为什么允许访客帐户网络访问被认为是不安全的?

为什么允许访客帐户网络访问被认为是不安全的?

我最近对允许访客帐户网络访问感兴趣,这与我正在做的一个研究项目有关。

这是在 Windows Server 操作系统上。

人们的抗议令人震惊......人们惊慌失措,说这是多么不安全,无论我的需要或想要什么,都必须有更好的方法。

显然这是一个非常糟糕的想法,无论在任何情况下都不应该问这个问题。

这看起来像是 FUD

在网上查找了一下,其他人询问后给出的解决方案是创建一个受限用户帐户。现在,这似乎是一个更差解决方案。

如果由于某种原因(有很多原因,尝试回答特定的原因对任何人或社区都没有任何帮助)某人决心在服务器操作系统上拥有一个用于匿名访问的来宾帐户,那么使用内置的来宾帐户不是更好吗?

为相同目的创建的受限帐户将以完全相同的方式使用,只是内置来宾帐户已被锁定到更高程度。事实上,使用具有网络访问权限的内置来宾帐户似乎比为相同目的创建受限帐户更安全。

那么,为什么尝试为内置访客帐户启用网络访问被认为如此不安全,为什么会引起如此恐慌和 FUD?

编辑:明确地说,我指的是让来宾帐户在登录时从机器启动网络连接,而不是使用来宾帐户远程访问任何东西

答案1

Guest 帐户的目的是控制对某些操作系统设施的匿名访问。如果我想允许匿名访问 SMB 共享,我会启用 Guest 帐户,

启用帐户会改变操作系统的行为。Guest 是一个用户帐户,但其启用/禁用状态充当一个标志,表示“嘿 - 启用此帐户后,允许任何具有任何凭据的人以此上下文进行身份验证。”

“FUD” 源于微软历史上对安全性的糟糕处理,在旧版操作系统中默认允许匿名用户拥有不必要的广泛访问权限。尽管 Windows Server 2003 和更新版本的 Windows 在这方面做得更好,但社区仍然有点胆怯。

在我看来,将操作系统内置的 Guest 帐户用于其预期目的并没有错。

我个人倾向于反对使用匿名 SMB 文件共享。我会使用 HTTP 导出要共享的文件,或者,如果需要读写,则使用 WebDAV。我倾向于认为启用匿名访问的可写文件夹对托管来说是不负责任的。

编辑:

如果您希望“Guest”通过 Windows Server 操作系统(W2K3 和 W2K8 版本)中的 SMB 访问共享文件夹,那么您需要:

  • 从“本地用户和组”中“启用”“Guest”帐户
  • 将具有所需权限(希望是只读)的“Guest”用户或“Guests”组添加到共享文件夹的 ACL

“用户”和“经过身份验证的用户”内置组不包含“来宾”(但“所有人”包含),因此大多数默认文件夹 ACL 不允许来宾访问。我会明确添加“来宾”,而不是“所有人”,这样从视觉上就很清楚我已允许“来宾”访问此文件夹。(您不必使用组“来宾”,但通常最好在权限中使用组而不是单个用户。但是,当您加入域时,请注意“DOMAIN\Domain Guest”嵌套在您计算机的本地“来宾”组中。)

相关内容