Описано рекомендації, розташування, значення, управління політикою та міркування безпеки для параметра політики безпеки Обхід перехресної перевірки.
Довідкові матеріали
Цей параметр політики визначає, які користувачі (або процес, який діє від імені облікового запису користувача) мають право переходити по дорозі до об'єкта в файлової системі NTFS або в реєстрі без перевірки наявності спеціального дозволу доступу "Огляд папок". Це право не дозволяє користувачам переглядати вміст папки. Воно дозволяє тільки виконувати перехід в рамках папок для доступу до дозволеним файлів або вкладених папок.
Можливі значення
Призначений для користувача список облікових записів
рекомендації
Використовуйте перерахування на основі доступу, якщо потрібно заборонити користувачам переглядати папки або файли, права на доступ до яких у них відсутні.
У більшості випадків слід використовувати задані за замовчуванням параметри цієї політики. При зміні параметрів перевірте, чи все йде так, як треба, виконавши тестування.
Розташування
Конфігурація комп'ютера \ Параметри Windows \ Параметри безпеки \ Локальні політики \ Призначення прав користувача
Значення за замовчуванням
У наступній таблиці наведено фактичні і діючі значення за замовчуванням для цієї політики. Значення за замовчуванням також вказані на сторінці властивостей політики.
Тип сервера або об'єкт групової політики
Значення за замовчуванням
управління політикою
Дозволи на доступ до файлів і папок управляються за допомогою настройки конфігурації системних списків управління доступом (ACL). Можливість переходу в рамках папок не надає користувачеві прав на читання або запис.
Щоб цей параметр політики вступив в силу, комп'ютер не потрібно перезавантажувати.
Зміни прав користувача вступають в силу при його наступному вході в обліковий запис.
групова політика
Параметри застосовуються до об'єкта групової політики (GPO) в наступному порядку, що перекриває параметри на локальному комп'ютері при наступному оновленні групової політики.
Параметри локальної політики
Параметри політики сайту.
Параметри політики домену.
Параметри політики підрозділів
Якщо локальний параметр неактивний (виділено сірим кольором), це означає, що в даний момент його контролює об'єкт групової політики.
міркування безпеки
У цьому розділі описується, яким чином зловмисник може скористатися компонентом або його конфігурацією, як застосувати заходи протидії і які можливі негативні наслідки реалізації цих заходів.
уразливість
Конфігурація за замовчуванням для параметра Обхід перехресної перевірки дозволяє всім користувачам обходити перехресну перевірку. Дозволи на доступ до файлів і папок управляються за допомогою настройки конфігурації системних списків управління доступом (ACL), оскільки можливість переходу в рамках папок не надає користувачеві прав на читання або запис. Використання прийнятої за замовчуванням конфігурації може мати негативні наслідки тільки в тому випадку, якщо адміністратор, який призначає дозволу, не розуміє принцип роботи цього параметра політики. Наприклад, адміністратор може припускати, що користувачі без доступу до папок не можуть звертатися до вмісту дочірніх папок. Ця ситуація малоймовірна і, отже, дана уразливість являє мінімальний ризик.
заходи протидії
Можливі наслідки
При розробці операційних систем Windows і багатьох додатків бралося до уваги припущення, що це право користувача матиме кожен, хто законно отримує доступ до комп'ютера. Тому рекомендується ретельно протестувати всі зміни призначень права користувача Обхід перехресної перевірки безпосередньо перед внесенням таких змін в виробничі системи. Зокрема, для роботи служб IIS потрібно призначити це право облікових записів "Мережева служба", "Локальна служба", IIS_WPG, IUSR_