Ich habe z. Z. den Benutzer "Gast" freigeschaltet auf meinem WinXP-Rechner, damit in unserem Netz Leute auf meine freigegebenen Ordner zugreifen können, ohne sich mit einem Login und Passwort anmelden zu müssen.
Es wird hier des öfteren von Sicherheitsrisiken gesprochen. Welche Sicherheitsrisiken birgt das Benutzerkonto Gast wenn es freigeschaltet ist, aber natürlich auch die Rechte der Verzeichnis (hoffentlich ) richtig gesetzt sind?
falls du keinen dc hast dann leg die benutzer die sich auf deine kiste einklinken dürfen bei dir lokal an mit gleichem benutzernamen und kennwort. dann fällt auch die ammeldung weg (bei den sicherheitseinstellungen müssen diese dann nat. hinzugefügt werden).
welche risiken das benutzerkonto jetzt im detail birgt kann ich dir ausm stegreif nicht sagen, aber man kann sich durch sicherheitslücken wahrscheinlcih mehr rechte verschaffen....
Original geschrieben von ZEUS falls du keinen dc hast dann leg die benutzer die sich auf deine kiste einklinken dürfen bei dir lokal an mit gleichem benutzernamen und kennwort.[...]
Was genau meinst du mit "dc"?
Das "Problem" ist nur, dass es recht viele Rechner sind und nicht jeder das gleiche Passwort dort anlegen möchte bzw. umgekehrt.
Gibt es denn einen Weg viele Benutzer flexibel (also unabhängig von deren bei Windows voreingestellen Benutzer und Passwort, die auch nicht kenne und auch nicht zusammen tragen will) bei meinem System über ein einziges Login einloggen zu lassen?
ich denke du redest von ner lan-party? (ansonsten wäre es kompletter schwachsinn - sorry). egal!
dann lege ein konto an "besucher" vergib die rechte (von mir aus gast-rechte) und gib dann bei den freigaben genau dieses konto bei berechtigung an. dann müssen sich die benutzer mit "benutzer" anmelden wenn sie auf diesen ordner zugreifen wollen. du kannst ja die freigabe auch versteckt machen, dann kennen nur diejenige es denen du es gesagt hast. müsste so funktionieren - einfach mal ausprobieren (hab ich noch nie gebraucht).
Nein, ist keine LAN-Party, aber sehr grosses LAN aus ca. 120 Clients.
Das Problem ist nur, wenn ich den Gast-Account abschalte, entsteht das Problem mit dem ominösen IPC$-Passwort (siehe div. Kommentare von Bugfix und Whistler verweisend auf http://www.windows2000helpline.de/da...p?shownews=113 )! Klar einloggen kann sich der Account mit "besucher", aber nur wenn er es bei sich unter Win98 voreinstellt. Er wird aber nicht nach einem Login gefragt, wenn er anders eingeloggt ist -> DAU-User ...
Wenn ich dieses Konto von dir "besucher" eingerichtet habe, muss trotzdem der User Gast aktiviert werden, damit sich die anderen über den Account "besucher" einloggen können, wenn sie bei sich unter Windows anders angemeldet sind.
Wie kann ich also bei deaktiviertem Gast-Account einen Account einrichten, den alle im LAN benutzen können, ohne das ich von 120 Leuten Login und Passwort bei mir einrichten muss.
... und noch etwas ... wenn ich so einen allgemeinen Account "besucher" mit Gast-Rechten eingerichtet habe, habe ich dann nicht das gleiche Sicherheitsrisiko, als wenn ich gleich den Benutzeraccount Gast nehmen würde?! Wo liegt dann der Unterschied zwischen dem Gast-Account und dem "besucher"-Account?
Sorry, aber wer mit 120 Clients die nicht aus zufällig auf einer LAN zusammengekommenen Teilnehmern bestehen, ohne eine gesteuerte Benutzerverwaltung arbeitet, dem ist hier wohl auch nicht zu helfen.
Das Gastkonto dient dazu, ohne Benutzerverwaltung einen weitestgehend anonymen Zugang zu den allgemeinen Freigaben zu gewähren.
Was Du da für Gemeinsamkeiten zu den Administrativen Freigaben siehst, kann ich absolut nicht nachvollziehen. Diese sind auch nicht "ominös" sondern dienen im Falle einer vorhandenen Benutzerverwaltung zu diversen Aufgaben.
Es wird z. Z. ein Zentralrechnersystem (Linux mit LDAP-Datenbank in Verbindung mit Samba-Freigaben) eingerichtet ... das wird auch gar nicht das Problem ...
Meine Frage geht doch nur dahin, ob es nicht AUCH ZUSÄTZLICH möglich ist, auf Windows XP einen anonymen Zugriff auf beschränkte Resourcen freizugegeben.
Das das über den Gast-Account möglich ist und der dafür auch da ist, ist vollkommen klar. Es wird nur immer von allen Seiten (auch hier im Forum) über das Sicherheitsrisiko des Gast-Accounts hingewiesen.
Und was mich eigentlich interessiert ist, welches konkrete Sicherheitsrisiko ist das denn nun? Kennst du es, Bugfix? Wenn ja, welches ist es denn?
Das Gastkonto dient dazu, ohne Benutzerverwaltung einen weitestgehend anonymen Zugang zu den allgemeinen Freigaben zu gewähren.
Das "Sicherheitsrisiko", wie Du es immer gerne nennst, besteht also eigentlich in der Anonymität, die dieser Zugang bietet. Hat jemand Zugang zu diesem Netz, hat er damit auch Zugang zu diesen Freigaben - ob Du das in diesem speziellen Fall nun willst oder nicht.
Original geschrieben von BuckFix [...]Das "Sicherheitsrisiko", wie Du es immer gerne nennst, besteht also eigentlich in der Anonymität, die dieser Zugang bietet. Hat jemand Zugang zu diesem Netz, hat er damit auch Zugang zu diesen Freigaben - ob Du das in diesem speziellen Fall nun willst oder nicht.
Nun ok, Bugfix ... wenn du es so formulierst würde ich das Wort Sicherheitsrisiko in dem Zusammenhang auch klar in Anführungszeichen setzen bzw. eventuell gar nicht erst als Sicherheitsrisiko bezeichnen, schließlich will man ja die Freigaben anonym freigeben.
Für mich wird es erst zu einem Sicherheitsrisiko, wenn der anonyme Gast auch Zugriff auf andere Teile des Systems erlangen könnte (die nicht freigegeben sind), auf Grund des freigeschalteten Gast-Accounts.
Wenn es keine anderen Risiken gibt, würde ich es gar nicht als Sicherheitsrisiko bezeichnen den Gast-Account freizuschalten, sofern man seine Freigaben kontrolliert setzt. Oder siehst du noch andere Risiken, Bugfix?
Navigation
Benutzer Gast - Sicherheitsrisiko?
) richtig gesetzt sind?
Linear-Darstellung
