L'attivazione di EnableLinkedConnections comporta un rischio per la sicurezza?

7

Come mostrato TechNet di Microsoft , condivisioni di rete che sono mappati dagli script di accesso sono condivisi con il token di accesso utente standard anziché con il token di accesso amministratore completo. Ecco il succo:

Sintomo

After you turn on User Account Control (UAC) in Windows Vista or Windows 7, programs may not be able to access some network locations. This problem may also occur when you use the command prompt to access a network location.

Causa

This problem occurs because UAC treats members of the Administrators group as standard users. Therefore, network shares that are mapped by logon scripts are shared with the standard user access token instead of with the full administrator access token.

[...]When network shares are mapped, they are linked to the current logon session for the current process access token. This means that if a user uses the command prompt (cmd.exe) together with the filtered access token to map a network share, the network share is not mapped for processes that run with the full administrator access token.

Risoluzione

Creating/setting the DWORD value of EnableLinkedConnections at the location HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System to 1 and restarting the computer enables Windows Vista and Windows 7 to share network connections between the filtered access token and the full administrator access token.

Ho già stabilito che la soluzione sopra menzionata funziona perfettamente, risolvendo il mio problema. Ora mi chiedo se farlo comporta un rischio per la sicurezza e, in tal caso, di cosa si tratta? Posso vivere senza questa soluzione, ma averla sul posto mi rende la vita più facile.

    
posta JC2k8 21.07.2015 - 14:12
fonte

2 risposte

2

Ho trovato una risposta da Jon Schwartz, UAC Architect, che ha fornito i seguenti dettagli:

Mapped drives get interesting in combination with the "split-token" account, because of a weird dichotomy in the system (in large part historical) -- the drive letters are per-user, but the underlying drive mappings are per-LUID (i.e., distinct for each individual logon, even for the same user). This is why the mappings disappear when you elevate, and the setting you found tells the OS that you want the mappings you make non-elevated to be mirrored into your elevated context as well -- under the covers, the NTLanman network provider maps the drive and then asks the LSA to find the associated elevated token and use it to mirror the mapping.

Per quanto riguarda eventuali vulnerabilità, Jon ha avuto questo da dire:

Technically, it opens a small loophole since non-elevated malware can now "pre-seed" a drive letter + mapping into the elevated context -- that should be low-risk unless you end up with something that's specifically tailored to your environment.

Questo è del 2007 e si applica principalmente a Windows Vista, però. Non penso sia cambiato molto da allora. Dato che stiamo ancora usando Windows 7, dovrei stare bene, immagino.

    
risposta data 01.09.2015 - 07:14
fonte
0

Anche dopo le modifiche apportate a quella chiave del Registro di sistema, l'UAC dovrebbe notificare eventuali ulteriori modifiche che potrebbero verificarsi sul computer. Quindi, in teoria, questo ti aiuta a prevenire l'installazione di malware, ma ci sono pochi scenari a cui puoi pensare:

  1. Supponiamo che tu dia accesso a una persona di cui ti fidi (diciamo tuo fratello ma che non è ben informata sui problemi di sicurezza) a quella macchina e installa / esegue un'applicazione compromessa (file di musica dannoso, gioco per PC ... tuo fratello tenderà naturalmente a fare clic su Sì, Ok e digita la tua password): il malware verrà quindi eseguito con i privilegi di amministratore completi.
  2. Supponiamo che i tuoi fratelli navigino sotto il tuo account sul Web e atterri su un server compromesso che eseguirà un attacco di download drive-by : questo può portare all'installazione di spyware / adware sul tuo computer, grazie alle vulnerabilità che possono esistere sul tuo browser o sui plug-in che esegui su di esso, o anche, in ulteriori passaggi, portare all'installazione di malware senza il tuo consenso / conoscenza.
  3. UAC non è così potente: aiuta ma non è perfettamente sicuro. Gli hacker utilizzano molte tecniche per aggirare UAC (come sfruttare la vulnerabilità di hijacking della DLL): supponiamo che te stesso esegua un'applicazione che ignora UAC: con le impostazioni che hai fatto, il malware avrà i privilegi completi (potresti essere tu interessato ad esempio a leggere questo: Zero-Day ignora il controllo dell'account utente di Windows )

Come buona pratica di sicurezza, è meglio lasciare la gestione del gruppo degli amministratori al suo valore predefinito per avere un solo amministratore attento alla sicurezza e competente alla volta.

    
risposta data 24.08.2015 - 18:46
fonte

Leggi altre domande sui tag