跳過遍歷檢查

04/19/2017

本文內容

適用范圍

Windows 10

在比較 Windows 10 版本中了解有關每個 Windows 版本支持哪些特性和功能的詳細信息。

介紹"繞過遍歷檢查安全策略"設置的最佳方案、位置、值、策略 管理和安全注意事項 。

參考

此策略設置確定哪些用戶 (或代表用戶帳戶的進程) 有權在 NTFS 文件系統或注冊表中導航對象路徑，而無需檢查遍歷文件夾的特殊訪問權限。 此用戶權限不允許用戶列出文件夾的內容。 它僅允許用戶遍歷文件夾來訪問允許的文件或子文件夾。

常量：SeChangeNotifyPrivilege

可能值

用戶定義的帳戶列表

未定義

最佳做法

當你想要防止用戶看到他們無法訪問的任何文件夾或文件時，請使用基于訪問的枚舉。

在大多數情況下，使用此策略的默認設置。 如果更改設置，請通過測試驗證意圖。

位置

計算機配置\Windows 設置\安全設置\本地策略\用戶權限分配

默認值

下表列出了實際和有效的默認策略值。 默認值也會列在策略的屬性頁上。

服務器類型或 GPO

默認值

默認域策略

未定義

默認域控制器策略

管理員

經過身份驗證的用戶

所有人

本地服務

網絡服務

預Windows 2000 兼容訪問

Stand-Alone服務器默認設置

管理員

備份運算符

用戶

所有人

本地服務

網絡服務

域控制器有效默認設置

管理員

經過身份驗證的用戶

所有人

本地服務

網絡服務

預Windows 2000 兼容訪問

成員服務器有效默認設置

管理員

備份運算符

用戶

所有人

本地服務

網絡服務

客戶端計算機有效默認設置

管理員

備份運算符

用戶

所有人

本地服務

網絡服務

策略管理

文件和文件夾的權限通過文件系統訪問控制列表和 ACL 的適當配置 (控制) 。遍歷文件夾的能力不會為用戶提供任何讀取或寫入權限。

此策略設置生效不需要重新啟動計算機。

對帳戶的用戶權限分配的任何更改在帳戶所有者下次登錄時生效。

組策略

設置組策略對象 (GPO) 按以下順序應用，這將在下次組策略更新時覆蓋本地計算機的設置：

本地策略設置

站點策略設置

域策略設置

OU 策略設置

當本地設置顯示為灰色時，它表示 GPO 當前控制該設置。

安全注意事項

本部分介紹攻擊者如何利用一項功能或其配置，如何實施對策，以及對策實施可能產生的負面后果。

漏洞

"繞過遍歷檢查 " 設置的默認配置是允許所有用戶繞過遍歷檢查。 文件和文件夾的權限通過文件系統訪問控制列表 (ACL) 的適當配置進行控制，因為遍歷文件夾的能力不會為用戶提供任何讀取或寫入權限。 如果配置權限的管理員不知道此策略設置的工作方式，則默認配置可能導致錯誤的唯一情形是。 例如，管理員可能希望無法訪問文件夾的用戶無法訪問任何子文件夾的內容。 這種情況不太可能發生，因此，此漏洞的風險很小。

對策

對安全性極其擔心的組織可能希望從具有"繞過"遍歷檢查用戶權限的組列表中刪除 Everyone 組(可能為 Users**** 組)。 顯式控制遍歷分配是限制對敏感信息的訪問的有效方式。 還可使用基于訪問的枚舉。 如果使用基于訪問的枚舉，則用戶看不到他們無法訪問的任何文件夾或文件。 有關此功能詳細信息，請參閱 基于 Access 的枚舉。

潛在影響

該Windows操作系統和許多應用程序的設計目的是希望任何可以合法訪問計算機的人都將擁有此用戶權限。 因此，建議您在對生產系統進行此類更改之前，直接徹底測試對 Bypass 遍歷檢查用戶分配的任何更改。 特別是，IIS 要求向此用戶分配網絡服務、本地服務、IIS_WPG、IUSR_* < ComputerName > 和 IWAM_ < ComputerName > *帳戶。 (還必須通過 ASPNET 帳戶在 Users 組的成員身份將其分配給該帳戶。) 建議您保留此策略設置的默認配置。

相關主題

總結

以上是生活随笔為你收集整理的服务器遍历文件夹不按顺序,绕过遍历检查 (Windows 10) - Windows security | Microsoft Docs...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。