Quais são as permissões mínimas para um compartilhamento do Windows ser apenas anônimo?

Navegue suas respostas
5

Estou no longo e árduo processo de resolver minha confusão sobre as permissões do Windows e adoraria ter alguma clareza sobre o seguinte.

Eu gostaria de provisionar um compartilhamento do Windows de forma que qualquer computador Windows anônimo na rede (nós não usamos um controlador de domínio) pode digitar \servername\sharename e ter acesso somente leitura aos arquivos nele.

O que eu sei:

  • O grupo "Todos" não inclui o SID "anônimo". (Embora, estranhamente, esse artigo não "aplique" para 2008 R2 ...)
  • Existem dois "níveis" (provavelmente não a melhor palavra) de permissões nos próprios arquivos: as permissões de compartilhamento e as permissões de NTFS. (por exemplo, Gerenciamento de compartilhamento e armazenamento - > Propriedades - > Permissões)
  • Existem algumas dicas sobre como operar em um ambiente sem um controlador de domínio, mas com contas de usuários com nome idêntico em várias máquinas .

O que eu acho que sei:

  • "Tornar os serviços de rede detectáveis" não deve ter impacto sobre a acessibilidade de compartilhamentos com permissão adequada.
  • As permissões NTFS também DEVEM ser configuradas para que esse compartilhamento fique acessível - não apenas para compartilhar permissões! (?) (Apesar do Gerenciamento de Compartilhamento e Armazenamento afirmarem que elas só se aplicam ao acesso local.)
  • O grupo "Todos" não deve ficar sem permissões de acesso, mesmo que explicitamente se refira a contas de usuários locais, pois um computador cliente conectado como o mesmo nome de usuário de um local ao servidor tentará autenticar como esse usuário, e ser negado se houver uma diferença na senha. ( *groan* )

O que eu não sei:

  • Há alguma pegadinha relacionada a credenciais em cache ou resposta do servidor? Devo reiniciar a estação de trabalho do meu cliente de teste após cada tentativa de conexão ao compartilhamento?
  • A conta "Convidado" deve ter alguma coisa a ver com isso, nas permissões de compartilhamento ou NTFS?
  • Estou correto em observar a necessidade de configurar "ANONYMOUS LOGON" com permissões de leitura em BOTH as permissões de compartilhamento e NTFS? O mesmo para o grupo "Everyone"?
por NReilingh 19.12.2013 / 20:46

2 respostas

1

Três coisas precisam ser feitas para configurar o acesso para usuários anônimos no grupo "Everyone", que é mais limpo do que usar 'ANONYMOUS LOGON' explicitamente:

1. Crie o compartilhamento de arquivos

  • Permissões NTFS : defina 'Ler & Execute ',' List Folder Contents 'e' Read 'para o grupo' Everyone '
  • Permissões de compartilhamento : defina "Ler" para o grupo "Todos"

2. Ajustar a política de segurança local

Abra a "Política de segurança local" e navegue até Configurações de segurança - > Políticas locais - > Opções de segurança e defina:

  • Network access: Let Everyone permissions apply to anonymous users - Ativado
  • Network access: Restrict anonymous access to Named Pipes and Shares - Desativado
  • Edite Network access: Shares that can be accessed anonymously para ser o nome do compartilhamento que você criou . (A formatação é ambígua, mas não inclui o nome do servidor e, presumidamente, trata-se de uma lista delimitada por vírgulas, se você precisar de mais de uma).

3. Permitir acesso sem senha

  • Abra "Configurações avançadas de compartilhamento", seja em "Centro de Rede e Compartilhamento" nos painéis de controle, ou clicando no link em Propriedades no diretório (em Proteção por senha).
  • Altere a configuração "Compartilhamento protegido por senha" para desativado.

Outras notas:

  • As permissões precisam ser concedidas para os usuários AMBOS nos níveis de NTFS e compartilhamento
  • Considere qualquer teste que você faz em uma máquina conectada como um usuário cujo nome corresponde a um em seu servidor para ser inútil (mas a reinicialização de uma verdadeira máquina de teste não será necessária)
por 21.12.2013 / 05:33
3

Primeiro, a configuração de acesso anônimo a um compartilhamento não é tão ruim assim, você só precisa incluir o Anonymous in Everyone (você realmente vinculou a ele):

  1. Abra o Local Group Policy Manager (gpedit)
  2. Configuração do computador
  3. Configurações do Windows
  4. Configurações de segurança
  5. Políticas locais
  6. Opções de segurança - Network access: Let Everyone permissions to apply to anonymous users de desativado para ativado
  7. Alterar Network access: Restrict anonymous access to Named Pipes and Shares para desativado
  8. Network access: Shares that can be accessed anonymously - defina o nome do compartilhamento que você está compartilhando.

No que diz respeito ao Share em si. Defina o Share Permissions como "Todos - Modificar" e "Administradores - Controle Total". Em seguida, defina as permissões NTFS como Administrators - Full Control e Everyone - <whatever rights needed>

Isso deve lidar com sua necessidade.

    
por 19.12.2013 / 21:19

Tags

VPS explorado pelo Bitcoin Mining. Como identificar a falha? Use o snap-in de serviços para gerenciar o computador remoto não conectado ao domínio