Wyłączenie usług i brak sieci po ataku Conficker

[atasuke]

Witam jak w tytule powyżej mam problem z laptopem HP 6720s Compaq ponieważ nie mogę połączyć się z internetem. Gdy najeżdżam na centrum sieci i udostępniania koło zegara lub próbuje nawiązać połączenie wyskakuje informacja że "Uruchomienie usługi zależności lub grupy nie powiodło się".

 

Przedstawiam loga z OTL:

 

 

 

 

Gmer ucięty ponieważ zatrzymuje się na jednym z plików i przestaje odpowiadać będę próbował zrobić jeszcze z poziomu trybu awaryjnego i zaraz dodam gdy tylko się uda.

 

Chyba jakiś penowy chochlik się tu wkradł i miesza.

Edytowane 15 Września 2011 przez picasso
Urwany log z GMER usuwam, w związku z dostarczeniem pełnego. //picasso

[picasso]

Jakie podstawy do typowania infekcji, czy coś konkretnego się wydarzyło? Póki co, to tu nie widać żadnych oczywistych śladów infekcji. Ale GMER jest urwany i oczekuję, że dostarczysz pełny.

 

O32 - AutoRun File - [2004-04-30 17:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ]

 

Ten plik wprawdzie jest ukryty, ale HP na swoich partycjach serwisowych może mieć takie pliki autorun.inf. Na wszelki wypadek otwórz ten plik w Notatniku i przedstaw jego zawartość.

 

 

Gdy najeżdżam na centrum sieci i udostępniania koło zegara lub próbuje nawiązać połączenie wyskakuje informacja że "Uruchomienie usługi zależności lub grupy nie powiodło się".

 

Zrób nowy log z OTL na warunkach: Usługi i Sterowniki ustaw na Wszystko, pozostałe sekcje na Brak. Ponadto, otwórz Dziennik zdarzeń i wyszukaj precyzyjnie te błędy zależności.

 

 

 

.

[atasuke]

Jakie podstawy do typowania infekcji

Rozmawiałem z koleżanką właścicielką laptopa i powiedziała że ponoć po włożeniu pendriva wyskoczył alert o infekcji robakiem Conficker ,po tym zdarzeniu odcieło jej internet.

W kwarantannie zauważyłem plik autorun.inf ale z G

 

Daje logi z OTL z zaleceniami:

 

 

 

Otworzyłem też plik z dysku D : Autorun.inf oto jego zawartość:

 

[AUTORUN]

ShellExecute=Info.exe protect.ed 480 480

Natomiast nie mogę znaleźć błędów zależności w podglądzie zdarzeń. Jest tam tego trochę Nawet cztery krytyczne. Ale o zależnościach i usługach nic nie widzę. Zrobię screeny tych błędów i zamieszczę je tutaj.

Edytowane 15 Września 2011 przez picasso
Krótki log wprost do posta wklejam. //picasso

[picasso]

Log z OTL będę analizować za chwilę, ale na szybko tu postuję:

 

 

Otworzyłem też plik z dysku D : Autorun.inf oto jego zawartość

 

Plik Hewlett-Packard.

 

 

Natomiast nie mogę znaleźć błędów zależności w podglądzie zdarzeń. Jest tam tego trochę Nawet cztery krytyczne. Ale o zależnościach i usługach nic nie widzę. Zrobię screeny tych błędów i zamieszczę je tutaj.

 

Powinno to być w sekcji SYSTEM. Zamiast robić jednak zrzuty ekranu, po prostu dostarcz pełne Dzienniki zdarzeń: KLIK.

 

 

 

.

[atasuke]

Przesyłam zaległy log z GMER:

http://wklej.org/id/598478/txt/

 

Oraz logi z dziennika zdarzeń:

http://www.speedysha...321203/Logs.rar

 

EDIT

 

Przeglądając w Gmer rejestr w gałęzi HKLM w pod gałęzi SAM mam same czerwone wpisy chciałem zapytać czy to normalne że tak to wyświetla.

[picasso]

Tytuł tematu dopasowałam do charakteru infekcji, choć ze względu na dysproporcję merytoryczną rozważam migrację tematu do działu Vista.

 

 

Rozmawiałem z koleżanką właścicielką laptopa i powiedziała że ponoć po włożeniu pendriva wyskoczył alert o infekcji robakiem Conficker ,po tym zdarzeniu odcieło jej internet.

 

Alert o infekcji Conficker wyjaśnia co się tu dzieje. Robak musiał zdążyć wyresetować uprawnienia usług. A teraz co widzę w materiałach:

 

 

Wg danych nie startują usługi DHCP + Podstawowy aparat filtrowania (BFE) + Usługa zasad diagnostyki (DPS) + Czas (W32Time) + Rozpoznawanie lokalizacji w sieci (NlaSvc), oczywiście w związku z tym padły wszystkie usługi podrzędne zależne od tu wyliczanych:

 

SRV - [2009-04-11 08:28:18 | 000,334,848 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\BFE.DLL -- (BFE)
---- SRV - [2009-04-11 08:28:20 | 000,438,784 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\IKEEXT.DLL -- (IKEEXT)
---- SRV - [2009-04-11 08:28:20 | 000,407,552 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\MPSSVC.dll -- (MpsSvc)
---- SRV - [2009-04-11 08:28:20 | 000,364,032 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\IPSECSVC.DLL -- (PolicyAgent)
---- SRV - [2008-01-19 09:34:34 | 000,288,256 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\ipnathlp.dll -- (SharedAccess)
---- SRV - [2008-01-19 09:34:53 | 000,068,608 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\mprdim.dll -- (RemoteAccess)
 
SRV - [2009-04-11 08:28:18 | 000,204,288 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\dhcpcsvc.dll -- (Dhcp)
---- SRV - [2009-08-24 13:36:45 | 000,377,344 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\winhttp.dll -- (WinHttpAutoProxySvc)
 
SRV - [2008-01-19 09:34:06 | 000,134,656 | ---- | M] (Microsoft Corporation) [unknown | Stopped] -- C:\WINDOWS\System32\dps.dll -- (DPS)
 
SRV - [2008-01-19 09:35:38 | 000,168,448 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\nlasvc.dll -- (NlaSvc)
---- SRV - [2008-01-19 09:35:36 | 000,237,056 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\netprofm.dll -- (netprofm)
 
SRV - [2009-04-11 08:28:25 | 000,282,624 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\w32time.dll -- (W32Time)

 

W Dzienniku zdarzeń przedstawia to ta sekwencja błędów, a główne usługi charakteryzuje Odmowa dostępu:

 

Zdarzenie 1004 Dhcp-Client
Wystąpił błąd zatrzymywania usługi klienta Dhcpv4. Kod błędu: Odmowa dostępu.. Wartość flagi ShutDown: %2

 

Zdarzenie 1002 ResourcePublication
 
Nie można opublikować elementu Provider\Microsoft.Base.Publication/Publication/Computer. Upewnij się, że klucze PKEY_PUBSVCS_METADATA i PKEY_PUBSVCS_TYPE są prawidłowo ustawione w wystąpieniu funkcji i że podczas dodawania wystąpienia funkcji nie wystąpiły błędy.

 

Zdarzenie 54 Time-Service
 
Do zdarzenia dołączono następujące informacje: Odmowa dostępu. (0x80070005)

 

Zdarzenie 10005 DistributedCOM
 
Model DCOM odebrał błąd 1068 podczas próby uruchomienia usługi netprofm z argumentami  w celu uruchomienia serwera:
{A47979D2-C419-11D9-A5B4-001185AD2B89}

 

Zdarzenie 7023 Service Control Manager
 
Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.
Usługa Podstawowy aparat filtrowania zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.
Usługa Usługa zasad diagnostyki zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.
Usługa Usługa Czas systemu Windows zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.

 

Zdarzenie 7001 Service Control Manager
 
Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: 
Odmowa dostępu.
 
Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: 
Odmowa dostępu.
 
Usługa Agent zasad IPsec zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: 
Odmowa dostępu.
 
Usługa Udostępnianie połączenia internetowego (ICS) zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: 
Odmowa dostępu.
 
Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu: 
Usługa zwróciła kod błędu specyficzny dla tej usługi.
 
Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu: 
Operacja ukończona pomyślnie.
 
Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu: 
Usługa nie została uruchomiona.
 
Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu: 
Operacja ukończona pomyślnie.

 

Zdarzenie 7024 Service Control Manager
 
Usługa Rozpoznawanie lokalizacji w sieci zakończyła działanie; wystąpił specyficzny dla niej błąd 3221226008 (0xC0000218).

 

 

---

1. Możesz wypróbować automatyczne narzędzie Fixit z artykułu: KB943996. Z tym, że wg opisu zakres naprawczy wąski, a ja nie znam aktualnych naruszeń w uprawnieniach. Po użyciu Fixit zresetuj komputer. Jeśli nie przyniesie to rezultatu:

 

2. Trzeba ręcznie wyresetować uprawnienia. Rozpiszę tu jako wzór wszystkie uprawnienia usług nadrzędnych, mimo że prawdopodobnie nie wszystko jest naruszone. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > i po kolei z prawokliku na poniższe klucze pobierasz Uprawnienia > Zaawansowane > dostosowujesz konta wraz z ich uprawnieniami:

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

----> TWÓRCA-WŁAŚCICIEL: Uprawnienia specjalne

 

 

Podklucz Parameters identycznie.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa, Usługa lokalna, Operatorzy konfiguracji sieci i Użytkownicy: Odczyt

----> Dhcp: Uprawnienia specjalne

 

 

Podklucze prawie tak samo, z wyjątkiem: Configurations i Options (tu konto Dhcp ma Pełną kontrolę a nie Uprawnienia specjalne) oraz Security (są tylko dwa konta SYSTEM + Administratorzy ustawione na Pełną kontrolę)

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DPS

----> SYSTEM: Pełna kontrola

----> Administratorzy i Użytkownicy: Uprawnienia specjalne

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DPS\Parameters

----> TrustedInstaller: Pełna kontrola

----> SYSTEM, Administratorzy i Użytkownicy: Odczyt

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

----> TWÓRCA-WŁAŚCICIEL: Uprawnienia specjalne

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters

----> SYSTEM i Administratorzy: Pełna kontrola

----> Dhcp, NlaSvc, INTERAKTYWNA, USŁUGA: Uprawnienia specjalne

 

 

(przy czym Dhcp i NlaSvc mają identyczne, INTERAKTYWNA ma odfajkowane Wyliczanie podkluczy + Kontrola odczytu, USŁUGA ma odfajkowane Powiadamianie)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Security

----> SYSTEM i Administratorzy: Pełna kontrola

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa, Usługa lokalna, Operatorzy konfiguracji sieci i Użytkownicy: Odczyt

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders

----> prawie jak wyżej, ale brak Usługi lokalnej oraz stoi dodatkowe konto W32Time o Uprawnieniach specjalnych:

 

 

 

Dodatkowa uwaga: jeśli jakiegoś specjalnego wbudowanego konta brakuje na liście, przy jego dodawaniu należy wykorzystać następujący schemat nazwy: NT Service\nazwa np. NT Service\Dhcp.

 

 

Przeglądając w Gmer rejestr w gałęzi HKLM w pod gałęzi SAM mam same czerwone wpisy chciałem zapytać czy to normalne że tak to wyświetla.

 

Jak najbardziej prawidłowe. Widzisz je jako czerwone, bo w tej szczególnej gałęzi SAM (baza kont / poświadczeń / haseł) jest ograniczenie dostępu przez uprawnienia.

 

 

 

.

[atasuke]

Pracuje nad nadawaniem uprawnień ręcznie ponieważ punkt 1 nie może się wykonać bo nie ma możliwości połączenia się z z siecią przynajmniej coś takiego wypisał.

 

Nie mogę odnaleźć :

Operatorzy konfiguracji sieci i Użytkownicy

nie wiem jaką nazwę wpisać by wyszukało.

 

W sumie w każdym pod kluczu brakuje wpisów : DHCP /Usługa sieciowa/usługa Lokalna/ Operatorzy konfiguracji sieci i Użytkownicy muszę wyszukiwać ręcznie i dodawać uprawnienia ale damy radę.

 

Normalnie prawdziwy Conficker

[picasso]

Nie mogę odnaleźć : Operatorzy konfiguracji sieci i Użytkownicy nie wiem jaką nazwę wpisać by wyszukało.

 

Na polskim Windows te wpisujesz dokładnie jak w cytacie. Gdyby to był angielski system sztucznie MUI-zowany na polski, nazwy angielskie trzeba dać: Users i Network Configuration Operators.

[atasuke]

Nie mogę znaleźć : Operatorzy konfiguracji sieci i Użytkownicy próbowałem nawet w Wybieranie: Użytkownik lub Grupa dać zaawansowane i wyszukaj teraz w ogóle nie widzi tego typu grupy.

Pisze nie można odnaleźć obiektu.

Resztę uprawnień nadałem zgodnie z wytycznymi.

[picasso]

Uruchom cmd, wpisz net localgroup i przeklej tu listę.

[atasuke]

Lista Localgroup:

 

Aliasy dla \\AGA-PC

 

-------------------------------------------------------------------------------

*Administratorzy

*Czytelnicy dzienników zdarzeń

*Goście

*IIS_IUSRS

*IIS_WPG

*SQLServer2005MSSQLServerADHelperUser$9392F85S8MCE0

*SQLServer2005MSSQLUser$9392F85S8MCE0$MSSMLBIZ

*SQLServer2005SQLBrowserUser$9392F85S8MCE0

*Użytkownicy

*Użytkownicy DCOM

*Użytkownicy dzienników wydajności

*Użytkownicy monitora wydajności

Polecenie zostało wykonane pomyślnie.

[picasso]

Grupa Użytkownicy jest, czyli wpisanie tego wprost w oknie jako Użytkownicy lub AGA-PC\Użytkownicy powinno działać. Pokaż mi na obrazku jak to wprowadzasz.

 

Operatorów tu faktycznie nie ma, ale zastanawiam się czy to na pewno jest usterka na Vista Basic. Poszukam inną kopię Vista u siebie dla porównania uprawnień, bo działam na Ultimate. Opuść tę grupę na razie.

[atasuke]

Grupa Użytkownicy jest, czyli wpisanie tego wprost w oknie jako Użytkownicy lub AGA-PC\Użytkownicy powinno działać

Wszystko działa już w tej grupie poustawiałem tak jak ma być.

Została tylko ta nieszczęsna grupa Operatorzy konfiguracji sieci i Użytkownicy.

[picasso]

Czy mam rozumieć, że już usługi startują i sieć powróciła?

 

Poza tym, na wszelki wypadek wykonaj pełne skanowanie za pomocą Avast, bo jednak robak zdołał wyrządzić szkody .... I czy na pewno ta Vista SP2 ma wszystkie krytyczne łaty późniejsze niż SP2 zainstalowane?

 

 

EDIT:

 

Została tylko ta nieszczęsna grupa Operatorzy konfiguracji sieci i Użytkownicy.

 

Dopisałeś. Ale pytam się: pokaż mi obrazek z operacji wpisywania Użytkowników, a Operatorów opuść na razie (bo jak mówię = może na Basic jest inny układ uprawnień).

 

 

 

.

[atasuke]

Nie jest jeszcze dobrze sieć nie powróciła dalej nie mogę znaleźć Operatorzy konfiguracji sieci i użytkownicy.

Zakręciłem się z deka i napisałem głupio że działa wszystko.

Zaraz wkleję obrazek jak to wpisuje.

 

[picasso]

Na obrazku wszystko jest w porządku: wpisanie Użytkownicy zwraca dwie nazwy, należy wybrać w drugim oknie tę pierwszą i OK, grupa ląduje na liście i przyznajesz jej uprawnienia. Gdzie tu leży problem, bo go nie widzę?

[atasuke]

Teraz już wiem o co chodzi zrobione.

Po uruchomieniu komputera wykrywa sieci ale nie może uruchomić diagnostyki sieci ponieważ twierdzi że nie ma włączonej usługi i kieruje mnie na zarządzanie usługami.

[picasso]

Po uruchomieniu komputera wykrywa sieci ale nie może uruchomić diagnostyki sieci ponieważ twierdzi że nie ma włączonej usługi i kieruje mnie na zarządzanie usługami.

 

Zrób nowy log z OTL na poprzednim warunku, wszędzie Brak + Żadne, z wyjątkiem Usług + Sterowników na Wszystko. I dostarcz świeży plik Dziennika zdarzeń, tylko plik System.evtx.

[atasuke]

Daje nowy log z OTL:

 

oraz

Log z system.evtx

http://www.speedyshare.com/files/30325650/System.rar

[picasso]

No ja tu nie widzę żadnych zmian, usługi nadal są zatrzymane (te same) i identyczne błędy w Dzienniku. Czy Ty na pewno prawidłowo ustaliłeś uprawnienia dla wszystkich usług i podkluczy? Nabrałam dużych wątpliwości po historii z grupą Użytkownicy. Poproszę o listę uprawnień rzeczonych usług:

 

Pobierz AccessEnum, w Options zaznacz Show Local System account, klik w Registry i w gałęzi HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services po kolei wybierasz do skanu każdy klucz (Dhcp | BFE | DPS | W32Time | NlaSvc) i klik w Scan. Niestety musisz to robić na każdym kluczu z osobna, bo nie widzę opcji hurtem. Pozapisuj z tych skanów logi tekstowe...

 

 

 

.

[atasuke]

Oto klucze główne o które prosiłaś z HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services :

uprawnienia.txt

Edytowane 16 Września 2011 przez picasso
Wstawiłam Załącznik zbiorczy. //picasso

[picasso]

Zrób mi jeszcze log z klucza i podkluczy HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip

[atasuke]

Dodatkowe logi z rejestru :

tcpip.txt

Edytowane 16 Września 2011 przez picasso
Wstawiłam Załącznik zbiorczy. //picasso

[picasso]

Temat jednak przenoszę do działu Vista. Wprawdzie problem jest niewątpliwie skutkiem infekcji, ale przeważa tu naprawa stricte ustawień Windows a nie usuwanie infekcji per se. Pliczki tekstowe przerobiłam na jeden zasobny log wstawiony jako Załącznik. Szybciej wczytuje się dane do ponownego wglądu.

 

 

---

Są nadal skopane uprawnienia, rzecz rozbija się o rekursywność uprawnień na podklucze kluczy już tu obrabianych, a dodatkowo i cały klucz TCPIP też jest zdefektowany. Conficker zrobił tu prawdziwy pogrom.

 

 

DHCP

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters\Options"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""	
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parametersv6\Options"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Klucze Options aktualnie mają tu tylko:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

A ma być:

 

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa, Usługa lokalna, Użytkownicy: Odczyt

----> Dhcp: Pełna kontrola

 

W obu kluczach Options powinny być podklucze numeryczne, każdy z nich musi mieć identyczne uprawnienia jak rozpisałam.

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Linkage\Disabled"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Podklucz Disabled powtarza historię, a ma mieć identyczne ustawienia jak klucz główny Dhcp (wróć do wcześniejszego rozpisu), bo po nim dziedziczy.

 

 

DPS

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DPS\Parameters"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	""

 

W kluczu Parameters aktualnie SYSTEM, Administratorzy i Użytkownicy mają Pełną kontrolę, a ma być:

----> TrustedInstaller: Pełna kontrola

----> SYSTEM, Administratorzy i Użytkownicy: Odczyt

 

 

NlaSvc

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NlaSvc\Parameters\Fuser"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NlaSvc\Parameters\PMux"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Tu ma być tylko SYSTEM i Administratorzy z Pełną kontrolą, Użytkownicy do wywalenia.

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NlaSvc\Parameters\Internet"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Brakuje konta Nlasvc z Uprawnieniami specjalnymi:

 

 

Klucz Internet ma podklucz Manual Proxies, którego uprawnienia mają być identyczne jak Internet.

 

 

W32Time

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time\TimeProviders\NtpClient"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""	
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time\TimeProviders\NtpServer"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Podklucze NtpClient i NtpServer aktualnie mają tylko:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

A ma być tak jak ma to główny klucz TimeProviders:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa i Użytkownicy: Odczyt

----> W32Time: Uprawnienia specjalne

 

 

 

TCPIP

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Enum"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Klucz główny oraz podklucz Enum aktualnie mają:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

Ma być:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa lokalna i Użytkownicy: Odczyt

----> Dhcp i Usługa sieciowa: Uprawnienia specjalne (identyczne dla obu kont)

----> PRAWA WŁAŚCICIELA: Uprawnienia specjalne

 

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Performance"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Podklucze Linkage, Parameters i Performance mają otrzymać prawie identyczne ustawienia jak klucz główny, z wyjątkiem niuansu Uprawnień specjalnych kont Dhcp i Usługa sieciowa (jest więcej zaptaszkowane):

 

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\ServiceProvider"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Podklucz ServiceProvider ma uzyskać:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa lokalna i Użytkownicy: Odczyt

----> Usługa sieciowa: Uprawnienia specjalne

 

 

 

W logu AccessEnum brakuje wyciągu podkluczy klucza Parameters, więc rozpisuję co tu ma być:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters (oraz wszystkie jego podklucze)

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DNSRegisteredAdapters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Mają mieć identyczne ustawienia jak nadrzędny klucz Parameters (bo po nim dziedziczą).

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Winsock

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

 

 

.

[atasuke]

Uporałem się z tymi uprawnieniami daje log z OTL usługi driver wszystko reszta na brak.

 

Z tego co widziałem w OTL DHCP zostało włączone ale nie działa dalej po oględzinach:

zapora systemu Windows

diagnostyka i naprawa sieci

Sprawdzę jeszcze raz całość wykonanego zadania z nadawaniem praw czy wszystko jest dobrze wykonane i dam znać

Natomiast po zmianach dotychczasowych które przeprowadziłem mogę korzystać z internetu połączenie samo się już włącza.