Erstellen symbolischer Verknüpfungen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Erstellen symbolischer Verknüpfungen beschrieben.
Referenz
Mit dieser Benutzerberechtigung wird bestimmt, ob ein Benutzer auf dem Gerät, auf dem er angemeldet ist, eine symbolische Verknüpfung erstellen kann.
Bei einer symbolischen Verknüpfung handelt es sich um ein Dateisystemobjekt, das auf ein anderes Dateisystemobjekt verweist. Das Objekt, auf das verwiesen wird, wird als Ziel bezeichnet. Symbolische Verknüpfungen sind für Benutzer transparent. Die Links werden wie normale Dateien oder Verzeichnisse angezeigt, und sie können vom Benutzer oder einer Anwendung auf die gleiche Weise verwendet werden. Symbolische Verknüpfungen sollen die Migration und Anwendungskompatibilität mit UNIX-Betriebssystemen erleichtern. Microsoft hat symbolische Verknüpfungen so implementiert, dass sie wie UNIX-Links funktionieren.
Warnung Diese Berechtigung sollte nur vertrauenswürdigen Benutzer zugewiesen werden. Symbolische Verknüpfungen können in Anwendungen, die nicht zur Behandlung dieser Art von Verknüpfungen entworfen wurden, ein Sicherheitsrisiko darstellen.
Konstante: SeCreateSymbolicLinkPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Diese Benutzerberechtigung sollte nur vertrauenswürdigen Benutzern zugewiesen werden. Symbolische Verknüpfungen können in Anwendungen, die nicht zur Behandlung dieser Art von Verknüpfungen entworfen wurden, ein Sicherheitsrisiko darstellen.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
In der Standardeinstellung verfügen Mitglieder der Gruppe „Administratoren“ über dieses Recht.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Administratoren |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Befehlszeilentools
Diese Einstellung kann in Verbindung mit einer Dateisystemeinstellung für symbolische Verknüpfungen verwendet werden, die mit dem Befehlszeilentool bearbeitet werden kann, um die auf dem Gerät zulässigen Arten von symbolischen Verknüpfungen zu steuern. Geben Sie fsutil behavior set symlinkevalution /? an der Eingabeaufforderung ein, um weitere Informationen zu erhalten.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Benutzer, die über die Benutzerberechtigung Erstellen symbolischer Verknüpfungen verfügen, können das System absichtlich oder unabsichtlich Angriffen über symbolische Verknüpfungen aussetzen. Bei Angriffen über symbolische Verknüpfungen können die Berechtigungen für eine Datei geändert, Daten beschädigt oder gelöscht sowie DoS-Angriffe ausgeführt werden.
Gegenmaßnahme
Weisen Sie die Benutzerberechtigung Erstellen symbolischer Verknüpfungen keinen Standardbenutzern zu. Beschränken Sie diese Berechtigung auf vertrauenswürdige Administratoren. Sie können mit dem Befehl fsutil eine Dateisystemeinstellung für symbolische Verknüpfungen festlegen, mit der gesteuert wird, welche Arten von symbolischen Verknüpfungen auf einem Computer erstellt werden können.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.