系统对象: 加强内部系统对象的默认权限(例如,符号链接)
介绍了有关“系统对象: 加强内部系统对象的默认权限(例如,符号链接)”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
此策略设置确定对象的默认自定义访问控制列表 (DACL) 的强度。Windows 维护共享的系统资源(如 MS-DOS 设备名称、互斥以及信号灯)的全局列表。通过使用此列表,进程可以找到并共享对象。每种类型的对象均使用默认 DACL 创建,它指定哪些人员可使用哪些权限访问对象。启用此策略设置将加强默认 DACL 并运行非管理员用户读取(但不能修改)不是他们创建的共享对象。
可能值
启用
禁用
未定义
最佳做法
- 建议将此策略设置为“启用”****。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
启用 |
DC 有效默认设置 |
启用 |
成员服务器有效默认设置 |
启用 |
客户端计算机有效默认设置 |
已启用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
默认启用此策略设置,目的是防止出现一个可以与硬链接或符号链接配合使用的已知漏洞。硬链接是文件系统中的实际目录项。借助硬链接,可以通过不同的文件名称查找文件系统中的相同数据。符号链接属于文本文件,提供指向作为另一个文件或目录的路径被解释且后跟操作系统的文件的指针。由于符号链接是一个独立的文件,因此它们可以独立于目标位置存在。如果删除一个符号链接,其目标位置不会受到影响。如果禁用此设置,恶意用户可能会通过创建一个看起来像是系统自动创建的临时文件(如按顺序命名的日志文件),但指向恶意用户想要消除的数据文件的链接来销毁数据文件。当系统编写带有该名称的文件时,数据将被覆盖。启用“系统对象:加强内部系统对象的默认权限(例如,符号链接)”可防止攻击者通过不允许创建带有可预知名称的文件的程序对并非它们创建的对象进行写入来攻击它们。
对策
启用“系统对象:加强全局系统对象的默认权限(例如,符号链接)”****设置。
潜在影响
无。这是默认配置。