Skocz do zawartości

Wyłączenie usług i brak sieci po ataku Conficker


atasuke

Rekomendowane odpowiedzi

Witam jak w tytule powyżej mam problem z laptopem HP 6720s Compaq ponieważ nie mogę połączyć się z internetem. Gdy najeżdżam na centrum sieci i udostępniania koło zegara lub próbuje nawiązać połączenie wyskakuje informacja że "Uruchomienie usługi zależności lub grupy nie powiodło się".

 

Przedstawiam loga z OTL:

 

 

 

 

Gmer ucięty ponieważ zatrzymuje się na jednym z plików i przestaje odpowiadać będę próbował zrobić jeszcze z poziomu trybu awaryjnego i zaraz dodam gdy tylko się uda.

 

Chyba jakiś penowy chochlik się tu wkradł i miesza.

Edytowane przez picasso
Urwany log z GMER usuwam, w związku z dostarczeniem pełnego. //picasso
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jakie podstawy do typowania infekcji, czy coś konkretnego się wydarzyło? Póki co, to tu nie widać żadnych oczywistych śladów infekcji. Ale GMER jest urwany i oczekuję, że dostarczysz pełny.

 

O32 - AutoRun File - [2004-04-30 17:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ]

 

Ten plik wprawdzie jest ukryty, ale HP na swoich partycjach serwisowych może mieć takie pliki autorun.inf. Na wszelki wypadek otwórz ten plik w Notatniku i przedstaw jego zawartość.

 

 

Gdy najeżdżam na centrum sieci i udostępniania koło zegara lub próbuje nawiązać połączenie wyskakuje informacja że "Uruchomienie usługi zależności lub grupy nie powiodło się".

 

Zrób nowy log z OTL na warunkach: Usługi i Sterowniki ustaw na Wszystko, pozostałe sekcje na Brak. Ponadto, otwórz Dziennik zdarzeń i wyszukaj precyzyjnie te błędy zależności.

 

 

 

.

Odnośnik do komentarza
Jakie podstawy do typowania infekcji

Rozmawiałem z koleżanką właścicielką laptopa i powiedziała że ponoć po włożeniu pendriva wyskoczył alert o infekcji robakiem Conficker ,po tym zdarzeniu odcieło jej internet.

W kwarantannie zauważyłem plik autorun.inf ale z G

 

Daje logi z OTL z zaleceniami:

 

 

 

Otworzyłem też plik z dysku D : Autorun.inf oto jego zawartość:

 

[AUTORUN]

ShellExecute=Info.exe protect.ed 480 480

Natomiast nie mogę znaleźć błędów zależności w podglądzie zdarzeń. Jest tam tego trochę :) Nawet cztery krytyczne. Ale o zależnościach i usługach nic nie widzę. Zrobię screeny tych błędów i zamieszczę je tutaj.

Edytowane przez picasso
Krótki log wprost do posta wklejam. //picasso
Odnośnik do komentarza

Log z OTL będę analizować za chwilę, ale na szybko tu postuję:

 

 

Otworzyłem też plik z dysku D : Autorun.inf oto jego zawartość

 

Plik Hewlett-Packard.

 

 

Natomiast nie mogę znaleźć błędów zależności w podglądzie zdarzeń. Jest tam tego trochę :) Nawet cztery krytyczne. Ale o zależnościach i usługach nic nie widzę. Zrobię screeny tych błędów i zamieszczę je tutaj.

 

Powinno to być w sekcji SYSTEM. Zamiast robić jednak zrzuty ekranu, po prostu dostarcz pełne Dzienniki zdarzeń: KLIK.

 

 

 

.

Odnośnik do komentarza

Tytuł tematu dopasowałam do charakteru infekcji, choć ze względu na dysproporcję merytoryczną rozważam migrację tematu do działu Vista.

 

 

Rozmawiałem z koleżanką właścicielką laptopa i powiedziała że ponoć po włożeniu pendriva wyskoczył alert o infekcji robakiem Conficker ,po tym zdarzeniu odcieło jej internet.

 

Alert o infekcji Conficker wyjaśnia co się tu dzieje. Robak musiał zdążyć wyresetować uprawnienia usług. A teraz co widzę w materiałach:

 

 

Wg danych nie startują usługi DHCP + Podstawowy aparat filtrowania (BFE) + Usługa zasad diagnostyki (DPS) + Czas (W32Time) + Rozpoznawanie lokalizacji w sieci (NlaSvc), oczywiście w związku z tym padły wszystkie usługi podrzędne zależne od tu wyliczanych:

 

SRV - [2009-04-11 08:28:18 | 000,334,848 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\BFE.DLL -- (BFE)

---- SRV - [2009-04-11 08:28:20 | 000,438,784 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\IKEEXT.DLL -- (IKEEXT)

---- SRV - [2009-04-11 08:28:20 | 000,407,552 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\MPSSVC.dll -- (MpsSvc)

---- SRV - [2009-04-11 08:28:20 | 000,364,032 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\IPSECSVC.DLL -- (PolicyAgent)

---- SRV - [2008-01-19 09:34:34 | 000,288,256 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\ipnathlp.dll -- (SharedAccess)

---- SRV - [2008-01-19 09:34:53 | 000,068,608 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\mprdim.dll -- (RemoteAccess)

 

SRV - [2009-04-11 08:28:18 | 000,204,288 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\dhcpcsvc.dll -- (Dhcp)

---- SRV - [2009-08-24 13:36:45 | 000,377,344 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\winhttp.dll -- (WinHttpAutoProxySvc)

 

SRV - [2008-01-19 09:34:06 | 000,134,656 | ---- | M] (Microsoft Corporation) [unknown | Stopped] -- C:\WINDOWS\System32\dps.dll -- (DPS)

 

SRV - [2008-01-19 09:35:38 | 000,168,448 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\nlasvc.dll -- (NlaSvc)

---- SRV - [2008-01-19 09:35:36 | 000,237,056 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\netprofm.dll -- (netprofm)

 

SRV - [2009-04-11 08:28:25 | 000,282,624 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\System32\w32time.dll -- (W32Time)

 

W Dzienniku zdarzeń przedstawia to ta sekwencja błędów, a główne usługi charakteryzuje Odmowa dostępu:

 

Zdarzenie 1004 Dhcp-Client

Wystąpił błąd zatrzymywania usługi klienta Dhcpv4. Kod błędu: Odmowa dostępu.. Wartość flagi ShutDown: %2

 

Zdarzenie 1002 ResourcePublication

 

Nie można opublikować elementu Provider\Microsoft.Base.Publication/Publication/Computer. Upewnij się, że klucze PKEY_PUBSVCS_METADATA i PKEY_PUBSVCS_TYPE są prawidłowo ustawione w wystąpieniu funkcji i że podczas dodawania wystąpienia funkcji nie wystąpiły błędy.

 

Zdarzenie 54 Time-Service

 

Do zdarzenia dołączono następujące informacje: Odmowa dostępu. (0x80070005)

 

Zdarzenie 10005 DistributedCOM

 

Model DCOM odebrał błąd 1068 podczas próby uruchomienia usługi netprofm z argumentami w celu uruchomienia serwera:

{A47979D2-C419-11D9-A5B4-001185AD2B89}

 

Zdarzenie 7023 Service Control Manager

 

Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.

Usługa Podstawowy aparat filtrowania zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.

Usługa Usługa zasad diagnostyki zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.

Usługa Usługa Czas systemu Windows zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu.

 

Zdarzenie 7001 Service Control Manager

 

Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:

Odmowa dostępu.

 

Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:

Odmowa dostępu.

 

Usługa Agent zasad IPsec zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:

Odmowa dostępu.

 

Usługa Udostępnianie połączenia internetowego (ICS) zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:

Odmowa dostępu.

 

Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu:

Usługa zwróciła kod błędu specyficzny dla tej usługi.

 

Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu:

Operacja ukończona pomyślnie.

 

Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu:

Usługa nie została uruchomiona.

 

Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu:

Operacja ukończona pomyślnie.

 

Zdarzenie 7024 Service Control Manager

 

Usługa Rozpoznawanie lokalizacji w sieci zakończyła działanie; wystąpił specyficzny dla niej błąd 3221226008 (0xC0000218).

 

 


1. Możesz wypróbować automatyczne narzędzie Fixit z artykułu: KB943996. Z tym, że wg opisu zakres naprawczy wąski, a ja nie znam aktualnych naruszeń w uprawnieniach. Po użyciu Fixit zresetuj komputer. Jeśli nie przyniesie to rezultatu:

 

2. Trzeba ręcznie wyresetować uprawnienia. Rozpiszę tu jako wzór wszystkie uprawnienia usług nadrzędnych, mimo że prawdopodobnie nie wszystko jest naruszone. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > i po kolei z prawokliku na poniższe klucze pobierasz Uprawnienia > Zaawansowane > dostosowujesz konta wraz z ich uprawnieniami:

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

----> TWÓRCA-WŁAŚCICIEL: Uprawnienia specjalne

 

bfeperm.th.png

 

Podklucz Parameters identycznie.

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa, Usługa lokalna, Operatorzy konfiguracji sieci i Użytkownicy: Odczyt

----> Dhcp: Uprawnienia specjalne

 

dhcpperm.th.png

 

Podklucze prawie tak samo, z wyjątkiem: Configurations i Options (tu konto Dhcp ma Pełną kontrolę a nie Uprawnienia specjalne) oraz Security (są tylko dwa konta SYSTEM + Administratorzy ustawione na Pełną kontrolę)

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DPS

----> SYSTEM: Pełna kontrola

----> Administratorzy i Użytkownicy: Uprawnienia specjalne

 

dpsperm.th.png

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DPS\Parameters

----> TrustedInstaller: Pełna kontrola

----> SYSTEM, Administratorzy i Użytkownicy: Odczyt

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

----> TWÓRCA-WŁAŚCICIEL: Uprawnienia specjalne

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters

----> SYSTEM i Administratorzy: Pełna kontrola

----> Dhcp, NlaSvc, INTERAKTYWNA, USŁUGA: Uprawnienia specjalne

 

nlaperm1.th.png

 

(przy czym Dhcp i NlaSvc mają identyczne, INTERAKTYWNA ma odfajkowane Wyliczanie podkluczy + Kontrola odczytu, USŁUGA ma odfajkowane Powiadamianie)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Security

----> SYSTEM i Administratorzy: Pełna kontrola

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa, Usługa lokalna, Operatorzy konfiguracji sieci i Użytkownicy: Odczyt

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders

----> prawie jak wyżej, ale brak Usługi lokalnej oraz stoi dodatkowe konto W32Time o Uprawnieniach specjalnych:

 

w32timeperm.th.png

 

 

Dodatkowa uwaga: jeśli jakiegoś specjalnego wbudowanego konta brakuje na liście, przy jego dodawaniu należy wykorzystać następujący schemat nazwy: NT Service\nazwa np. NT Service\Dhcp.

 

 

Przeglądając w Gmer rejestr w gałęzi HKLM w pod gałęzi SAM mam same czerwone wpisy chciałem zapytać czy to normalne że tak to wyświetla.

 

Jak najbardziej prawidłowe. Widzisz je jako czerwone, bo w tej szczególnej gałęzi SAM (baza kont / poświadczeń / haseł) jest ograniczenie dostępu przez uprawnienia.

 

 

 

.

Odnośnik do komentarza

Pracuje nad nadawaniem uprawnień ręcznie ponieważ punkt 1 nie może się wykonać bo nie ma możliwości połączenia się z z siecią przynajmniej coś takiego wypisał.

 

Nie mogę odnaleźć :

Operatorzy konfiguracji sieci i Użytkownicy
nie wiem jaką nazwę wpisać by wyszukało.

 

W sumie w każdym pod kluczu brakuje wpisów : DHCP /Usługa sieciowa/usługa Lokalna/ Operatorzy konfiguracji sieci i Użytkownicy muszę wyszukiwać ręcznie i dodawać uprawnienia ale damy radę. :)

 

Normalnie prawdziwy Conficker ;)

Odnośnik do komentarza

Lista Localgroup:

 

Aliasy dla \\AGA-PC

 

-------------------------------------------------------------------------------

*Administratorzy

*Czytelnicy dzienników zdarzeń

*Goście

*IIS_IUSRS

*IIS_WPG

*SQLServer2005MSSQLServerADHelperUser$9392F85S8MCE0

*SQLServer2005MSSQLUser$9392F85S8MCE0$MSSMLBIZ

*SQLServer2005SQLBrowserUser$9392F85S8MCE0

*Użytkownicy

*Użytkownicy DCOM

*Użytkownicy dzienników wydajności

*Użytkownicy monitora wydajności

Polecenie zostało wykonane pomyślnie.

Odnośnik do komentarza

Grupa Użytkownicy jest, czyli wpisanie tego wprost w oknie jako Użytkownicy lub AGA-PC\Użytkownicy powinno działać. Pokaż mi na obrazku jak to wprowadzasz.

 

Operatorów tu faktycznie nie ma, ale zastanawiam się czy to na pewno jest usterka na Vista Basic. Poszukam inną kopię Vista u siebie dla porównania uprawnień, bo działam na Ultimate. Opuść tę grupę na razie.

Odnośnik do komentarza

Czy mam rozumieć, że już usługi startują i sieć powróciła?

 

Poza tym, na wszelki wypadek wykonaj pełne skanowanie za pomocą Avast, bo jednak robak zdołał wyrządzić szkody .... I czy na pewno ta Vista SP2 ma wszystkie krytyczne łaty późniejsze niż SP2 zainstalowane?

 

 

EDIT:

 

Została tylko ta nieszczęsna grupa Operatorzy konfiguracji sieci i Użytkownicy.

 

Dopisałeś. Ale pytam się: pokaż mi obrazek z operacji wpisywania Użytkowników, a Operatorów opuść na razie (bo jak mówię = może na Basic jest inny układ uprawnień).

 

 

 

.

Odnośnik do komentarza
Po uruchomieniu komputera wykrywa sieci ale nie może uruchomić diagnostyki sieci ponieważ twierdzi że nie ma włączonej usługi i kieruje mnie na zarządzanie usługami.

 

Zrób nowy log z OTL na poprzednim warunku, wszędzie Brak + Żadne, z wyjątkiem Usług + Sterowników na Wszystko. I dostarcz świeży plik Dziennika zdarzeń, tylko plik System.evtx.

Odnośnik do komentarza

No ja tu nie widzę żadnych zmian, usługi nadal są zatrzymane (te same) i identyczne błędy w Dzienniku. Czy Ty na pewno prawidłowo ustaliłeś uprawnienia dla wszystkich usług i podkluczy? Nabrałam dużych wątpliwości po historii z grupą Użytkownicy. Poproszę o listę uprawnień rzeczonych usług:

 

Pobierz AccessEnum, w Options zaznacz Show Local System account, klik w Registry i w gałęzi HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services po kolei wybierasz do skanu każdy klucz (Dhcp | BFE | DPS | W32Time | NlaSvc) i klik w Scan. Niestety musisz to robić na każdym kluczu z osobna, bo nie widzę opcji hurtem. Pozapisuj z tych skanów logi tekstowe...

 

 

 

.

Odnośnik do komentarza

Temat jednak przenoszę do działu Vista. Wprawdzie problem jest niewątpliwie skutkiem infekcji, ale przeważa tu naprawa stricte ustawień Windows a nie usuwanie infekcji per se. Pliczki tekstowe przerobiłam na jeden zasobny log wstawiony jako Załącznik. Szybciej wczytuje się dane do ponownego wglądu.

 

 


Są nadal skopane uprawnienia, rzecz rozbija się o rekursywność uprawnień na podklucze kluczy już tu obrabianych, a dodatkowo i cały klucz TCPIP też jest zdefektowany. Conficker zrobił tu prawdziwy pogrom.

 

 

DHCP

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters\Options"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""	

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parametersv6\Options" "Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM" "Administratorzy, ZARZĄDZANIE NT\SYSTEM" ""

 

Klucze Options aktualnie mają tu tylko:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

A ma być:

 

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa, Usługa lokalna, Użytkownicy: Odczyt

----> Dhcp: Pełna kontrola

 

W obu kluczach Options powinny być podklucze numeryczne, każdy z nich musi mieć identyczne uprawnienia jak rozpisałam.

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Linkage\Disabled"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Podklucz Disabled powtarza historię, a ma mieć identyczne ustawienia jak klucz główny Dhcp (wróć do wcześniejszego rozpisu), bo po nim dziedziczy.

 

 

DPS

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DPS\Parameters"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	""

 

W kluczu Parameters aktualnie SYSTEM, Administratorzy i Użytkownicy mają Pełną kontrolę, a ma być:

----> TrustedInstaller: Pełna kontrola

----> SYSTEM, Administratorzy i Użytkownicy: Odczyt

 

 

NlaSvc

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NlaSvc\Parameters\Fuser"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NlaSvc\Parameters\PMux" "Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM" "Administratorzy, ZARZĄDZANIE NT\SYSTEM" ""

 

Tu ma być tylko SYSTEM i Administratorzy z Pełną kontrolą, Użytkownicy do wywalenia.

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NlaSvc\Parameters\Internet"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Brakuje konta Nlasvc z Uprawnieniami specjalnymi:

 

nlasubkey.th.png

 

Klucz Internet ma podklucz Manual Proxies, którego uprawnienia mają być identyczne jak Internet.

 

 

W32Time

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time\TimeProviders\NtpClient"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""	

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time\TimeProviders\NtpServer" "Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM" "Administratorzy, ZARZĄDZANIE NT\SYSTEM" ""

 

Podklucze NtpClient i NtpServer aktualnie mają tylko:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

A ma być tak jak ma to główny klucz TimeProviders:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa sieciowa i Użytkownicy: Odczyt

----> W32Time: Uprawnienia specjalne

 

w32timesubkey.th.png

 

 

TCPIP

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Enum" "Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM" "Administratorzy, ZARZĄDZANIE NT\SYSTEM" ""

 

Klucz główny oraz podklucz Enum aktualnie mają:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

Ma być:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa lokalna i Użytkownicy: Odczyt

----> Dhcp i Usługa sieciowa: Uprawnienia specjalne (identyczne dla obu kont)

----> PRAWA WŁAŚCICIELA: Uprawnienia specjalne

 

tcpperm1.th.png tcpperm2.th.png

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters" "Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM" "Administratorzy, ZARZĄDZANIE NT\SYSTEM" ""

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Performance" "Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM" "Administratorzy, ZARZĄDZANIE NT\SYSTEM" ""

 

Podklucze Linkage, Parameters i Performance mają otrzymać prawie identyczne ustawienia jak klucz główny, z wyjątkiem niuansu Uprawnień specjalnych kont Dhcp i Usługa sieciowa (jest więcej zaptaszkowane):

 

tcpperm3.th.png

 

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\ServiceProvider"	"Administratorzy, Użytkownicy, ZARZĄDZANIE NT\SYSTEM"	"Administratorzy, ZARZĄDZANIE NT\SYSTEM"	""

 

Podklucz ServiceProvider ma uzyskać:

----> SYSTEM i Administratorzy: Pełna kontrola

----> Usługa lokalna i Użytkownicy: Odczyt

----> Usługa sieciowa: Uprawnienia specjalne

 

tcpperm4.th.png

 

 

W logu AccessEnum brakuje wyciągu podkluczy klucza Parameters, więc rozpisuję co tu ma być:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters (oraz wszystkie jego podklucze)

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DNSRegisteredAdapters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Mają mieć identyczne ustawienia jak nadrzędny klucz Parameters (bo po nim dziedziczą).

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Winsock

----> SYSTEM i Administratorzy: Pełna kontrola

----> Użytkownicy: Odczyt

 

 

 

.

Odnośnik do komentarza

Uporałem się z tymi uprawnieniami daje log z OTL usługi driver wszystko reszta na brak.

 

Z tego co widziałem w OTL DHCP zostało włączone ale nie działa dalej po oględzinach:

zapora systemu Windows

diagnostyka i naprawa sieci

Sprawdzę jeszcze raz całość wykonanego zadania z nadawaniem praw czy wszystko jest dobrze wykonane i dam znać

Natomiast po zmianach dotychczasowych które przeprowadziłem mogę korzystać z internetu połączenie samo się już włącza.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...