¿Qué son las ACL reforzadas para la carpeta Windows% systemroot%?

Question

¿Qué son las ACL reforzadas para la carpeta Windows% systemroot%?

#1 de Stephane (1 votos)
#2 de StackzOfZtuff (1 votos)

1

¿Cuáles son los permisos de archivo recomendados para %systemroot% en Windows 8.1? No pude encontrar permisos de sistema de archivos reforzados para solicitar una instalación de Windows más segura.

hardening file-system file-access windows-8 ntfs

pregunta Parth Maniar 10.06.2015 - 11:21

fuente

2 respuestas

Lea otras preguntas en las etiquetas hardening file-system file-access windows-8 ntfs

PCI-DSS, ¿cuál es la mejor distribución? [cerrado] ¿Qué tan seguro es QEMU / KVM? [cerrado]

score 1 · Answer 1

Respuesta corta: no los toques.

Respuesta larga:

Establecer una ACL: CUALQUIER ACL en CUALQUIER sistema de archivos, es una decisión de seguridad que implica un compromiso. Para decidir cuál es la ACL "correcta" que se debe utilizar, debe considerar cuál será el uso de los objetos protegidos. Esto significa que debe considerar un uso típico (para las ACL "predeterminadas") o un caso específico (en cuyo caso la respuesta solo será válida para ese caso específico).

Ahora, los sistemas operativos modernos están casi todos reforzados por defecto para su caso de uso estándar: la ACL seleccionada por el autor del sistema operativo se ha diseñado y probado para adaptarse a la mayoría de los casos de uso. A menos que sepa que no se ajusta a estos casos de uso y que puede describir con precisión cómo se diferencia de la norma, entonces no puede diseñar una estrategia de ACL más eficiente correctamente.

Esto significa que, o bien sabe exactamente qué es exactamente lo que necesita endurecerse, por qué y está listo para probarlo usted mismo (en cuyo caso no necesita hacer una pregunta tan general porque no se aplicará a nadie más que a usted) o no sabe y debe dejar el valor predeterminado ya que las personas que los diseñaron tienen una mejor comprensión de los requisitos que usted

score 1 · Answer 2

No hay tal cosa

No creo que exista una forma oficial de hacer esto compatible con Microsoft.

Aquí hay una publicación en el blog de MS que insta a los usuarios a usar solo métodos oficiales de refuerzo (a saber, Security Compliance Manager y Security Configuration Wizard ) (Y AFAIK, incluso esos dos no toque las ACL de NTFS en absoluto.)

Microsoft TechNet, blog Premier Field Engineering (PFE), 2014-05-29, ¿Por qué debería evitar el 'fortalecimiento del servidor'? (Archivado aquí .)

La línea de base de seguridad para Windows Server 2012 R2 tampoco menciona nada acerca de las ACL de NTFS. Así que supongo que no deberías tocarlos.

Microsoft TechNet, blog de Microsoft Security Guidance, 2014-08-16, Novedades de la configuración de línea de base de seguridad recomendada para Windows 8.1, Windows Server 2012 R2 e Internet Explorer 11 (Archivado aquí .)