Обход перекрестной проверки
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Обход перекрестной проверки.
Справочные материалы
Этот параметр политики определяет, какие пользователи (или процесс, который действует от имени учетной записи пользователя) имеют право переходить по пути к объекту в файловой системе NTFS или в реестре без проверки наличия специального разрешения доступа "Обзор папок". Это право не позволяет пользователям просматривать содержимое папки. Оно позволяет только выполнять переход в рамках папок для доступа к разрешенным файлам или вложенным папкам.
Константа: SeChangeNotifyPrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
Используйте перечисление на основе доступа, если требуется запретить пользователям просматривать папки или файлы, права на доступ к которым у них отсутствуют.
В большинстве случаев следует использовать заданные по умолчанию параметры этой политики. При изменении параметров проверьте, все ли идет так, как надо, выполнив тестирование.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Администраторы Прошедшие проверку пользователи Все Локальная служба Сетевая служба Пред-Windows 2000 доступ |
Параметры автономного сервера по умолчанию |
Администраторы Операторы архива Пользователи Все Локальная служба Сетевая служба |
Действующие параметры контроллера домена по умолчанию |
Администраторы Прошедшие проверку пользователи Все Локальная служба Сетевая служба Пред-Windows 2000 доступ |
Действующие параметры рядового сервера по умолчанию |
Администраторы Операторы архива Пользователи Все Локальная служба Сетевая служба |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы Операторы архива Пользователи Все Локальная служба Сетевая служба |
Управление политикой
Разрешения на доступ к файлам и папкам управляются с помощью настройки конфигурации системных списков управления доступом (ACL). Возможность перехода в рамках папок не предоставляет пользователю прав на чтение или запись.
Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта.
Параметры политики домена.
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Конфигурация по умолчанию для параметра Обход перекрестной проверки позволяет всем пользователям обходить перекрестную проверку. Разрешения на доступ к файлам и папкам управляются с помощью настройки конфигурации системных списков управления доступом (ACL), поскольку возможность перехода в рамках папок не предоставляет пользователю прав на чтение или запись. Использование принятой по умолчанию конфигурации может иметь отрицательные последствия только в том случае, если администратор, который назначает разрешения, не понимает принцип работы этого параметра политики. Например, администратор может предполагать, что пользователи без доступа к папкам не могут обращаться к содержимому дочерних папок. Эта ситуация маловероятна и, следовательно, данная уязвимость представляет минимальный риск.
Меры противодействия
Удаление группы "Все" (или даже группы "Пользователи") из списка групп, которым предоставлено право Обход перекрестной проверки, оправданно в организациях, которым необходимо обеспечивать очень высокий уровень безопасности. Эффективным способом ограничения доступа к конфиденциальной информации может оказаться получение явного контроля над назначениями обхода. Можно также использовать перечисление на основе доступа. Если вы используете перечисление на основе доступа, пользователи не смогут увидеть папки или файлы, доступ к которым у них отсутствует. Подробнее об этой функции см. в статье Перечисление на основе доступа.
Возможные последствия
При разработке операционных систем Windows и многих приложений принималось во внимание предположение, что это право пользователя будет иметь каждый, кто законно получает доступ к компьютеру. Поэтому рекомендуется тщательно протестировать все изменения назначений права пользователя Обход перекрестной проверки непосредственно перед внесением таких изменений в производственные системы. В частности, для работы служб IIS требуется назначить это право учетным записям "Сетевая служба", "Локальная служба", IIS_WPG, IUSR_<ComputerName>и IWAM_<ComputerName>. (Его также следует назначить учетной записи ASP. NET посредством ее членства в группе "Пользователи".) Рекомендуется оставить этот параметр политики в его конфигурации по умолчанию.