跳过遍历检查

04/19/2017

本文内容

适用范围

Windows 10

在比较 Windows 10 版本中了解有关每个 Windows 版本支持哪些特性和功能的详细信息。

介绍"绕过遍历检查安全策略"设置的最佳方案、位置、值、策略 管理和安全注意事项 。

参考

此策略设置确定哪些用户 (或代表用户帐户的进程) 有权在 NTFS 文件系统或注册表中导航对象路径，而无需检查遍历文件夹的特殊访问权限。 此用户权限不允许用户列出文件夹的内容。 它仅允许用户遍历文件夹来访问允许的文件或子文件夹。

常量：SeChangeNotifyPrivilege

可能值

用户定义的帐户列表

未定义

最佳做法

当你想要防止用户看到他们无法访问的任何文件夹或文件时，请使用基于访问的枚举。

在大多数情况下，使用此策略的默认设置。 如果更改设置，请通过测试验证意图。

位置

计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

默认值

下表列出了实际和有效的默认策略值。 默认值也会列在策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

管理员

经过身份验证的用户

所有人

本地服务

网络服务

预Windows 2000 兼容访问

Stand-Alone服务器默认设置

管理员

备份运算符

用户

所有人

本地服务

网络服务

域控制器有效默认设置

管理员

经过身份验证的用户

所有人

本地服务

网络服务

预Windows 2000 兼容访问

成员服务器有效默认设置

管理员

备份运算符

用户

所有人

本地服务

网络服务

客户端计算机有效默认设置

管理员

备份运算符

用户

所有人

本地服务

网络服务

策略管理

文件和文件夹的权限通过文件系统访问控制列表和 ACL 的适当配置 (控制) 。遍历文件夹的能力不会为用户提供任何读取或写入权限。

此策略设置生效不需要重新启动计算机。

对帐户的用户权限分配的任何更改在帐户所有者下次登录时生效。

组策略

设置组策略对象 (GPO) 按以下顺序应用，这将在下次组策略更新时覆盖本地计算机的设置：

本地策略设置

站点策略设置

域策略设置

OU 策略设置

当本地设置显示为灰色时，它表示 GPO 当前控制该设置。

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

漏洞

"绕过遍历检查 " 设置的默认配置是允许所有用户绕过遍历检查。 文件和文件夹的权限通过文件系统访问控制列表 (ACL) 的适当配置进行控制，因为遍历文件夹的能力不会为用户提供任何读取或写入权限。 如果配置权限的管理员不知道此策略设置的工作方式，则默认配置可能导致错误的唯一情形是。 例如，管理员可能希望无法访问文件夹的用户无法访问任何子文件夹的内容。 这种情况不太可能发生，因此，此漏洞的风险很小。

对策

对安全性极其担心的组织可能希望从具有"绕过"遍历检查用户权限的组列表中删除 Everyone 组(可能为 Users**** 组)。 显式控制遍历分配是限制对敏感信息的访问的有效方式。 还可使用基于访问的枚举。 如果使用基于访问的枚举，则用户看不到他们无法访问的任何文件夹或文件。 有关此功能详细信息，请参阅 基于 Access 的枚举。

潜在影响

该Windows操作系统和许多应用程序的设计目的是希望任何可以合法访问计算机的人都将拥有此用户权限。 因此，建议您在对生产系统进行此类更改之前，直接彻底测试对 Bypass 遍历检查用户分配的任何更改。 特别是，IIS 要求向此用户分配网络服务、本地服务、IIS_WPG、IUSR_* < ComputerName > 和 IWAM_ < ComputerName > *帐户。 (还必须通过 ASPNET 帐户在 Users 组的成员身份将其分配给该帐户。) 建议您保留此策略设置的默认配置。

相关主题