Defense in depth -- the Microsoft way (part 94): SAFER (SRPv1 and AppLocker alias SRPv2) bypass for dummies
好的,我现在需要帮用户总结一篇文章的内容,控制在100个字以内,并且不需要特定的开头。首先,我得仔细阅读用户提供的文章内容。 这篇文章主要讨论了微软在Windows中内置的Windows Script Host(WSH)及其相关的注册表设置。作者Stefan Kanthak指出,WSH自1995年起就被包含在Windows中,并且默认启用了某些安全功能,比如SAFER(Software Restriction Policies和AppLocker)。然而,用户可以通过修改注册表来绕过这些安全设置,从而可能带来安全风险。 接下来,我需要提取关键信息:WSH的存在时间、默认的安全设置、用户如何绕过这些设置。然后,我需要用简洁的语言将这些信息浓缩到100字以内。 可能会遇到的问题是如何准确传达技术细节而不超出字数限制。比如,“UseWINSAFER”这个注册表项的作用是什么?用户如何通过修改注册表来禁用SAFER?这些都是需要明确的关键点。 最后,确保总结准确无误,并且符合用户的要求:直接描述文章内容,不使用特定的开头语。 </think> 微软自1995年起在Windows中内置Windows Script Host,默认启用SAFER(Software Restriction Policies和AppLocker),但用户可通过注册表修改绕过安全限制。 2025-12-23 00:45:42 Author: seclists.org(查看原文) 阅读量:5 收藏
好的,我现在需要帮用户总结一篇文章的内容,控制在100个字以内,并且不需要特定的开头。首先,我得仔细阅读用户提供的文章内容。 这篇文章主要讨论了微软在Windows中内置的Windows Script Host(WSH)及其相关的注册表设置。作者Stefan Kanthak指出,WSH自1995年起就被包含在Windows中,并且默认启用了某些安全功能,比如SAFER(Software Restriction Policies和AppLocker)。然而,用户可以通过修改注册表来绕过这些安全设置,从而可能带来安全风险。 接下来,我需要提取关键信息:WSH的存在时间、默认的安全设置、用户如何绕过这些设置。然后,我需要用简洁的语言将这些信息浓缩到100字以内。 可能会遇到的问题是如何准确传达技术细节而不超出字数限制。比如,“UseWINSAFER”这个注册表项的作用是什么?用户如何通过修改注册表来禁用SAFER?这些都是需要明确的关键点。 最后,确保总结准确无误,并且符合用户的要求:直接描述文章内容,不使用特定的开头语。 </think> 微软自1995年起在Windows中内置Windows Script Host,默认启用SAFER(Software Restriction Policies和AppLocker),但用户可通过注册表修改绕过安全限制。 2025-12-23 00:45:42 Author: seclists.org(查看原文) 阅读量:5 收藏
Full Disclosure mailing list archives
From: Stefan Kanthak via Fulldisclosure <fulldisclosure () seclists org>
Date: Sat, 20 Dec 2025 20:44:01 +0100
Hi @ll, since 30 years Microsoft ships Windows with "Windows Script Host", an empty registry key and the following registry entries: [HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings] "ActiveDebugging"="1" "DisplayLogo"="1" "SilentTerminate"="0" "UseWINSAFER"="1" The last registry entry (which is not writeable by unprivileged users) enables SAFER, i.e. both Software Restriction Policies and AppLocker, for the various script engines (JScript, VBScript, PerlScript, ...) run inside of Windows Script Host. Windows Script Host supports the following additional registry entries: "Enabled"=... "LogSecurityFailures"=... "LogSecuritySuccesses"=... "TimeOut"=... "IgnoreUserSettings"=... Except for the last one, which is evaluated only in the [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings] registry key, (unprivileged) users can but overrule the (read-only) settings shown above by adding the same registry entries to their [HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings] registry key, i.e. UNLESS disabled via [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings] "IgnoreUserSettings"="1" they can enable a disabled Windows Script Host or disable SAFER for it via the following registry entries: [HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings] "Enabled"="1" "UseWINSAFER"="0" stay tuned Stefan Kanthak PS: these registry entries can be either REG_SZ or REG_DWORD _______________________________________________ Sent through the Full Disclosure mailing list https://nmap.org/mailman/listinfo/fulldisclosure Web Archives & RSS: https://seclists.org/fulldisclosure/
Current thread:
- Defense in depth -- the Microsoft way (part 94): SAFER (SRPv1 and AppLocker alias SRPv2) bypass for dummies Stefan Kanthak via Fulldisclosure (Dec 22)
文章来源: https://seclists.org/fulldisclosure/2025/Dec/29
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh