¿Por qué se considera inseguro el acceso a la networking de counts de invitados?

Hace poco estuve interesado en permitir el acceso a la networking de counts de invitados en relación con un proyecto de investigación que estaba haciendo.

Esto fue en un sistema operativo Windows Server.

La protesta fue increíble … la gente freaking y diciendo lo inseguro que es y cómo sólo había que ser una mejor manera independientemente de mis necesidades o quiere.

Al parecer, es una mala idea que bajo ninguna circunstancia se debería preguntar la pregunta.

Esto parece FUD

Mirando alnetworkingedor en la networking la solución dada cuando otras personas han pedido alnetworkingedor era hacer una count de usuario limitada en su lugar. Ahora, esto parece una solución peor .

Si por alguna razón (y hay muchos, intentar responder por una razón específica no ayuda a nadie, ni a la comunidad) alguien está determinado a tener una count de invitado para el acceso anónimo en un SO de server, no es mejor que utilicen el construido en count de invitado?

Una count limitada creada para el mismo propósito se usará exactamente de la misma manera, excepto que la count de invitado incorporada ya está bloqueada en un grado mucho mayor. De hecho, usar la count de invitado incorporada con acceso a la networking parecería ser más seguro que crear una count limitada para el mismo propósito.

Por lo tanto, ¿por qué está tratando de habilitar el acceso a la networking para la count construida en invitado considerado tan inseguro, y por qué evoca tal pánico y FUD?

Para ser claro, me refiero a que la count de invitados iniciar la connection de networking desde la máquina mientras está conectado, no utilizando la count de invitados para acceder a cualquier cosa remotamente

One Solution collect form web for “¿Por qué se considera inseguro el acceso a la networking de counts de invitados?”

El propósito de la count de invitado es controlar el acceso anónimo a algunas instalaciones del sistema operativo. Si quería permitir el acceso anónimo, por ejemplo, a una cuota de SMB, habilitaría la count de invitado,

Habilitar la count cambia el comportamiento del sistema operativo. Guest es una count de usuario, pero su estado habilitado / deshabilitado actúa como un indicador que dice "Hey – cuando esta count está habilitada, permita que cualquiera con cnetworkingenciales se autentique como este context".

El "FUD" proviene de la mala gestión de la security de Microsoft históricamente y permitiendo a los usuarios anónimos un acceso innecesariamente amplio, por defecto, en las versiones anteriores del sistema operativo. A pesar de que Windows Server 2003 y las versiones más recientes de Windows hacen un trabajo mucho mejor con esto la comunidad sigue siendo un poco pistola-tímido.

Para mi mente no hay nada malo con el uso de la count de invitado incorporada del sistema operativo para su propósito previsto.

Personalmente, tendría que estar en contra de usar el intercambio de files SMB anónimo. Exportación de los files que desea compartir con HTTP o, si es necesario ser de lectura / escritura, WebDAV. Tengo la tendencia a pensar que las carpetas escriturables con acceso anónimo habilitado son irresponsables al host.

Editar:

Si desea que "Invitado" acceda a una carpeta compartida a través de SMB en los sistemas operativos de Windows Server (W2K3 y W2K8), desearía:

  • "Habilitar" la count "Invitado" de "Usuarios y Grupos Locales"
  • Agregue el usuario "Invitado" o el grupo "Invitados" con los permissions deseados (esperemos que sean de sólo lectura) a la ACL en la carpeta compartida

Los grupos incorporados "Usuarios" y "Usuarios autenticados" no contienen "Invitado" (aunque "Todo el mundo") para que la mayoría de las ACL de carpeta pnetworkingeterminada no permitan el acceso de invitados. Añadir "Invitados" de forma explícita, en lugar de "Todos", por lo que es visualmente muy claro que he permitido "Invitados" de acceso a esta carpeta. (No es necesario utilizar el grupo "Invitados", pero en general es mejor utilizar grupos en los permissions en lugar de los usuarios individuales.) Cuando se unen para ser un dominio, tenga en count que "DOMINIO \ Invitados del dominio" está nested en su equipo local "Invitados" grupo, sin embargo.)

  • Entrada del file de host dependiendo de su propia IP?
  • Cómo quitar loggings de DNS del controller de dominio huérfano?
  • Uso de la installation de npm como una count de sistema de MS-Windows
  • Establecer esquema de sonido pnetworkingeterminado de Windows mediante GPO
  • Carpetas de datos para comprobar en Windows al migrar datos
  • ZFS CIFS, los clientes no pueden ver los puntos de assembly de otras acciones en la carpeta raíz?
  • ¿Los clientes de DirectAccess renovarán los certificates de estación de trabajo fuera del sitio?
  • Administrar Microsoft DHCP desde Linux
  • Win XP y inicio de session automático
  • Windows 7 x64 Enterprise todas las impresoras de networking aparecen en gris al reiniciar
  • Instalación de una tarjeta gráfica de doble pantalla en un server de Windows 2008
  • El usuario de Windows tiene derechos efectivos completos de su computadora
  • Descargas de server de bambú son lentos, ¿cómo puedo depurar esto?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.