Почему разрешение доступа к сети гостевой учетной записи считается небезопасным?
Недавно я заинтересовался разрешением доступа к сети гостевой учетной записи в связи с исследовательским проектом, которым я занимался.
Это было на ОС Windows Server.
Возмущение было поразительным... люди сходили с ума и говорили, насколько это небезопасно и как должен был быть лучший путь, независимо от моих потребностей или желаний.
Очевидно, это настолько плохая идея, что ни при каких обстоятельствах этот вопрос даже не следует задавать.
Это похоже на FUD
Посмотрев в интернете, решение, предложенное другими людьми, заключалось в том, чтобы вместо этого создать ограниченную учетную запись пользователя. Теперь это кажется худшим решением.
Если по какой-либо причине (а их много, попытка ответить по определенной причине никому, ни сообществу не поможет) кто-то решил иметь гостевую учетную запись для анонимного доступа на серверной ОС, разве не лучше, чтобы он использовал встроенный гостевой аккаунт?
Ограниченная учетная запись, созданная для той же цели, будет использоваться точно так же, за исключением того, что встроенная гостевая учетная запись уже заблокирована в гораздо большей степени. Действительно, использование встроенной гостевой учетной записи с доступом к сети представляется более безопасным, чем создание ограниченной учетной записи для той же цели.
Итак, почему попытка включить сетевой доступ для встроенной гостевой учетной записи считается небезопасной, и почему она вызывает такую панику и FUD?
редактировать: для ясности я имею в виду, что учетная запись гостя инициирует сетевое подключение с компьютера при входе в систему, не используя учетную запись гостя для удаленного доступа к чему-либо
1 ответ
Целью учетной записи "Гость" является управление анонимным доступом к некоторым средствам ОС. Если бы я хотел разрешить анонимный доступ, скажем, к SMB-ресурсу, я бы включил учетную запись "Гость",
Включение учетной записи приводит к изменению поведения ОС. Гость - это учетная запись пользователя, но ее состояние "включено / отключено" действует как флаг, который гласит: "Эй, когда эта учетная запись включена, разрешить всем, у кого есть учетные данные, проходить аутентификацию в этом контексте".
"FUD" происходит из-за исторически плохого управления безопасностью Microsoft и предоставления анонимным пользователям ненужного широкого доступа, по умолчанию, к более старым версиям ОС. Несмотря на то, что Windows Server 2003 и более новые версии Windows справляются с этим намного лучше, сообщество все еще немного застенчиво.
На мой взгляд, нет ничего плохого в использовании встроенной учетной записи гостя ОС по прямому назначению.
Лично я склонен быть против использования анонимного общего доступа к файлам SMB. Я бы экспортировал файлы, которыми вы хотите поделиться с HTTP или, если нужно, для чтения / записи, в WebDAV. Я склонен думать, что доступные для записи папки с включенным анонимным доступом безответственно к хосту.
Редактировать:
Если вы хотите, чтобы "Гость" получал доступ к общей папке через SMB в ОС Windows Server (W2K3 и W2K8), то вам нужно:
- "Включить" учетную запись "Гость" из "Локальный пользователь и группы"
- Добавьте пользователя "Гость" или группу "Гости" с необходимыми разрешениями (надеюсь, только для чтения) в ACL в общей папке.
Встроенные группы "Пользователи" и "Прошедшие проверку" не содержат "Гость" (хотя "Все"), поэтому большинство списков ACL для папок по умолчанию не разрешают гостевой доступ. Я бы добавил явно "Гости", а не "Все", чтобы визуально было ясно, что я разрешил "Гостям" доступ к этой папке. (Вам не нужно использовать группу "Гости", но, как правило, лучше использовать группы в разрешениях, а не отдельных пользователей. Когда вы присоединяетесь к домену, имейте в виду, что "ДОМЕНЫ \ Гостевые домены" вкладываются в ваш локальная компьютерная группа "Гости", хотя.)