Bypass keresztellenőrzések (windows)
Leírja a legjobb gyakorlatok, a hely, az értékek, politikák és biztonsági szempontok kezelésének biztonsági házirend keresztellenőrzések Bypass.
referenciaanyagok
Ez a politika a beállítás határozza meg, hogy mely felhasználók (vagy folyamat, amely nevében jár el a felhasználói fiók) joga átadni a módja annak, hogy az objektum az NTFS fájlrendszer, vagy a registry ellenőrzése nélkül a rendelkezésre álló speciális hozzáférési engedélyt a „Tallózás a mappák között.” Ez a jog nem teszi lehetővé a felhasználók számára, hogy megtekinthesse a tartalmát egy mappába. Csak lehetővé teszi, hogy egy átmeneti keretében a mappa eléréséhez a jogosultságokat vagy almappákat.
lehetséges értékek
A felhasználói fiók listája
ajánlások
Használja hozzáférés-alapú felsorolás, ha azt szeretnénk, hogy korlátozza a felhasználók böngészhetnek mappák vagy fájlok hozzáférési jogokat, amelyek ezek hiányoznak.
A legtöbb esetben, akkor használja a paramétereket ezt a politikát az alapértelmezett. Ha megváltoztatja a beállításokat, ellenőrizze, hogy minden úgy megy, ahogy kellene, hogy elvégezzük tesztelés.
elhelyezkedés
Számítógép konfigurációja \ Windows beállításai \ Biztonsági beállítások \ Helyi házirend \ Felhasználói jogok kiosztása
Az alapértelmezett értékek
Az alábbi táblázat mutatja a tényleges és érvényes alapértelmezett értékeket ezt a politikát. Az alapértelmezett értékek is szerepel a politika ingatlan oldalon.
kiszolgáló típusát vagy a GPO
alapérték
politikai irányítás
Jogosultságokat fájlok és mappák beállításával szabályozzuk SACL konfiguráció (ACL). Az a lehetőség, hogy a mozgó, a mappán belül nem biztosítja a felhasználói jogokat olvasni vagy írni.
Ahhoz, hogy ezt a politikát beállítás életbe, a számítógép újraindítása nem szükséges.
Változás a felhasználói jogok lépnek életbe a következő alkalommal, amikor bejelentkezik a fiókjába.
csoport politika
Beállítások alkalmazása a csoportházirend-objektumot (GPO), az alábbi sorrendben, ami felülbírálja a helyi számítógépen a következő alkalommal csoportházirend frissül.
Helyi házirend-beállítások
Oldal politika beállításokat.
Domain politika beállításokat.
Policy beállítások megosztottság
Ha a helyi opció le van tiltva (szürkítve), ez azt jelenti, hogy jelenleg szabályozza a GPO.
biztonsági megfontolások
Ez a rész leírja, hogy a támadó használhatja alkatrész vagy konfiguráció, hogyan kell alkalmazni az ellenintézkedések és mik a lehetséges negatív következményeit ezen intézkedések végrehajtását.
sebezhetőség
Az alapértelmezett konfiguráció mellőzése beállítás lehetővé teszi az összes felhasználó, hogy megkerülje az ellenőrzés. Jogosultságokat fájlok és mappák beállításával szabályozzuk SACL konfiguráció (ACL), mert annak lehetőségét, mozgó, a mappán belül nem biztosítja a felhasználói jogokat olvasni vagy írni. A konfiguráció az alapértelmezett negatív következményekkel járhat, ha a rendszergazda, aki rendel engedélyeket nem érti a működési elve a beállítást. Például egy joggal feltételezheti, hogy a felhasználók nem férnek hozzá a mappák tartalmát nem a gyermek mappák. Ez a helyzet nem valószínű, ezért ezt a biztonsági rést jelent minimális kockázattal.
ellenintézkedések
A lehetséges következmények
A Windows operációs rendszerek és sok alkalmazás figyelembe veszi a feltételezést, hogy a felhasználói jog lesz mindenkinek, aki legálisan használhatják a számítógépet. Ezért ajánlott, hogy alaposan próbára bármilyen változás megbízások mellőzése felhasználói jogokat közvetlenül mielőtt bármilyen ilyen változtatásokat termelési rendszerek. Különösen az IIS, hozzárendelni kívánt e jog a számlák „Network Service”, „Local Service”, IIS_WPG, IUSR_