Perché devi essere un amministratore per creare un collegamento simbolico in Windows?

61

In Linux ogni utente può creare collegamenti simbolici, ma in Windows ho bisogno di una riga di comando di amministrazione, o mklink fallisce. Perché è così?

    
posta ripper234 29.12.2011 - 09:50
fonte

5 risposte

20

Per impostazione predefinita, solo gli amministratori possono creare collegamenti simbolici, perché sono gli unici che hanno il privilegio SeCreateSymbolicLinkPrivilege trovato in Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\ concesso.

Da Microsoft TechNet: Impostazioni dei criteri di sicurezza Novità per Windows Vista :

Symbolic links (symlinks) can expose security vulnerabilities in applications that aren't designed to handle symbolic links.

    
risposta data 29.12.2011 - 11:34
fonte
6

Linux ha una struttura di file / utente compartimentata. Ciò significa che il "programma A" non può eseguire "attività B" a meno che non sia correlato a "spazio su disco C". Quindi i collegamenti simbolici non influiscono in alcun modo logisticamente in termini di penetrazione del rischio, poiché l'intero sistema operativo è basato sull'assunzione di autorizzazione di action- & gt ;.

O per dirla in un altro modo, fare un link simbolico di gazillion non ti aiuta se sei un hacker con nient'altro che permessi di basso livello. Quindi, su Linux o MacOS non ti aiuta.

Tuttavia, su Windows non hai un "programma A" che esegue un programma diverso da quello che ha effettuato l'accesso ... quindi la persona che ha effettuato l'accesso può eseguire "attività B" ovunque desideri. In questo modo, DEFINITIVALMENTE ti aiuta ad avere una penetrazione del livello dei collegamenti simbolici perché puoi ignorare i file reali trovati comunemente con il carico utile virale e nascondere che l'hai fatto.

Quindi, senza il livello di protezione symlink , un virus potrebbe infettarti, eseguire come payload molti symlink per, ad esempio, reindirizzare " explorer.exe " a un falso " exactly-as-windows-made-it-except-with-a-payload explorer.exe ".

Perché lo faresti? Abbastanza onestamente sono le chiavi del regno. Potresti reclutare quel computer in modo affidabile in un bot che si attiva teoricamente nel futuro, ecc. Ci sono un milione di modi per cui è meglio che "avere un'infezione" perché la maggior parte delle persone li rimuove quando li vedono, e questo potrebbe essere nascosto.

    
risposta data 29.11.2017 - 11:10
fonte
4

Non è più il caso a partire da Windows 10 Insider build 14972 (aggiornamento di Windows 10 per i creativi).

Tuttavia, dai commenti sotto il post del blog, le preoccupazioni relative ai problemi menzionati nelle altre risposte sono ancora presenti e per utilizzare questo nuovo comportamento, è necessario:

  • attiva la modalità sviluppatore sulla tua macchina
  • passa un flag SYMBOLIC_LINK_FLAG_ALLOW_UNPRIVILEGED_CREATE all'API CreateSymbolicLink
risposta data 09.05.2018 - 11:58
fonte
1

Gli hardlink e le giunzioni di directory sono solo all'interno di una partizione (non può esserci un collegamento fisico da un disco a un altro o persino a un percorso di rete).

I collegamenti simbolici d'altra parte possono anche collegarsi da un punto del sistema che sembra "sicuro" a un percorso di rete.

    
risposta data 08.08.2016 - 12:56
fonte
1

Ho trovato il motivo quando è stato lanciato Vista. La ragione fornita per gli amministratori è molto semplice. Non sono problemi di sicurezza non specificati, ma è necessario aggiornare migliaia di parti di software per utilizzare chiamate API che non esistevano prima di essere aggiunte per evitare lacune di sicurezza quando si attraversano i collegamenti simbolici.

Windows è orribilmente vulnerabile alle gare di link simbolici; ci sono modi per evitarlo, tipo, ma praticamente nessuna applicazione utilizza le API in questo modo. Persino Microsoft non accetta i bug di sicurezza che coinvolgono le gare di link simbolico. Ho appena provato a segnalarne uno tre mesi fa.

    
risposta data 31.12.2018 - 19:52
fonte

Leggi altre domande sui tag