Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Sdílení složek na systémech MS Windows 2000/XP - 4. díl

Anonymní přístup

Dosud jsme vycházeli z toho, že k úspěšnému přístupu ke sdílení složky (navázání relace) je nutné docílit toho, aby serveru byly odeslány přihlašovací údaje platné v jeho SAM (s výjimkou zjednodušeného sdílení). Že lze anonymní přístup řešit vytvořením vyhrazeného účtu pro tento účel a zveřejněním jeho názvu, příp. i hesla? Ano, lze, dokonce je tento postup doporučován…jenže pořád se nabízí i komfortnější varianta.

Anonymní přístup, stejně jako zjednodušené sdílení, spočívá v kroku ověření přihlašovacích údajů serverem v jeho SAM, avšak jedná se o něco jiného:

  • Anonymní přístup je implementován i na Windows 2000.
  • Na server podporující anonymní přístup je úspěšné navázání relace s libovolnými přihlašovacími údaji kromě těch, které se skládají ze jména povoleného uživatelského účtu v SAM serveru a hesla nepříslušícího tomuto účtu nebo hesla, které expirovalo:
    • Jsou-li přihlašovací údaje platné v SAM serveru, tento účet je na serveru povolený a platí-li alespoň jedna z následujících podmínek:

      relace získává práva uživatelského účtu, vzhledem k němuž proběhlo ověření.

    • V opačném případě relace získává práva uživatelského účtu Guest.
  • Navázání relace s uživatelským jménem existujícím v SAM serveru, ale neplatným heslem (včetně zaslaného prázdného), je neúspěšné se serverem s povoleným anonymním přístupem.
  • V relacích je vedeno uživatelského jméno z požadavku na navázání relace (není vázáno na práva relace vzhledem k SAM serveru).

Chování demonstruje následující příklad:

Příklad č. 2

Možné situace:

Přístup údaji Výsledek Práva na serveru Členství
Admin/Abc123 úspěch Admin Everyone, Authenticated Users, NETWORK
Admin/heslo neúspěch
Admin/ neúspěch
Kamil/Kam7l neúspěch
Kamil/ úspěch Guest Everyone, NETWORK
Pavel/Pav3l úspěch Guest Everyone, NETWORK
Pavel/Abc123 úspěch Guest Everyone, NETWORK
Pavel/ úspěch Guest Everyone, NETWORK
Guest/ úspěch Guest Everyone, NETWORK
Guest/neco neúspěch
Josef/Jozka úspěch Guest Everyone, NETWORK
Josef/h3slo úspěch Guest Everyone, NETWORK
Josef/ úspěch Guest Everyone, NETWORK

Uvedené SIDy jsou velmi zjednodušené (pouze pro vytvoření představy, že SID pro uživatele je vždy jiný). Nepřeškrtnuté účty jsou povoleny, přeškrtnutý účet je zakázán. Přístup údaji je uživatelské jméno/heslo, kterým se klient ověřuje vůči serveru. Výsledek předpokládá zakázané zjednodušené sdílení, všechny zobrazené účty s hesly, jejichž platnosti dosud nevypršely, umožnění vzdáleného přihlášení všem zobrazeným účtům a (aktivní) omezení použití prázdných hesel. Práva na serveru specifikují uživatelský účet v SAM serveru, jehož práva má vytvářená relace. Členství určuje zabudované objekty zabezpečení, jejichž členem je vytvářená relace.

Anonymní přístup na serveru je povolený tehdy, je-li povolený účet Guest a má nastaveno prázdné heslo

. Účet Guest musí mít povoleno vzdálené přihlášení (jinak by veškeré relace, na serveru získávající práva uživatele Guest, byly odmítnuty). Požadovaného nastavení (povolené/zakázané lokální/vzdálené přihlášení účtu Guest) dosáhneme vhodnou konfigurací Místního nastavení zabezpečení serveru (secpol.msc) v sekci Místní zásady (Local Policies) | Přiřazení uživatelských práv (User Rights Assignment):

  • Odepřít místní přihlášení (Deny logon locally);
  • Odepřít přístup k tomuto počítači ze sítě (Deny access to this computer from network);
  • Přihlásit se místně (Log on locally);
  • Přistupovat k tomuto počítači přes síť (Access to this computer from network).

Guest je za každých okolností členem zabudovaného objektu zabezpečení Everyone. Není-li žádný objekt zabezpečení, jehož práva entita dědí, přítomen v žádné z politik ovlivňujících jednu určitou věc, je této entitě přístup k této věci zakázán. Je-li alespoň jeden objekt zabezpečení, jehož práva entita dědí, přítomen v seznamu bezpečnostní politiky zakazující určitou věc, je této entitě přístup k příslušné věci zakázán.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info