¿Por qué se considera inseguro el acceso a la networking de counts de invitados?

Hace poco estuve interesado en permitir el acceso a la networking de counts de invitados en relación con un proyecto de investigación que estaba haciendo.

Esto fue en un sistema operativo Windows Server.

La protesta fue increíble … la gente freaking y diciendo lo inseguro que es y cómo sólo había que ser una mejor manera independientemente de mis necesidades o quiere.

Al parecer, es una mala idea que bajo ninguna circunstancia se debería preguntar la pregunta.

Esto parece FUD

Mirando alnetworkingedor en la networking la solución dada cuando otras personas han pedido alnetworkingedor era hacer una count de usuario limitada en su lugar. Ahora, esto parece una solución peor .

Si por alguna razón (y hay muchos, intentar responder por una razón específica no ayuda a nadie, ni a la comunidad) alguien está determinado a tener una count de invitado para el acceso anónimo en un SO de server, no es mejor que utilicen el construido en count de invitado?

Una count limitada creada para el mismo propósito se usará exactamente de la misma manera, excepto que la count de invitado incorporada ya está bloqueada en un grado mucho mayor. De hecho, usar la count de invitado incorporada con acceso a la networking parecería ser más seguro que crear una count limitada para el mismo propósito.

Por lo tanto, ¿por qué está tratando de habilitar el acceso a la networking para la count construida en invitado considerado tan inseguro, y por qué evoca tal pánico y FUD?

Para ser claro, me refiero a que la count de invitados iniciar la connection de networking desde la máquina mientras está conectado, no utilizando la count de invitados para acceder a cualquier cosa remotamente

One Solution collect form web for “¿Por qué se considera inseguro el acceso a la networking de counts de invitados?”

El propósito de la count de invitado es controlar el acceso anónimo a algunas instalaciones del sistema operativo. Si quería permitir el acceso anónimo, por ejemplo, a una cuota de SMB, habilitaría la count de invitado,

Habilitar la count cambia el comportamiento del sistema operativo. Guest es una count de usuario, pero su estado habilitado / deshabilitado actúa como un indicador que dice "Hey – cuando esta count está habilitada, permita que cualquiera con cnetworkingenciales se autentique como este context".

El "FUD" proviene de la mala gestión de la security de Microsoft históricamente y permitiendo a los usuarios anónimos un acceso innecesariamente amplio, por defecto, en las versiones anteriores del sistema operativo. A pesar de que Windows Server 2003 y las versiones más recientes de Windows hacen un trabajo mucho mejor con esto la comunidad sigue siendo un poco pistola-tímido.

Para mi mente no hay nada malo con el uso de la count de invitado incorporada del sistema operativo para su propósito previsto.

Personalmente, tendría que estar en contra de usar el intercambio de files SMB anónimo. Exportación de los files que desea compartir con HTTP o, si es necesario ser de lectura / escritura, WebDAV. Tengo la tendencia a pensar que las carpetas escriturables con acceso anónimo habilitado son irresponsables al host.

Editar:

Si desea que "Invitado" acceda a una carpeta compartida a través de SMB en los sistemas operativos de Windows Server (W2K3 y W2K8), desearía:

  • "Habilitar" la count "Invitado" de "Usuarios y Grupos Locales"
  • Agregue el usuario "Invitado" o el grupo "Invitados" con los permissions deseados (esperemos que sean de sólo lectura) a la ACL en la carpeta compartida

Los grupos incorporados "Usuarios" y "Usuarios autenticados" no contienen "Invitado" (aunque "Todo el mundo") para que la mayoría de las ACL de carpeta pnetworkingeterminada no permitan el acceso de invitados. Añadir "Invitados" de forma explícita, en lugar de "Todos", por lo que es visualmente muy claro que he permitido "Invitados" de acceso a esta carpeta. (No es necesario utilizar el grupo "Invitados", pero en general es mejor utilizar grupos en los permissions en lugar de los usuarios individuales.) Cuando se unen para ser un dominio, tenga en count que "DOMINIO \ Invitados del dominio" está nested en su equipo local "Invitados" grupo, sin embargo.)

  • ¿Funciona la function de desduplicación de datos de Windows Server 2012 con progtwigs de desfragmentación de terceros?
  • Windows: 2 sitios, 2 dc. ¿Cómo funciones de configuration?
  • Windows - Acceso de los services de logging al almacén de certificates
  • Creación de una implementación desatendida de Windows Server
  • ¿Cómo puedo saber qué unidades de red han cartografiado los usuarios?
  • Archivo por lotes para desinstalar Windows Update?
  • ¿El fail2ban hace Windows?
  • Sistema operativo basado en Windows Copying Woes
  • ¿Cómo puede un usuario estándar de Windows cambiar su contraseña desde la línea de comandos?
  • Cambiar la política de passwords de Windows
  • ICS sin el server DHCP pnetworkingeterminado
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.