帐户:来宾帐户状态 – 安全策略设置

帐户:来宾帐户状态 – 安全策略设置

适用范围

介绍 “帐户:来宾帐户状态 ”安全策略设置的最佳做法、位置、值和安全注意事项。

参考

“帐户:来宾帐户状态”策略设置确定是启用或禁用来宾帐户。 此帐户允许未经身份验证的网络用户以不带密码的来宾身份登录来访问系统。 未经授权的用户可以访问来宾帐户通过网络访问的任何资源。 此特权意味着,任何具有允许访问来宾帐户、来宾组或 Everyone 组的权限的网络共享文件夹都将通过网络进行访问。 这种可访问性可能会导致数据泄露或损坏。

可能值

  • 已启用
  • 禁用
  • 未定义

最佳做法

将 “帐户:来宾帐户”状态 设置为“已禁用”,以便内置来宾帐户不再可用。 所有网络用户必须进行身份验证,然后才能访问系统上的共享资源。 如果禁用了来宾帐户,并且 “网络访问:本地帐户的共享和安全模型 ”设置为“ 仅限来宾”,则网络登录(例如 SMB 服务执行的登录)将失败。

位置

计算机配置\Windows 设置\安全设置\本地策略\安全选项

默认值

下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。

服务器类型或 GPO 默认值
默认域策略 未定义
默认域控制器策略 未定义
独立服务器默认设置 禁用
DC 有效默认设置 禁用
成员服务器有效默认设置 禁用
客户端计算机有效默认设置 禁用

安全注意事项

本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。

漏洞

默认来宾帐户允许未经身份验证的网络用户以不带密码的来宾身份登录。 这些未经授权的用户可以访问来宾帐户通过网络访问的任何资源。 此功能意味着,任何具有允许访问来宾帐户、来宾组或 Everyone 组的权限的共享文件夹都可以通过网络进行访问,这可能会导致数据泄露或损坏。

对策

禁用 “帐户:来宾帐户状态 ”设置,以便无法使用内置来宾帐户。

潜在影响

所有网络用户都必须经过身份验证,然后才能访问共享资源。 如果禁用来宾帐户,并且 “网络访问:共享和安全模型 ”选项设置为 “仅来宾”,则网络登录(例如 Microsoft 网络服务器 (SMB 服务) 执行的登录)将失败。 此策略设置对大多数组织的影响不大,因为它是从 Windows Vista 和 Windows Server 2003 开始的默认设置。

版权声明
转载请注明本文地址:https://www.e363.com/2067.html
THE END
喜欢龙网的内容,就支持一下吧!
点赞103赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容