目录
适用范围
介绍 “帐户:来宾帐户状态 ”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
“帐户:来宾帐户状态”策略设置确定是启用或禁用来宾帐户。 此帐户允许未经身份验证的网络用户以不带密码的来宾身份登录来访问系统。 未经授权的用户可以访问来宾帐户通过网络访问的任何资源。 此特权意味着,任何具有允许访问来宾帐户、来宾组或 Everyone 组的权限的网络共享文件夹都将通过网络进行访问。 这种可访问性可能会导致数据泄露或损坏。
可能值
- 已启用
- 禁用
- 未定义
最佳做法
将 “帐户:来宾帐户”状态 设置为“已禁用”,以便内置来宾帐户不再可用。 所有网络用户必须进行身份验证,然后才能访问系统上的共享资源。 如果禁用了来宾帐户,并且 “网络访问:本地帐户的共享和安全模型 ”设置为“ 仅限来宾”,则网络登录(例如 SMB 服务执行的登录)将失败。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。
| 服务器类型或 GPO | 默认值 |
|---|---|
| 默认域策略 | 未定义 |
| 默认域控制器策略 | 未定义 |
| 独立服务器默认设置 | 禁用 |
| DC 有效默认设置 | 禁用 |
| 成员服务器有效默认设置 | 禁用 |
| 客户端计算机有效默认设置 | 禁用 |
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
默认来宾帐户允许未经身份验证的网络用户以不带密码的来宾身份登录。 这些未经授权的用户可以访问来宾帐户通过网络访问的任何资源。 此功能意味着,任何具有允许访问来宾帐户、来宾组或 Everyone 组的权限的共享文件夹都可以通过网络进行访问,这可能会导致数据泄露或损坏。
对策
禁用 “帐户:来宾帐户状态 ”设置,以便无法使用内置来宾帐户。
潜在影响
所有网络用户都必须经过身份验证,然后才能访问共享资源。 如果禁用来宾帐户,并且 “网络访问:共享和安全模型 ”选项设置为 “仅来宾”,则网络登录(例如 Microsoft 网络服务器 (SMB 服务) 执行的登录)将失败。 此策略设置对大多数组织的影响不大,因为它是从 Windows Vista 和 Windows Server 2003 开始的默认设置。
![HoneyGain介绍:利用闲置网络赚钱的平台[注册奖励 $5]-龙网 - 教程、网赚、安全、免费资源](https://www.e363.com/wp-content/uploads/2023/12/96307507af195040.jpg)
暂无评论内容