Что установка EnableLinkedConnections реестра делает на техническом уровне?
Сколько хостов, которые можно контролировать с единственным хостом, будет в широком масштабе иждивенцем на виде проверок, которые Вы осуществляете, сколько времени каждая проверка берет, и если очередь может работать одновременно.
Я видел Smokeping, выполненный против огромных сумм хостов. То же с nagios для простых установок. У парней в моей дочерней компании есть nagios, работающий против нескольких сотен машин, делающих 10-20 проверок на хосты, еще небольшое количество сотни маршрутизаторов, делающих ряд проверок snmp и затем некоторое другое "сетевое" оборудование, делающее соединение snmp и пользовательского контроля сценария. В целом, это по 10k, проверяет машину. Только время там является проблемами, когда проверки snmp начинают отставать.
Также смотрите на Zenoss. Существуют некоторые версия, и она действительно масштабируется.
Не имея исходный доступ к Windows трудно сказать что-либо, что не является предположением. Та правовая оговорка в стороне, вот то, что я смог подобрать путем чтения на этом:
Контроль учётных записей создает два маркера безопасности на входе в систему: поднятый маркер, содержащий полные составы группы пользователя и ограниченный маркер, который имеет членство группы "Администраторов", разделенной. Каждый маркер содержит отличный локально уникальный идентификатор (LUID), который определяет сессию входа в систему. Они - две отдельных и отличных сессии входа в систему.
Начиная в Windows 2000 Server SP2, сетевые диски (которые представлены как символьные ссылки в пространстве имен диспетчера объектов) отмечены с LUID маркера, который создал их (можно найти некоторые ссылки Microsoft на это поведение в этой статье KBase, и можно узнать больше о механике функции в этом сообщении в блоге). Суть функции - то, что сетевые диски, созданные одной сессией входа в систему, не доступны для другой сессии входа в систему.
Установка значения EnableLinkedConnections инициировала поведение в услугах LanmanWorkstation и подсистеме безопасности LSA (LSASS.EXE), чтобы заставить LSA копировать диски, подключенные с любым из маркеров пользователей в контекст другого маркера. Это позволяет дискам, подключенным с поднятым маркером быть видимыми к ограниченному маркеру и обратному. Нет никакой особенности поведения этой функции w/, уважают домену по сравнению с недоменной средой. Если Ваши пользователи будут работать с учетными записями "Администратора" в недоменной среде, то их ограниченные маркеры и поднятые маркеры, по умолчанию, будут иметь отображения независимого диска.
С точки зрения уязвимости официальной документации от Microsoft, кажется, недостает. Я действительно находил комментарий и ответ от сотрудника Microsoft, спрашивающего о потенциальных уязвимостях в разговоре о контроле учётных записей с 2007. Учитывая, что ответ появляется от Jon Schwartz, который, в то время, был назван "Архитектор контроля учётных записей", я буду склонен рассматривать его ответ, имеющий доверие. Вот суть его ответа на следующий запрос: "... Я не нашел, что любая информация описывает то, что на самом деле происходит технически или если это открывает какой-либо вид лазеек контроля учётных записей. Можно ли прокомментировать?"
Технически, это открывает маленькую лазейку, так как неподнятое вредоносное программное обеспечение может теперь "предварительно отобрать" букву диска + отображающийся в поднятый контекст - который должен быть низким риском, если Вы не заканчиваете с чем-то, что это конкретно адаптируется в соответствии с Вашей средой.
Лично, я не могу думать о способе "использовать" эту лазейку, поскольку "отбор" поднятый маркер с отображением диска все еще потребовал бы, чтобы пользователь на самом деле поднял и выполнил что-то злонамеренное от того "отобранного" отображения диска. Я не исследователь в области безопасности, тем не менее, и я не могу приближаться к этому с хорошим мышлением для предложения потенциального использования.
Я избежал использования значения EnableLinkedConnections на моих сайтах для клиентов путем продолжения тенденции, которую мы начали, когда Клиенты начали развертывать Windows NT 4.0 - наличие пользователей входит в систему с ограниченными учетными записями пользователей. Это работало хорошо на нас в течение многих лет и продолжает работать хорошо в Windows 7.
Проще говоря, это связывает Ваши учетные данные суперпользователя с Вашими нормальными учетными данными. Это, конечно, более сложно, но в основном, даже Ваша учетная запись "администратора" на окнах 7 не является администратором, но должна сделать эквивалент SUDO на Linux для выполнения множества операций. Когда Вы подключаете сетевой диск, необходимо сделать это, но сетевой диск только становится отображенным для суперпользователя, не обычного пользователя. Этот реестр, устанавливающий, связывает учетные данные суперпользователя с Вашими стандартными в целях сетевых дисков. Таким образом, оба могут получить доступ к сетевому диску вместо просто суперпользователя.
Объявление: я знаю, что это вопрос из 2010 года, но я все еще пытаюсь добавить больше деталей. Я все еще новичок в сообществе Stack Exchange. Этот ответ добавляет подробности к ответу Эвана Андерсона.
Лично я не могу придумать способ «эксплуатировать» эту лазейку, поскольку «заполнение» маркера с повышенными правами с помощью сопоставления диска по-прежнему требует от пользователя фактического повышения прав и выполнения чего-то вредоносного с этого «заданного» диска. отображение.
Например, программа на сетевом диске должна была запускаться от имени администратора, для этого вы должны запланировать две вещи: смонтировать сетевой каталог как диск в сеансе администратора, предполагая, что это Z:; запустите программу с сетевого диска, предполагая, что это Z:\daemon.exe.
Включив EnableLinkedConnections, специально созданное вредоносное ПО может размонтировать Z:\ и заменить его другим сетевым диском с опасным файлом daemon.exe, и Windows продолжит его выполнение, поскольку он хранится в локальной области и не применяются настройками зоны безопасности в Интернете (MOTW). Если бы он оставался отключенным, замененный диск Z: не влиял бы на сеанс администратора, что обеспечивало бы безопасность.
Это очень целенаправленная угроза безопасности, редко встречающаяся в настоящее время, потому что:
- Вы используете сетевой диск для приоритетных задач, что крайне редко, приоритетные задачи обычно используют путь UNC, чтобы избежать проблем между сеансами, это означает что программа плохо спроектирована для использования пути UNC (обычно встречается в очень древнем программном обеспечении и очень древнем CMD от Microsoft).
- Злоумышленник должен знать, какую программу вы запускаете на сетевом диске с приоритетом UAC, что означает, что злоумышленник уже освоил, как работает ваша компьютерная система, но кто может знать это? Незнакомцу не будет так скучно шпионить за вашим компьютером 24 часа в сутки 7 дней в неделю, возможно, у кого-то есть физический доступ к вашему компьютеру.
- Злоумышленник должен создать фальшивый, который не запускает программное обеспечение безопасности.Несмотря на обход флага MOTW, современные Windows обычно используют программное обеспечение для обеспечения безопасности, но большинству людей это не важно, поэтому по умолчанию используется Защитник Windows.
- И, наконец, в случае, если устройство находится в управляемой среде, если злоумышленник не воспользовался уязвимостью для запуска этой программы монтирования, это также означает, что политика безопасности, вероятно, плохо разработана, поскольку ненадежный код не должен был запускаться на управляемых устройствах путем пользователи.
Та же поверхность атаки применима и к символическим ссылкам, поэтому для создания символических ссылок по умолчанию требуется приоритет UAC до Windows 10 Creators Update. Отмена требования приоритета UAC дает сигнал о том, что это больше не опасное нарушение безопасности, которого следует избегать всем, хотя системные администраторы могут по-прежнему настраивать это в групповой политике, если это необходимо.
Редактировать: изменение слов