Strategie AlwaysInstallElevated

Privilege Escalation Windows - Cheatsheet - Stratégie AlwaysInstallElevated

1. Identification de la Stratégie :

   • Utilisez l'éditeur de stratégie de groupe (gpedit.msc) pour vérifier si la stratégie AlwaysInstallElevated est activée.

2. Vérification de l'Autorisation d'Installation :

   • Recherchez les programmes MSI (Microsoft Installer) pour lesquels l'installation est autorisée en tant qu'administrateur.

3. Exploitation de la Stratégie AlwaysInstallElevated :

   • Créez un fichier MSI avec un programme malveillant et utilisez-le pour exploiter la stratégie AlwaysInstallElevated.

4. Utilisation de l'Utilitaire MSIEXEC :

   • Utilisez l'outil msiexec avec des privilèges élevés pour exécuter un fichier MSI malveillant.

5. Abus des Autorisations de Fichiers :

   • Identifiez les fichiers MSI avec des autorisations de fichiers faibles pour les modifier et les utiliser pour l'élévation de privilèges.

6. Modification de la Stratégie de Groupe :

   • Modifiez la stratégie AlwaysInstallElevated pour inclure le fichier MSI malveillant et exécuter un programme avec des privilèges élevés.

7. Recherche de Répertoires Partagés :

   • Recherchez des répertoires partagés avec l'autorisation Écriture pour placer le fichier MSI malveillant.

8. Utilisation d'outils MSI pour l'Élévation de Privilèges :

   • Utilisez des outils tels que WiX Toolset pour créer des fichiers MSI malveillants pour l'élévation de privilèges.

9. Analyse des Événements de Sécurité :

   • Surveillez les événements de sécurité pour détecter toute utilisation abusive de la stratégie AlwaysInstallElevated.

10. Vérification de la Version du Système d'Exploitation :

    • Assurez-vous que la stratégie AlwaysInstallElevated est applicable à la version spécifique du système d'exploitation.

11. Utilisation d'outils d'analyse :

    • Utilisez des outils d'analyse comme Procmon de Sysinternals pour surveiller l'accès aux fichiers et détecter les modifications de la stratégie.