跳過(guò)遍歷檢查

04/19/2017

本文內(nèi)容

適用范圍

Windows 10

在比較 Windows 10 版本中了解有關(guān)每個(gè) Windows 版本支持哪些特性和功能的詳細(xì)信息。

介紹"繞過(guò)遍歷檢查安全策略"設(shè)置的最佳方案、位置、值、策略 管理和安全注意事項(xiàng) 。

參考

此策略設(shè)置確定哪些用戶 (或代表用戶帳戶的進(jìn)程) 有權(quán)在 NTFS 文件系統(tǒng)或注冊(cè)表中導(dǎo)航對(duì)象路徑，而無(wú)需檢查遍歷文件夾的特殊訪問(wèn)權(quán)限。 此用戶權(quán)限不允許用戶列出文件夾的內(nèi)容。 它僅允許用戶遍歷文件夾來(lái)訪問(wèn)允許的文件或子文件夾。

常量：SeChangeNotifyPrivilege

可能值

用戶定義的帳戶列表

未定義

最佳做法

當(dāng)你想要防止用戶看到他們無(wú)法訪問(wèn)的任何文件夾或文件時(shí)，請(qǐng)使用基于訪問(wèn)的枚舉。

在大多數(shù)情況下，使用此策略的默認(rèn)設(shè)置。 如果更改設(shè)置，請(qǐng)通過(guò)測(cè)試驗(yàn)證意圖。

位置

計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\本地策略\用戶權(quán)限分配

默認(rèn)值

下表列出了實(shí)際和有效的默認(rèn)策略值。 默認(rèn)值也會(huì)列在策略的屬性頁(yè)上。

服務(wù)器類型或 GPO

默認(rèn)值

默認(rèn)域策略

未定義

默認(rèn)域控制器策略

管理員

經(jīng)過(guò)身份驗(yàn)證的用戶

所有人

本地服務(wù)

網(wǎng)絡(luò)服務(wù)

預(yù)Windows 2000 兼容訪問(wèn)

Stand-Alone服務(wù)器默認(rèn)設(shè)置

管理員

備份運(yùn)算符

用戶

所有人

本地服務(wù)

網(wǎng)絡(luò)服務(wù)

域控制器有效默認(rèn)設(shè)置

管理員

經(jīng)過(guò)身份驗(yàn)證的用戶

所有人

本地服務(wù)

網(wǎng)絡(luò)服務(wù)

預(yù)Windows 2000 兼容訪問(wèn)

成員服務(wù)器有效默認(rèn)設(shè)置

管理員

備份運(yùn)算符

用戶

所有人

本地服務(wù)

網(wǎng)絡(luò)服務(wù)

客戶端計(jì)算機(jī)有效默認(rèn)設(shè)置

管理員

備份運(yùn)算符

用戶

所有人

本地服務(wù)

網(wǎng)絡(luò)服務(wù)

策略管理

文件和文件夾的權(quán)限通過(guò)文件系統(tǒng)訪問(wèn)控制列表和 ACL 的適當(dāng)配置 (控制) 。遍歷文件夾的能力不會(huì)為用戶提供任何讀取或?qū)懭霗?quán)限。

此策略設(shè)置生效不需要重新啟動(dòng)計(jì)算機(jī)。

對(duì)帳戶的用戶權(quán)限分配的任何更改在帳戶所有者下次登錄時(shí)生效。

組策略

設(shè)置組策略對(duì)象 (GPO) 按以下順序應(yīng)用，這將在下次組策略更新時(shí)覆蓋本地計(jì)算機(jī)的設(shè)置：

本地策略設(shè)置

站點(diǎn)策略設(shè)置

域策略設(shè)置

OU 策略設(shè)置

當(dāng)本地設(shè)置顯示為灰色時(shí)，它表示 GPO 當(dāng)前控制該設(shè)置。

安全注意事項(xiàng)

本部分介紹攻擊者如何利用一項(xiàng)功能或其配置，如何實(shí)施對(duì)策，以及對(duì)策實(shí)施可能產(chǎn)生的負(fù)面后果。

漏洞

"繞過(guò)遍歷檢查 " 設(shè)置的默認(rèn)配置是允許所有用戶繞過(guò)遍歷檢查。 文件和文件夾的權(quán)限通過(guò)文件系統(tǒng)訪問(wèn)控制列表 (ACL) 的適當(dāng)配置進(jìn)行控制，因?yàn)楸闅v文件夾的能力不會(huì)為用戶提供任何讀取或?qū)懭霗?quán)限。 如果配置權(quán)限的管理員不知道此策略設(shè)置的工作方式，則默認(rèn)配置可能導(dǎo)致錯(cuò)誤的唯一情形是。 例如，管理員可能希望無(wú)法訪問(wèn)文件夾的用戶無(wú)法訪問(wèn)任何子文件夾的內(nèi)容。 這種情況不太可能發(fā)生，因此，此漏洞的風(fēng)險(xiǎn)很小。

對(duì)策

對(duì)安全性極其擔(dān)心的組織可能希望從具有"繞過(guò)"遍歷檢查用戶權(quán)限的組列表中刪除 Everyone 組(可能為 Users**** 組)。 顯式控制遍歷分配是限制對(duì)敏感信息的訪問(wèn)的有效方式。 還可使用基于訪問(wèn)的枚舉。 如果使用基于訪問(wèn)的枚舉，則用戶看不到他們無(wú)法訪問(wèn)的任何文件夾或文件。 有關(guān)此功能詳細(xì)信息，請(qǐng)參閱 基于 Access 的枚舉。

潛在影響

該Windows操作系統(tǒng)和許多應(yīng)用程序的設(shè)計(jì)目的是希望任何可以合法訪問(wèn)計(jì)算機(jī)的人都將擁有此用戶權(quán)限。 因此，建議您在對(duì)生產(chǎn)系統(tǒng)進(jìn)行此類更改之前，直接徹底測(cè)試對(duì) Bypass 遍歷檢查用戶分配的任何更改。 特別是，IIS 要求向此用戶分配網(wǎng)絡(luò)服務(wù)、本地服務(wù)、IIS_WPG、IUSR_* < ComputerName > 和 IWAM_ < ComputerName > *帳戶。 (還必須通過(guò) ASPNET 帳戶在 Users 組的成員身份將其分配給該帳戶。) 建議您保留此策略設(shè)置的默認(rèn)配置。

相關(guān)主題

總結(jié)

以上是生活随笔為你收集整理的服务器遍历文件夹不按顺序,绕过遍历检查 (Windows 10) - Windows security | Microsoft Docs...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。