Descrie recomandările, locația, valorile, gestionarea politicilor și considerentele de securitate pentru opțiunea Bypass pentru politica de securitate pentru validarea încrucișată.
Materiale de referință
Această setare de politică determină utilizatorii (sau procesul care acționează în numele contului de utilizator) să aibă dreptul de a naviga pe calea către obiect în sistemul de fișiere NTFS sau în registru, fără a verifica dacă există o permisiune specială de accesare a "Browsere foldere". Acest drept nu permite utilizatorilor să vizualizeze conținutul unui dosar. Acesta vă permite doar să navigați în dosare pentru a accesa fișierele sau subfolderele permise.
Valori posibile
Lista de conturi utilizator
recomandări
Utilizați o enumerare bazată pe acces dacă doriți să împiedicați utilizatorii să vizualizeze dosare sau fișiere la care nu au drepturi de acces.
În cele mai multe cazuri, trebuie să utilizați setările implicite pentru această politică. Când modificați parametrii, verificați dacă totul merge așa cum ar trebui, după testare.
locație
Configurarea computerului \ Setări Windows \ Setări de securitate \ Politici locale \ Alocare drepturi utilizator
Valorile implicite
Tabelul următor prezintă valorile implicite efective și efective pentru această politică. Valorile implicite sunt, de asemenea, afișate pe pagina de proprietăți a politicilor.
Tipul serverului sau Obiectul politicii de grup
Valoare implicită
Gestionarea politicilor
Permisiunile de accesare a fișierelor și folderelor sunt gestionate prin configurarea listelor de control al accesului (ACL). Abilitatea de a naviga în dosare nu permite utilizatorului să citească sau să scrie.
Pentru ca această setare a politicii să aibă efect, nu trebuie să reporniți computerul.
Modificările aduse drepturilor de utilizator au efect la următoarea conectare la cont.
Politica de grup
Setările sunt aplicate obiectului Group Policy (GPO) în ordinea următoare, care suprascrie setările de pe computerul local la următoarea reînnoire a politicii de grup.
Setările politicii locale
Setările politicii site-ului.
Setările politicii domeniului.
Opțiuni de politică unitate
Dacă parametrul local este inactiv (evidențiat în gri), înseamnă că acesta este în prezent controlat de un obiect Policy Group.
Considerații privind siguranța
Această secțiune descrie modul în care un atacator poate să exploateze o componentă sau configurația acesteia, cum să aplice contramăsuri și care sunt posibilele consecințe negative ale implementării acestor măsuri.
vulnerabilitate
Configurația implicită pentru opțiunea By-pass Cross-Validation permite tuturor utilizatorilor să ignore validarea încrucișată. Permisiunile de accesare a fișierelor și a folderelor sunt gestionate prin configurarea listelor de control al accesului (ACL), deoarece abilitatea de a naviga în dosare nu le permite utilizatorului să citească sau să scrie. Utilizarea configurației implicite poate avea consecințe negative numai dacă administratorul care atribuie permisiuni nu înțelege funcționarea acestei setări de politică. De exemplu, un administrator ar putea presupune că utilizatorii fără acces la dosare nu pot accesa conținutul dosarelor copil. Această situație este puțin probabilă și, prin urmare, această vulnerabilitate prezintă un risc minim.
contramăsuri
Posibile consecințe
La dezvoltarea sistemelor de operare Windows și a numeroaselor aplicații, sa presupus că acest drept al utilizatorului va fi disponibil tuturor celor care accesează în mod legal computerul. Prin urmare, este recomandat să testați cu atenție toate modificările aduse drepturilor utilizatorilor, ocolind verificările încrucișate imediat înainte de a efectua astfel de modificări la sistemele de producție. În special, pentru ca IIS să funcționeze, trebuie să alocați acest drept serviciului de rețea, serviciului local, IIS_WPG, IUSR_
Subiecte conexe
Trimiteți-le prietenilor: