Quero bloquear a criação de link simbólico e junção para um diretório específico do Windows por motivos de segurança. Então, é possível fazer isso e, em caso afirmativo, qual API do Windows devo usar?
Examinei muitos artigos e blogs, mas não consegui encontrar nenhuma solução.
Responder1
Criar links simbólicos é um privilégio do usuário, não uma permissão do sistema de arquivos. Como tal, não pode ser controlado para um diretório específico do Windows como você deseja. Só pode ser permitido ou negado no nível do usuário/grupo. Por padrão, está habilitado apenas para o grupo Administradores local.[1]
Você gostaria de usar oFunções da Autoridade de Segurança Local (LSA)para trabalhar com o privilégio SeCreateSymbolicLinkPrivilege.
Um administrador de sistema pode usar ferramentas administrativas, como o Gerenciador de usuários, para adicionar ou remover privilégios de contas de usuários e grupos. Os administradores podem usar programaticamente as funções da Autoridade de Segurança Local (LSA) para trabalhar com privilégios. As funções LsaAddAccountRights e LsaRemoveAccountRights adicionam ou removem privilégios de uma conta. A função LsaEnumerateAccountRights enumera os privilégios mantidos por uma conta especificada. A função LsaEnumerateAccountsWithUserRight enumera as contas que possuem um privilégio especificado.
Valor constante | Descrição |
---|---|
SE_CREATE_SYMBOLIC_LINK_NAME | Necessário para criar um link simbólico. |
TEXTO("SeCreateSymbolicLinkPrivilege") | Direito do usuário: Criar links simbólicos. |