シンボリック リンクの作成

[シンボリック リンクの作成] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。

参考

このユーザー権利は、ユーザーがログオンしているデバイスからシンボリック リンクを作成できるかどうかを指定します。

シンボリック リンクはファイル システム オブジェクトで、別のファイル システム オブジェクトを指定します。指定されたオブジェクトは、ターゲットと呼ばれます。シンボリック リンクはユーザーに対して透過的です。このリンクは通常のファイルまたはディレクトリとして表示され、ユーザーやアプリケーションによってまったく同じ方法で動作させることができます。シンボリック リンクは、UNIX オペレーティング システムとの移行とアプリケーション互換性を支援するように設計されています。Microsoft では、ちょうど UNIX のリンクのように機能するシンボリック リンクを実装しました。

警告   この特権は信頼されたユーザーにのみ割り当てる必要があります。シンボリック リンクを処理するように設計されていないアプリケーションでは、シンボリック リンクによってセキュリティ上の脆弱性が発生する場合があります。

定数: SeCreateSymbolicLinkPrivilege

設定可能な値

• アカウントのユーザー定義一覧

• 未定義

ベスト プラクティス

• このユーザー権利は、信頼されたユーザーにのみ割り当てる必要があります。 シンボリック リンクを処理するように設計されていないアプリケーションでは、シンボリック リンクによってセキュリティ上の脆弱性が発生する場合があります。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

既定値

既定では、Administrators グループのメンバーにこの権利が付与されます。

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。

ポリシー管理

このセクションでは、このポリシーの管理をサポートするために利用可能な各種機能およびツールについて説明します。

このポリシー設定を有効にするために、デバイスを再起動する必要はありません。

アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。

グループ ポリシー

設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。

1. ローカル ポリシー設定

2. サイト ポリシー設定

3. ドメイン ポリシー設定

4. OU ポリシー設定

ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。

コマンド ライン ツール

この設定は、デバイス上で許可されているシンボリック リンクの種類を制御する、コマンド ライン ツールを使って操作できるシンボリック リンクのファイル システム設定と組み合わせて使うことができます。詳しくは、コマンド プロンプトで「fsutil behavior set symlinkevalution /?」と入力します。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

[シンボリック リンクの作成] ユーザー権利を持つユーザーが、誤ってまたは悪意を持ってシステムにシンボリック リンク攻撃を仕掛ける可能性があります。シンボリック リンク攻撃を実行すると、ファイルのアクセス許可の変更、データの破損、データの破壊、つまり DoS 攻撃が可能になります。

対策

[シンボリック リンクの作成] ユーザー権利を標準ユーザーには割り当てないでください。この権利は信頼された管理者に制限します。fsutil コマンドを使うと、コンピューター上に作成できるシンボリック リンクの種類を制御するシンボリック リンクのファイル システム設定を確立できます。

考えられる影響

なし。既定の構成は [未定義] です。

関連トピック

ユーザー権利の割り当て