Omitir la comprobación de recorrido
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Omitir comprobación de recorrido.
Referencia
Esta configuración de directiva determina qué usuarios (o un proceso que actúe en nombre de la cuenta del usuario) tienen permiso para navegar a una ruta de acceso del objeto en el sistema de archivos NTFS o en el registro sin que se compruebe para el permiso de acceso especial Recorrer la carpeta. Este derecho de usuario no permite al usuario mostrar el contenido de una carpeta. Solo se permite al usuario recorrer las carpetas para obtener acceso a archivos permitidos o subcarpetas.
Constante: SeChangeNotifyPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
Usa la enumeración basada en el acceso cuando quieras impedir que los usuarios vean cualquier carpeta o archivo para el que no tienen acceso.
Usa la configuración predeterminada de esta directiva en la mayoría de los casos. Si cambias la configuración, comprueba tu intento mediante pruebas.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
Tipo de servidor o GPO | Valor predeterminado |
---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores Usuarios autenticados Todos Servicio local Servicio de red Acceso compatible con versiones anteriores de Windows 2000 |
Configuración predeterminada del servidor independiente |
Administradores Operadores de copia de seguridad Usuarios Todos Servicio local Servicio de red |
Configuración predeterminada eficaz del controlador de dominio |
Administradores Usuarios autenticados Todos Servicio local Servicio de red Acceso compatible con versiones anteriores de Windows 2000 |
Configuración predeterminada eficaz del servidor miembro |
Administradores Operadores de copia de seguridad Usuarios Todos Servicio local Servicio de red |
Configuración predeterminada eficaz del equipo cliente |
Administradores Operadores de copia de seguridad Usuarios Todos Servicio local Servicio de red |
Administración de directivas
Los permisos de archivos y carpetas se controlan a través de la configuración apropiada de las listas de control de acceso (ACL) del sistema de archivos. La capacidad de recorrer la carpeta no proporciona ningún permiso de lectura o escritura al usuario.
No es necesario reiniciar el equipo para que esta configuración de directiva sea eficaz.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe la manera en que un atacante podría aprovecharse de una característica o de su configuración, la forma de implementar la contramedida y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
La configuración predeterminada de la opción de configuración Omitir la comprobación de recorrido es permitir a todos los usuarios omitir la comprobación de recorrido. Los permisos de archivos y carpetas se controlan a través de la configuración apropiada de las listas de control de acceso (ACL) del sistema de archivos ya que la capacidad de recorrer la carpeta no proporciona ningún permiso de lectura o escritura al usuario. El único escenario en el que la configuración predeterminada podría provocar percances tiene sería si el administrador que configura los permisos no comprende cómo funciona esta configuración de directiva. Por ejemplo, el administrador podría esperar que los usuarios que no pueden acceder a una carpeta no puedan acceder al contenido de ninguna carpeta secundaria. Esta situación es poco probable y, por lo tanto, esta vulnerabilidad presenta un riesgo reducido.
Contramedida
Es posible que las organizaciones que están especialmente preocupadas por la seguridad quieran quitar el grupo Todos y, quizás, el grupo Usuarios de la lista de grupos con el derecho de usuario Omitir la comprobación de recorrido. Tomar control explícito de las asignaciones de recorrido puede ser una forma eficaz de limitar el acceso a información confidencial. También puede usarse la enumeración basada en el acceso. Si usas la enumeración basada en el acceso, los usuarios no pueden ver ninguna carpeta o archivo para el que no tengan acceso. Para obtener más información sobre esta característica, consulta Enumeración basada en el acceso.
Impacto potencial
Los sistemas operativos Windows y muchas aplicaciones se diseñaron con la expectativa de que cualquiera que pueda tener acceso al equipo legítimamente tenga este derecho de usuario. Por lo tanto, te recomendamos que pruebes cualquier cambio en las asignaciones del derecho de usuario Omitir la comprobación de recorrido antes de realizar estos cambios en los sistemas de producción. En particular, IIS requiere que este derecho de usuario se asigne a las cuentas Servicio de red, Servicio local, IIS_WPG, IUSR_<ComputerName> y IWAM_<ComputerName>. (También debe asignarse a la cuenta ASPNET a través de su pertenencia al grupo Usuarios). Te recomendamos que dejes esta configuración de directiva como su configuración predeterminada.