could not get debug privilege are you admin что делать
Could not get debug privilege are you admin windows 10
Получение привилегии SeDebugPrivilege при включенной политике Debug Program
В предыдущей статье мы рассказывали, что одной из техник защиты от извлечения паролей из памяти Windows mimikatz-like утилитами является запрет получения debug-привилегии для администраторов системы с помощью групповой политики Debug Program. Однако недавно обнаружилось, что без прав отладки (в Windows это привилегия SeDebugPrivilege), локальный администратор сервера не может установить или обновлять Microsoft SQL Server. Дело в том, что установщик SQL Server при запуске проверяет наличие привилегий SeSecurity. SeBackup и SeDebug, которые нужны ему для запуска процесса SQL Server и получения информации об успешном запуске SQL Server. Вот как это выглядит.
Во время установки SQL Server при выполнении предварительных проверок установщик спотыкается на проверке Setup account privileges.
Щелкнув по ссылке “Failed”, можно увидеть такое сообщение:
Откроем теперь отчет установки SystemConfigurationCheck_Report.htm.
Как вы видите, установщик при проверке правила HasSecurityBackupAndDebugPrivilegesCheck установил, что у текущего процесса отсутствует одна из следующих привилегий:
В логе есть более детальная информация, указывающая, что у процесса установки отсутствует флаг SeDebug:
(09) 2017-09-12 14:25:13 Slp: Initializing rule : Setup account privileges
(09) 2017-09-12 14:25:13 Slp: Rule is will be executed : True
(09) 2017-09-12 14:25:13 Slp: Init rule target object: Microsoft.SqlServer.Configuration.SetupExtension.FacetPrivilegeCheck
(09) 2017-09-12 14:25:13 Slp: Rule ‘HasSecurityBackupAndDebugPrivilegesCheck’ Result: Running process has SeSecurity privilege, has SeBackup privilege and does not have SeDebug privilege.
(09) 2017-09-12 14:25:13 Slp: Evaluating rule : HasSecurityBackupAndDebugPrivilegesCheck
(09) 2017-09-12 14:25:13 Slp: Rule running on machine: msk-sql10
(09) 2017-09-12 14:25:13 Slp: Rule evaluation done : Failed
Я решил поискать обходной путь получения прав SeDebugPrivilege без изменения или отключения политики Debug programs. И как оказалось, имеется довольно простой способ обхода этой политики при наличии прав локального администратора на сервере. В этом нам поможет утилита secedit, позволяющая управлять локальными политиками безопасности сервера.
Проверяем текущие привилегии:
Экспортируем текущие права пользователей, настроенные групповыми политиками в текстовый файл:
secedit /export /cfg secpolicy.inf /areas USER_RIGHTS
Теперь с помощью любого тестового редактора нужно открыть на редактирование файл secpolicy.inf и в секцию [Privilege Rights] добавить строку, предоставляющую права Debug Programs группе локальных администраторов.
Сохраните файл. Теперь нужно применить новые пользовательские права:
secedit /configure /db secedit.sdb /cfg secpolicy.inf /overwrite /areas USER_RIGHTS
Теперь нужно выполнить логофф/логон и с помощью secpol.msc убедиться, что для группы локальных администраторов назначены права Debug Program. Это же подтверждает команда whoami /priv:
SeDebugPrivilege Debug programs Enabled
Теперь можно запускать установку/обновлений SQL Server. Но стоит иметь в виду, что привилегия SeDebugPrivilege в данном случается назначается лишь временно и они будут сброшены при следующем обновлении групповых политик (но уже после logoff пользователя).
Как вы понимаете, включение запретительной политики Debug programs не является панацей от получения права SeDebugPrivilege вредоносными программами, которые уже проникли на сервер с правами локального администратора, что может скомпрометировать все учетные записи пользователей/администраторов, работящих на сервере.
Получаем право SeDebugPrivilege для успешной установки Microsoft SQL Server 2012 при ограниченной доменной политике «Debug programs»
В свете недавних событий с повышением вирусной активности многие организации стали уделять больше внимания вопросам всестороннего усиления мер безопасности в собственных ИТ-инфраструктурах. При этом некоторые из применяемых мер могут создать дополнительные сложности в работе самих ИТ-специалистов.
Если в данной политике явно задать доменную группу безопасности, то только члены данной группы смогут получить привилегию SeDebugPrivilege на всех компьютерах домена, на которые будет действовать данная групповая политика. Однако данная политика может осложнить жизнь не только инструментам типа Mimikatz, но и вполне легитимным приложениям, которые в своей работе могут использовать привилегии отладки. Например, после включения данной политики программа установки SQL Server 2012 может завершаться с ошибкой проверки правила » Setup account privileges » …
…в том случае, если пользователь, от имени которого выполнятся установка, не был предварительно включён в соответствующую доменную группу безопасности, даже не смотря на то, что данный пользователь входит в группу локальных администраторов сервера.
…, то мы увидим, что срабатывает правило HasSecurityBackupAndDebugPrivilegesCheck, которое и выполняет проверку наличия прав доступа SeSecurityPrivilege, SeBackupPrivilege и SeDebugPrivilege. Как я понял, если хотя бы одна из перечисленных привилегий не будет доступна пользователю, от имени которого запущен процесс установки SQL Server, то ошибка при проверке правила HasSecurityBackupAndDebugPrivilegesCheck неизбежна.
Как же быть в такой ситуации тем пользователям, которые являются локальными администраторами серверов, но не могут при этом установить SQL Server не прибегая к помощи администраторов безопасности уровня домена? Неужели каждый раз придётся терзать доменную группу безопасности, определённую в политике «Debug programs»?
Чтобы получить необходимую нам привилегию SeDebugPrivilege, достаточно выполнить команду типа:
где KOM\Vasya имя доменного пользователя, от имени которого мы будем выполнять установку SQL Server. После выполнения этой команды, соответствующему пользователю необходимо выполнить logoff/logon и запросить информацию о текущем наборе прав, например с помощью утилиты whoami:
Как видим, теперь все три нужные нам привилегии, необходимые для установки SQL Server получены, и мы можем снова попытаться выполнить установку. И на этот раз предварительная проверка и последующая установка должны пройти успешно.
Однако помните про то, что после очередного применения групповой политики право SeDebugPrivilege будет снова изъято (согласно настроек доменных GPO) и уже после следующего logoff/logon данная привилегия у нашего пользователя перестанет работать.
На мой взгляд, такое поведение системы можно расценивать, как уязвимость, которую помимо легитимного локального администратора может эксплуатировать и вредительское ПО с уровнем прав локального администратора. То есть, даже с глобально включённой в домене политикой «Debug programs», по факту остаётся риск получения права SeDebugPrivilege со стороны вредоносного ПО, использующего такие инструменты, как Mimikatz.
Could Not Get Debug Privilege! Are You Admin How to Fix This Error in X force
Показать панель управления
Комментарии • 70
Thanks million! Never thought this would be very simple! King :3
Thanks bhai short video, and usefull video
Awesome Bro Simple solution for patch thank you 👍
grqacias amigo me estaba frustrando al tratar de buscar una solucion muchas gracias
thanks so much it works
THANK YOU ITS WORKING
Thanks 100% recommend
It’s Working Thanks a lot
Thanks for the help!
workkkk,thx you so much
it’s workkk. finally, thank you so much bro
I try, but i can’t make the program works, I still have the problem of «you need to apply patch when license screen appears». Can you help me please? U.u
thanks bro for help me
Thanks bro, it worked perfectly.
Wow. graet tutorial Iam solved my issue thaks a lot
Amaizing very thanks
I still get the same error, why only meee, help plz
Run as admin ahah right click properties. I had a few troubles along the way but with Common sense comes great power! I Manage to make my way around it. I suggest u follow him step by step in every video. Doesn’t take much of ur time for having the result u want 😀
Or i could make a much simpler tutorial, and where i got the installer
license error there is a problem with the software license
could not get debug privilege are you admin? Fixed
Показать панель управления
Комментарии • 70
Thank you so so much
thank is for help my
Buenos días amigo, muchas gracias por su ayuda
it worked perfectly! Thankyou so much
Thank you very much bro frm last 1 month i was searching the solution for this problem
very effective, it has worked for me
This worked for me as well, 2018, Windows 10. Thanks man.
Been trying to do this for ages. thank you 100% works
yea it works, was spooked by giving a «malware» admin privileges but whatevar. I needed da software.
THANK YOU SO MUCH!! IT WORKS!!
THANKSSS YOU ARE THE BESTTT
Thanks man, definitely helped me. 🙂
ahah Thank you likee
100%%%%%% works thank youuu.
life saver thanks dude
THANKS IT WORKED FINE
how can it work for windows 10?
Choose compatible mode Windows 8
thanks brother.it`s worked.
Thank you so much, it works.
Bro it helped me a lot. thank you. keep up the good work
Thank’s men! work’s 100%!!
thank you very much
worked for me thanks a lot;)
I have windows 10 and int’s not on the list, what should I do?
First I moved it to the desktop, then right click and «run as administrator» 😉
I ran the X-Force as an administrator and it was solved (advice for windows 10 users)
VERY USEFUL TIPS THANKS A LOT
Successfully patched but code hasn’t worked for me..
same here did you get code to work i got successfully patched
Still cant work on Windows 10 64bit, trying to install autocad 2017, help please 😢
Thank you so much. It’s fine on windows 10 as well
Thank you you have earned 1+ subs and likes
its nnot working ot windows 10
i cant still use it on windows 10
Run the X-Force as an administrator, it worked for me on windows 10
in my system its not showing windows 7
but os is windows 7
Could Not Get Debug Privilege! Are You Admin How to Fix This Error in X force
Oyunçu kontrollarını göstərin
Şərh • 70
Thanks million! Never thought this would be very simple! King :3
Thanks bhai short video, and usefull video
Awesome Bro Simple solution for patch thank you 👍
grqacias amigo me estaba frustrando al tratar de buscar una solucion muchas gracias
thanks so much it works
THANK YOU ITS WORKING
Thanks 100% recommend
It’s Working Thanks a lot
Thanks for the help!
workkkk,thx you so much
it’s workkk. finally, thank you so much bro
I try, but i can’t make the program works, I still have the problem of «you need to apply patch when license screen appears». Can you help me please? U.u
thanks bro for help me
Thanks bro, it worked perfectly.
Wow. graet tutorial Iam solved my issue thaks a lot
Amaizing very thanks
I still get the same error, why only meee, help plz
Run as admin ahah right click properties. I had a few troubles along the way but with Common sense comes great power! I Manage to make my way around it. I suggest u follow him step by step in every video. Doesn’t take much of ur time for having the result u want 😀
Or i could make a much simpler tutorial, and where i got the installer
license error there is a problem with the software license