ゲストアカウントのネットワークアクセスを許可することが安全でないと見なされるのはなぜですか?
最近、自分が行っていた研究プロジェクトに関連して、ゲストアカウントのネットワークアクセスを許可することに興味がありました。
これはWindowsServerOS上にありました。
抗議は素晴らしかった....人々はびっくりして、それがどれほど不安定であるか、そして私のニーズや欲求に関係なく、より良い方法が必要だったと言った。
どうやらそれはとても悪い考えなので、どんな状況でも質問さえされるべきではありません。
これはFUDのようです
ネット上で他の人が尋ねたときに与えられた解決策は、代わりに限定されたユーザーアカウントを作成することでした。さて、これは悪い解決策のようです。
何らかの理由で(そして多くの場合、特定の理由で答えようとしても誰もコミュニティも役に立たない)、誰かがサーバーOSで匿名アクセス用のゲストアカウントを持っていると判断された場合、それらを使用するのは良くありませんビルトインゲストアカウント?
まったく同じ目的で作成された限定アカウントは、組み込みのゲストアカウントがすでに大幅にロックダウンされていることを除いて、まったく同じ方法で使用されます。実際、ネットワークアクセスで組み込みのゲストアカウントを使用する方が、同じ目的で制限付きアカウントを作成するよりも安全であるように思われます。
では、なぜ安全でないと見なされている組み込みのゲストアカウントに対してネットワークアクセスを有効にしようとしているのでしょうか。また、なぜそのようなパニックやFUDを引き起こすのでしょうか。
編集:明確にするために、私はログイン中にゲストアカウントがマシンからネットワーク接続を開始することを指し、ゲストアカウントを使用してリモートで何かにアクセスするのではありません
Guestアカウントの目的は、一部のOS機能への匿名アクセスを制御することです。たとえば、SMB共有への匿名アクセスを許可したい場合は、ゲストアカウントを有効にします。
でアカウントを有効にすると、OSの動作が変わります。ゲストはユーザーアカウントですが、その有効化/無効化ステータスは、「ねえ、このアカウントが有効になっている場合、任意の資格情報を持つすべてのユーザーがこのコンテキストとして認証できるようにする」というフラグとして機能します。
「FUD」は、Microsoftの歴史的に不適切なセキュリティ処理に由来し、古いバージョンのOSでは、デフォルトで匿名ユーザーに不必要に広いアクセスを許可します。 Windows Server 2003以降のバージョンのWindowsはこれではるかに優れた仕事をしますが、コミュニティはまだ少し恥ずかしがり屋です。
私の考えでは、OSの組み込みゲストアカウントを本来の目的で使用することに何の問題もありません。
個人的には、匿名のSMBファイル共有を使用することに反対する傾向があります。HTTPまたは読み取り/書き込みが必要な場合はWebDAVで共有するファイルをエクスポートします。私は、匿名アクセスが有効になっている書き込み可能なフォルダは、ホストに対して無責任であると考えること。
編集:
「ゲスト」がSMB)を介して共有フォルダーにアクセスする場合は、次のようにします。
- 「ローカルユーザーとグループ」から「ゲスト」アカウントを「有効にする」
- 共有フォルダーのACLに、必要なアクセス許可(できれば読み取り専用)を持つ「Guest」ユーザーまたは「Guests」グループを追加します。
「Users」および「AuthenticatedUsers」の組み込みグループには「Guest」が含まれていないため(「Everyone」には含まれています)、ほとんどのデフォルトのフォルダーACLはゲストアクセスを許可しません。 「Everyone」ではなく「Guests」を明示的に追加して、「Guests」にこのフォルダへのアクセスを許可したことが視覚的に非常に明確になるようにします。 (グループ「Guests」を使用する必要はありませんが、通常は、個々のユーザーではなく、権限でグループを使用することをお勧めします。ドメインに参加する場合は、「DOMAIN\DomainGuests」がネストされていることに注意してください。ただし、コンピュータのローカルの「ゲスト」グループ。)