\Documents and Settings\Roger\桌面\virus\readme\readme.exe

2011-09-23 07:47:42 C:\WINDOWS\system32\svchost.exe Access COM Interface LocalSecurityAuthority.Restore

取消之後，系統也沒發現被感染，而且 CF 的 configuration 默認也沒有這個規則(CIS, PS 才有)。

大家覺得，到底這一條是否必須？

显示全部楼层 · 发表于 2011-9-23 09:02:42

这个还有待观察

显示全部楼层 · 发表于 2011-9-23 09:16:36

mxf147 发表于 2011-9-23 09:02
这个还有待观察

這一條該不會和 access service control manager 一樣，只是提前攔截而已

显示全部楼层 · 发表于 2011-9-23 16:30:41

LocalSecurityAuthority.Tcb，即SeTcbPrivilege，在MSDN上的解释是：

Required to act as part of the operating system. The holder is part of the trusted computer base.

TCB，Trusted Computer Base，意思是作为负责“安全”的操作系统部分。“作为操作系统的一部分”意味着进程可以任何用户的身份进行身份验证，并因此可以以任何用户的身份访问相同资源。例如可以创建登录令牌。通常情况下很少需要获取SeTcbPrivilege，除非是身份验证提供程序。需要此特权的进程应该使用LocalSystem账户，因为其中已经包含了这种特权，而不应该使用一个单独的用户账户并专门分配此权限。

显示全部楼层 · 发表于 2011-9-24 13:02:12

其实我认为这些特权，都是保护的较好

就想为什么一要防止shellcode一样

显示全部楼层 · 发表于 2011-9-25 12:40:43

坚决栏Tcb
沙盘默认拦所以lz拦了

[讨论] LocalSecurityAuthority.Tcb，這規則是否必要？

评分

评分