Создание символических ссылок

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Создание символических ссылок.

Справка

Это право определяет, могут ли пользователи создавать символические ссылки с устройства, на котором они вошли в систему.

Символическая ссылка — это объект файловой системы, который указывает на другой объект файловой системы. Последний называется целевым. Символические ссылки представлены в понятном для пользователей виде. Эти ссылки выглядят как обычные файлы и каталоги, и пользователи и приложения могут взаимодействовать с ними абсолютно так же. Символические ссылки предназначены для переноса приложений на операционные системы UNIX и обеспечения их совместимости с такими системами. Символические ссылки Майкрософт работают так же, как и ссылки UNIX.

Внимание!   Это право следует предоставлять только доверенным пользователям. Символические ссылки могут обнажить уязвимости в системе безопасности приложений, которые не рассчитаны на их обработку.

Константа: SeCreateSymbolicLinkPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Данное право следует предоставлять только доверенным пользователям. Символические ссылки могут обнажить уязвимости в системе безопасности приложений, которые не рассчитаны на их обработку

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию это право предоставлено членам группы "Администраторы".

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Администраторы

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Программы командной строки

Этот параметр можно использовать вместе с параметром символических ссылок файловой системы, который можно изменять с помощью программы командной строки для управления тем, какие типы символических ссылок разрешены на устройстве. Для получения дополнительных сведений в командной строке введите команду fsutil behavior set symlinkevalution /?.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Пользователи, которым предоставлено право Создание символических ссылок, могут ненамеренно или предумышленно сделать вашу систему уязвимой для атак с применением символических ссылок. Они могут использоваться для изменения разрешений для файла, повреждения или уничтожения данных, а также в качестве атак типа "отказ в обслуживании".

Меры противодействия

Не назначайте право Создание символических ссылок обычным пользователям. Это право следует предоставлять только доверенным администраторам. Можно воспользоваться командой fsutil, чтобы задать параметр символических ссылок файловой системы, который управляет тем, какие типы символических ссылок можно создавать на компьютере.

Возможные последствия

Нет. По умолчанию используется конфигурация «Не определено».

Связанные разделы

Назначение прав пользователя

 

 

Показ: