Ich möchte aus Sicherheitsgründen die Erstellung symbolischer Links und Junctions für ein bestimmtes Windows-Verzeichnis blockieren. Ist das möglich und wenn ja, welche Windows-API sollte ich verwenden?
Ich habe viele Artikel und Blogs durchgesehen, konnte aber keine Lösung finden.
Antwort1
Das Erstellen symbolischer Links ist ein Benutzerprivileg und keine Dateisystemberechtigung. Daher kann es für ein bestimmtes Windows-Verzeichnis nicht beliebig gesteuert werden. Es kann nur auf Benutzer-/Gruppenebene zugelassen oder verweigert werden. Standardmäßig ist es nur für die lokale Administratorgruppe aktiviert.[1]
Sie möchten dieFunktionen der lokalen Sicherheitsautorität (LSA)um mit dem Privileg „SeCreateSymbolicLinkPrivilege“ zu arbeiten.
Ein Systemadministrator kann Verwaltungstools wie den Benutzer-Manager verwenden, um Berechtigungen für Benutzer- und Gruppenkonten hinzuzufügen oder zu entfernen. Administratoren können die Funktionen der lokalen Sicherheitsautorität (Local Security Authority, LSA) programmgesteuert verwenden, um mit Berechtigungen zu arbeiten. Die Funktionen LsaAddAccountRights und LsaRemoveAccountRights fügen Berechtigungen zu einem Konto hinzu oder entfernen sie. Die Funktion LsaEnumerateAccountRights listet die Berechtigungen auf, die ein bestimmtes Konto besitzt. Die Funktion LsaEnumerateAccountsWithUserRight listet die Konten auf, die eine bestimmte Berechtigung besitzen.
| Konstanter Wert | Beschreibung |
|---|---|
| SE_CREATE_SYMBOLIC_LINK_NAME | Erforderlich, um einen symbolischen Link zu erstellen. |
| TEXT("SeCreateSymbolicLinkPrivilege") | Benutzerrecht: Symbolische Links erstellen. |