보안상의 이유로 특정 Windows 디렉토리에 대한 심볼릭 링크 및 접합 생성을 차단하고 싶습니다. 그렇다면 이 작업이 가능합니까? 그렇다면 어떤 Windows API를 사용해야 합니까?
많은 기사와 블로그를 살펴봤지만 해결책을 찾을 수 없었습니다.
답변1
심볼릭 링크 생성은 파일 시스템 권한이 아닌 사용자 권한입니다. 따라서 원하는 대로 특정 Windows 디렉토리에 대해 제어할 수 없습니다. 사용자/그룹 수준에서만 허용하거나 거부할 수 있습니다. 기본적으로 로컬 관리자 그룹에 대해서만 활성화됩니다.[1]
당신은LSA(로컬 보안 기관) 기능SeCreateSymbolicLinkPrivilege 권한으로 작업합니다.
시스템 관리자는 사용자 관리자와 같은 관리 도구를 사용하여 사용자 및 그룹 계정에 대한 권한을 추가하거나 제거할 수 있습니다. 관리자는 프로그래밍 방식으로 LSA(로컬 보안 기관) 기능을 사용하여 권한 작업을 수행할 수 있습니다. LsaAddAccountRights 및 LsaRemoveAccountRights 함수는 계정에서 권한을 추가하거나 제거합니다. LsaEnumerateAccountRights 함수는 지정된 계정이 보유한 권한을 열거합니다. LsaEnumerateAccountsWithUserRight 함수는 지정된 권한을 보유한 계정을 열거합니다.
| 상수/값 | 설명 |
|---|---|
| SE_CREATE_SYMBOLIC_LINK_NAME | 심볼릭 링크를 만드는 데 필요합니다. |
| TEXT("SeCreateSymbolicLinkPrivilege") | 사용자 권한: 심볼릭 링크를 생성합니다. |