Я хочу заблокировать создание Symbolic Link и Junction для определенного каталога Windows из соображений безопасности. Так возможно ли это сделать и если да, какой API Windows мне следует использовать?
Я прочитал множество статей и блогов, но не смог найти решения.
решение1
Создание символических ссылок — это привилегия пользователя, а не разрешение файловой системы. Таким образом, его нельзя контролировать для определенного каталога Windows по вашему желанию. Его можно разрешить или запретить только на уровне пользователя/группы. По умолчанию он включен только для локальной группы администраторов.[1]
Вы хотели бы использоватьФункции местного органа безопасности (LSA)для работы с привилегией SeCreateSymbolicLinkPrivilege.
Системный администратор может использовать административные инструменты, такие как User Manager, для добавления или удаления привилегий для учетных записей пользователей и групп. Администраторы могут программно использовать функции Local Security Authority (LSA) для работы с привилегиями. Функции LsaAddAccountRights и LsaRemoveAccountRights добавляют или удаляют привилегии из учетной записи. Функция LsaEnumerateAccountRights перечисляет привилегии, имеющиеся у указанной учетной записи. Функция LsaEnumerateAccountsWithUserRight перечисляет учетные записи, имеющие указанную привилегию.
Константа/значение | Описание |
---|---|
SE_CREATE_SYMBOLIC_LINK_NAME | Требуется для создания символической ссылки. |
ТЕКСТ("SeCreateSymbolicLinkPrivilege") | Право пользователя: Создание символических ссылок. |