Objets système : renforcer les autorisations par défaut des objets système internes (par exemple, liens symboliques)

S’applique à

  • Windows 11
  • Windows 10

Décrit les meilleures pratiques, l’emplacement, les valeurs, la gestion des stratégies et les considérations relatives à la sécurité pour le paramètre de stratégie de sécurité Objets système : Renforcer les autorisations par défaut des objets système internes (par exemple, Liens symboliques).

Référence

Ce paramètre de stratégie détermine la force de la liste de contrôle d’accès discrétionnaire (DACL) par défaut pour les objets. Windows tient à jour une liste globale des ressources système partagées telles que les noms d’appareils MS-DOS, les mutex et les sémaphores. Les processus utilisent cette liste pour localiser et partager des objets. Chaque type d’objet est créé avec une liste DACL par défaut qui spécifie qui peut accéder aux objets avec quelles autorisations. L’activation de ce paramètre de stratégie renforce la liste dacl par défaut et permet aux utilisateurs qui ne sont pas administrateurs de lire, mais pas de modifier, des objets partagés qu’ils n’ont pas créés.

Valeurs possibles

  • Activé
  • Désactivé
  • Non définie

Meilleures pratiques

  • Il est recommandé de définir cette stratégie sur Activé.

Emplacement

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\ Stratégies locales\Options de sécurité

Valeurs par défaut

Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.

Type de serveur ou GPO Valeur par défaut
Stratégie de domaine par défaut Non définie
Stratégie de contrôleur de domaine par défaut Non définie
Paramètres par défaut du serveur autonome Activé
Paramètres effectifs par défaut du contrôleur de domaine Activé
Paramètres effectifs par défaut du serveur membre Activé
Paramètres effectifs par défaut de l’ordinateur client Activé

Gestion des stratégies

Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie deviennent effectives sans qu’un appareil ne redémarre lorsqu’ils sont enregistrés localement ou distribués via stratégie de groupe.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Ce paramètre de stratégie est activé par défaut pour se protéger contre une vulnérabilité connue qui peut être utilisée avec des liens physiques ou symboliques. Les liens physiques sont des entrées de répertoire réelles dans le système de fichiers. Avec les liens physiques, les mêmes données d’un système de fichiers peuvent être référencées par des noms de fichiers différents. Les liens symboliques sont des fichiers texte qui fournissent un pointeur vers le fichier qui est interprété et suivi par le système d’exploitation comme un chemin d’accès à un autre fichier ou répertoire. Étant donné que les liens symboliques sont un fichier distinct, ils peuvent exister indépendamment de l’emplacement cible. Si un lien symbolique est supprimé, son emplacement cible n’est pas affecté. Lorsque ce paramètre est désactivé, il est possible pour un utilisateur malveillant de détruire un fichier de données en créant un lien qui ressemble à un fichier temporaire que le système crée automatiquement, tel qu’un fichier journal nommé de manière séquentielle, mais il pointe vers le fichier de données que l’utilisateur malveillant souhaite éradiquer. Lorsque le système écrit les fichiers avec ce nom, les données sont remplacées. Activation des objets système : renforcer les autorisations par défaut des objets système internes (par exemple, liens symboliques) empêche un attaquant d’exploiter des programmes qui créent des fichiers avec des noms prédictibles en ne lui permettant pas d’écrire dans des objets qu’il n’a pas créés.

Contre-mesure

Activez le paramètre Objets système : Renforcer les autorisations par défaut des objets système globaux (par exemple, Liens symboliques).

Impact possible

Aucune. Cet état sans impact est la configuration par défaut.