Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок)
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок).
Справочные материалы
Этот параметр политики определяет строгость списка управления доступом на уровне пользователей (DACL) по умолчанию для объектов. Windows поддерживает глобальный список общих системных ресурсов, таких как имена устройств MS-DOS, мьютексы и семафоры. С помощью этого списка процессы могут находить и предоставлять общий доступ к объектам. Каждый тип объекта создается со списком DACL по умолчанию, в котором указано, кто имеет доступ к объектам и с какими разрешениями. Включение этого параметра политики усиливает DACL по умолчанию и позволяет пользователям, которые не являются администраторами, читать, но не изменять общие объекты, которые эти пользователи не создавали.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Рекомендуется установить для этой политики значение Включено.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Этот параметр политики включен по умолчанию для защиты от известной уязвимости, которая может использоваться с жесткими или символьными ссылками. Жесткие ссылки являются фактическими записями каталогов в файловой системе. С помощью жестких ссылок одни и те же данные в файловой системе могут быть доступны под разными именами файлов. Символьные ссылки представляют собой текстовые файлы, содержащие указатель на файл, который воспринимается операционной системой как путь к другому файлу или каталогу. Поскольку символьные ссылки представляют собой отдельные файлы, они могут существовать независимо от целевого местоположения. Удаление символьной ссылки не влияет на целевое местоположение. Если этот параметр отключен, злоумышленник может уничтожить файл данных, создав ссылку, которая выглядит как временный файл, автоматически создаваемой системой, например последовательно именуемый файл журнала, однако указывает на файл данных, который злоумышленник хочет удалить. При записи системой файлов с таким именем данные перезаписываются. Включение параметра Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок) не дает злоумышленнику воспользоваться программами, которые создают файлы с предсказуемыми именами, не давая ему доступа на запись к объектам, которые он не создавал.
Меры противодействия
Включите параметр Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок).
Возможные последствия
Нет. Это конфигурация по умолчанию.