一个BFE注册表项的ACL是由微软攻击表面分析器标记-我需要做什么？

Question

有人能帮助我理解我应该采取什么样的行动来缓解微软表面攻击分析器中出现的这个问题吗？我怎么能收紧ACL？有标准的程序要做吗？

Service BFE is vulnerable to tampering by multiple non-administrator accounts.
Description:

The service BFE is vulnerable to tampering by multiple non-administrator accounts.

Details:

Service: BFE
Registry keys writable by: 

Key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\BFE\Parameters\Policy\Persistent\Callout

Account Rights
NT SERVICE\BFE (S-1-5-80-1383140227-27657646-1662666058-2710981023-2300958487)  KEY_SET_VALUE
Local Service (S-1-5-19)    WRITE_DAC

Action:

The relevant ACL(s) must be tightened.

Answer 1

它说这个关键的安全注册表项可以由Local Service (S-1-5-19) WRITE_DAC写，这是一个关键的安全风险。其ACL应更改为管理员级组或使用regedit中此键的安全选项卡的用户。或者，您可以简单地删除这个写，因为您永远不知道它是什么样的完整性特性。有了一个坏的ACL，您就可以破坏整个操作系统。