امن سازی ویندوز سرور 2012 – بخش بیست و چهارم

تنظیم Create symbolic links (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این policy setting تعیین می‌کند که کدام کاربران می‌توانند symbolic links ایجاد کنند.

در ویندوز ویستا، object های NTFS file system مانند فایل‌ها و فولدرها، از طریق یک file system object جدید با نام symbolic link قابل دسترسی بودند. یک symbolic link یک اشاره گر(pointer) (بیشتر شبیه یک shortcut یا فایل .LNK) است به file system object دیگر، که می‌تواند یک فایل، فولدر، shortcut یا symbolic link دیگری باشد.

تفاوت میان shortcut و symbolic link در این است که یک shortcut فقط از درونWindows shell کار می‌کند. برای سایرprograms ها و اپلیکیشن‌ها، shortcut ها فقط نوعی از فایل‌های دیگر هستند، در حالی که با symbolic link ها، مفهوم shortcut به عنوان یک ویژگیNTFS file system پیاده سازی می‌شود.

مستند امن سازی ویندوز سرور 2012R2 – بخش بیست و سوم

symbolic link ها به طور پنهانی می‌توانند آسیب‌پذیری‌های امنیتی را در برنامه‌هایی که برای استفاده از آن‌ها طراحی نشده است، آشکار کنند. به همین دلیل، امتیاز ایجاد symbolic link ها فقط باید به کاربران قابل اعتماد اختصاص یابد. به صورت پیش‌فرض، فقط Administrators می‌توانند symbolic link ها را ایجاد کنند.

• Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم: Administrators می‌باشد.
• Level 1 – Member Server: حالت توصیه شده برای این تنظیم: Administrators و (زمانی که Hyper-V role نصب شده باشد) NT VIRTUAL MACHINE و Virtual Machines می‌باشد.

Rationale

کاربرانی که امتیازCreate symbolic links را دارند، می‌توانند ناخواسته یا بدخواهانه سیستم شما را در معرض حملات symbolic link قرار دهند. از حملات symbolic link می‌توان برای تغییر permission ها روی یک فایل، نابودی و تخریب data یا به عنوان حمله انکار سرویس (DoS) استفاده کرد.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create symbolic links

Impact

در بیشتر موارد هیچ تأثیری نخواهد داشت زیرا این تنظیم پیش فرض است. با این حال، در سرورهای ویندوزی که رول سرویس Hyper-V در آن‌ها نصب شده، این user right باید به گروه Virtual Machines هم اختصاص یابد در غیر این صورت قادر به ساخت ماشین‌های مجازی جدید نخواهید بود.

Default Value

Administrators

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.