¿La activación de EnableLinkedConnections representa un riesgo para la seguridad?

7

Tal como se muestra TechNet de Microsoft , los recursos compartidos de red que son asignados por secuencias de comandos de inicio de sesión se comparten con el token de acceso de usuario estándar en lugar de con el token de acceso de administrador completo. Aquí está la esencia de esto:

Síntoma

  

Después de activar el Control de cuentas de usuario (UAC) en Windows Vista o Windows 7, es posible que los programas no puedan acceder a algunas ubicaciones de red. Este problema también puede ocurrir cuando usa el símbolo del sistema para acceder a una ubicación de red.

Causa

  

Este problema se produce porque UAC trata a los miembros del grupo de administradores como usuarios estándar. Por lo tanto, los recursos compartidos de red asignados por secuencias de comandos de inicio de sesión se comparten con el token de acceso de usuario estándar en lugar de con el token de acceso de administrador completo.

     

[...] Cuando los recursos compartidos de red están asignados, están vinculados a la sesión de inicio de sesión actual para el token de acceso al proceso actual. Esto significa que si un usuario usa el símbolo del sistema (cmd.exe) junto con el token de acceso filtrado para asignar un recurso compartido de red, el recurso compartido de red no se asigna para los procesos que se ejecutan con el token de acceso de administrador completo.

Resolución

  

Crear / configurar el valor DWORD de EnableLinkedConnections en la ubicación HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System en 1 y reiniciar la computadora permite que Windows Vista y Windows 7 compartan conexiones de red entre el token de acceso filtrado y el token completo. token de acceso de administrador.

Ya he establecido que la solución mencionada anteriormente funciona perfectamente bien, solucionando mi problema. Ahora me pregunto si hacerlo supone un riesgo para la seguridad y, de ser así, ¿qué es? Puedo vivir sin esta solución alternativa, pero tenerla en su lugar definitivamente hace que mi vida sea más fácil.

    
pregunta JC2k8 21.07.2015 - 14:12
fuente

2 respuestas

2

Encontré una answer de Jon Schwartz, UAC Architect que proporcionó los siguientes detalles:

  

Las unidades asignadas se vuelven interesantes en combinación con la cuenta de "token dividido", debido a una extraña dicotomía en el sistema (en gran parte histórico) - las letras de unidad son por usuario, pero las asignaciones de unidad subyacentes son por LUID (es decir, distinto para cada inicio de sesión individual, incluso para el mismo usuario). Esta es la razón por la que las asignaciones desaparecen cuando se eleva, y la configuración que encontró le dice al sistema operativo que desea que las asignaciones que realice sin elevar se reflejen también en su contexto elevado: bajo la cobertura, el proveedor de la red NTLanman asigna el disco y luego le pide a la LSA que encuentre el token elevado asociado y lo use para reflejar la asignación.

En cuanto a cualquier vulnerabilidad, Jon tenía esto que decir:

  

Técnicamente, abre una pequeña laguna, ya que el malware no elevado ahora puede "pre-inicializar" una letra de unidad + mapeo en el contexto elevado - eso debería ser de bajo riesgo a menos que termine con algo que se adapte específicamente a su medio ambiente.

Esto es de 2007 y se aplica principalmente a Windows Vista, sin embargo. No creo que mucho haya cambiado desde entonces. Como todavía estamos usando Windows 7, debería estar bien, supongo.

    
respondido por el JC2k8 01.09.2015 - 07:14
fuente
0

Incluso después de los cambios que realizó en esa clave de registro, se supone que UAC le notificará sobre cualquier cambio adicional que pueda ocurrir en su máquina. Entonces, en teoría, esto le ayuda a evitar la instalación de malware, pero hay algunos escenarios en los que puede pensar:

  1. Supongamos que le da acceso a una persona en la que confía (digamos que su hermano pero que no está tan bien informado como usted sobre los problemas de seguridad) a esa máquina y él instala / ejecuta una aplicación comprometida (archivo de música malintencionado, juego de PC ... su hermano tenderá naturalmente a hacer clic en Sí, Aceptar y escriba su contraseña): el malware se ejecutará con todos los privilegios de administrador.
  2. Supongamos que sus hermanos navegan por su cuenta en la web y aterrizan en un servidor comprometido que realizará un ataque de descarga por drive : que puede llevar a instalar spyware / adware en su computadora gracias a las vulnerabilidades que pueden existir en su navegador o los complementos que ejecuta en él, o incluso, en otros pasos, conducir a la instalación de malware sin su consentimiento / conocimiento.
  3. UAC no es tan poderoso: ayuda pero no es perfectamente seguro. Los atacantes utilizan muchas técnicas para evitar UAC (como explotar la vulnerabilidad de secuestro de DLL): suponga que usted mismo ejecuta una aplicación que pasa por alto UAC: con la configuración que hizo, el malware tendrá todos los privilegios (puede ser que usted sea interesado, por ejemplo, para leer esto: Bypasses de día cero en UAC de Windows )

Como una buena práctica de seguridad, es mejor dejar la administración del grupo de administradores a su valor predeterminado para que solo tenga un consciente: administrador de seguridad y experto a la vez.

    
respondido por el user45139 24.08.2015 - 18:46
fuente

Lea otras preguntas en las etiquetas