O direito do Windows "Acessar este computador pela rede" - prejudicial?

-1

TODAS as contas de computador do nosso domínio (machinename $) têm o "acesso a este computador pela rede" em todos os computadores. Eles também estão no grupo DOMÍNIOS USUÁRIOS, mas NÃO estão em nenhum grupo de domínio / administrador / domínio. Como essas contas podem ser usadas por um usuário final, por meio de "psexec -s -i -d cmd.exe" em sua área de trabalho de domínio local - esse uso pode habilitar qualquer tipo de wmic winrs bitsadmin em outras máquinas de domínio que estão na rede? Este cmd permite o uso da conta sem saber sua senha, mas ganhando a capacidade de tocar as outras máquinas na rede. Eu posso regedit-enumerar ids, políticas, compartilhar NAMES .. dependendo do conjunto de permissões. Parece-me que precisamos remover este direito para impedir o uso de tais ferramentas (especialmente os winms wmic bitsadmin) em outros computadores de domínio. Os w cmds e bitsadmin ainda não consegui trabalhar na rede. Alguém tem alguma opinião sobre isso? Sim - eu sou um pouco paranoico com isso ...:)

    
por Rando 24.01.2017 / 22:32

1 resposta

2

Extraído de aqui :

Vulnerability

Users who can connect from their computer to the network can access resources on target computers for which they have permission. For example, the Access this computer from the network user right is required for users to connect to shared printers and folders. If this user right is assigned to the Everyone group, anyone in the group can read the files in those shared folders. This situation is unlikely because the groups created by a default installation of Windows Server 2012, Windows Server 2008 R2, Windows 8, and Windows 7 do not include the Everyone group. However, if a computer is upgraded and the original computer includes the Everyone group as part of its defined users and groups, that group is transitioned as part of the upgrade process and is present on the computer.

Countermeasure

Restrict the Access this computer from the network user right to only those users and groups who require access to the computer. For example, if you configure this policy setting to the Administrators and Users groups, users who log on to the domain can access resources that are shared from servers in the domain if members of the Domain Users group are included in the local Users group.

    
por 24.01.2017 / 22:52

Tags