none
Tener acceso a este equipo desde la red RRS feed

  • Pregunta

  • Buenas. Quería preguntarles si me pueden decir que servicios afectaría si habilito la directiva tener acceso a este equipo desde la red. Sé que si no mencionas a un usuario o grupo, no van a poder ver un recurso compartido o un equipo destino. La duda que tengo es que servicios (http, por ejemplo etc)  puede verse afectado por la implementación de esta política.

    Saludos.


    • Editado M4V3R1CK80 viernes, 24 de abril de 2015 17:09
    viernes, 24 de abril de 2015 17:09

Todas las respuestas

  • Hola, la respuesta la tienes aquí:

    Tener acceso a este equipo desde la red

    El derecho Tener acceso a este equipo desde la red permite a un usuario conectarse al equipo desde la red. Este derecho es necesario para una serie de protocolos de red, entre los que se encuentran protocolos basados en bloques de mensajes de servidor (SMB), el servicio básico de entrada y salida de red (NetBIOS), el sistema de archivos común de Internet (CIFS) y el modelo de objetos componentes Plus (COM+).

    Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

    Una lista de cuentas definida por el usuario

    No está definido

    Vulnerabilidad

    Los usuarios que se conectan a la red desde su equipo pueden tener acceso a recursos en el equipo para el cual tienen permiso. Por ejemplo, este derecho es necesario para que el usuario se conecte a impresoras y carpetas compartidas. Si se otorga este derecho al grupo Todos y algunas carpetas compartidas tienen permisos de recursos compartidos y NTFS para que el mismo grupo tenga acceso de lectura, cualquier usuario podrá ver los archivos de esas carpetas compartidas. Sin embargo, es muy poco probable que esta situación se produzca en instalaciones recientes de Microsoft® Windows Server™ 2003, ya que los permisos de recursos compartidos y NTFS predeterminados en Windows Server 2003 no incluyen el grupo Todos. Esta vulnerabilidad puede ser de alto riesgo en sistemas actualizados a partir de Windows NT 4.0 o Windows 2000, ya que los permisos predeterminados para estos sistemas operativos no son tan restrictivos como los permisos predeterminados de Windows Server 2003.

    Contramedida

    Limite el derecho de usuario Tener acceso a este equipo desde la red sólo a aquellos usuarios que necesiten tener acceso al servidor. Por ejemplo, si lo establece para los grupos Administradores y Usuarios, el usuario que haya iniciado sesión en el dominio podrá tener acceso a los servidores del dominio.

    Impacto potencial

    Si quita este derecho de los controladores de dominio a todos los usuarios, evitará que cualquiera pueda iniciar sesión en el dominio o utilice los recursos de la red. Si elimina este derecho en los servidores miembro, se evitará que los usuarios se conecten a esos servidores a través de la red. Por este motivo, es importante que compruebe que los usuarios autorizados poseen este derecho para los equipos a los que necesitan tener acceso a través de la red.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    domingo, 26 de abril de 2015 10:02
  • Gracias Daniel por tu respuesta, era lo que ya mas o menos sabía, quería ver si habían otros servicios a parte de estos, por eso la pregunta. Si en esta política tengo el grupo Todos, ¿hay algún servicio que se pueda verse afectado si no permito esta política a este grupo? ¿Es verdad que hay  un error en común en pensar que este grupo  incluye usuarios no autenticados o equipos de trabajo de dominios que son de confianza? Esto implica que cualquier cuenta de usuario de cualquier dominio que no se tenga confianza pueda tener acceso al recurso que está en el grupo?; o en realidad, para ser incluido en este grupo se requiere que la cuenta de equipo o de usuario sea miembro del dominio de confianza. Las cuentas que no pertenecen a este dominio no tienen acceso a los recursos de este grupo sin antes la autenticación con un dominio o cuenta de usuario local.

    Saludos.



    • Editado M4V3R1CK80 lunes, 27 de abril de 2015 14:11
    lunes, 27 de abril de 2015 13:54
  • Efectivamente, ten en cuenta que por defecto esta directiva no está definida, y se entiende que el nivel de seguridad es suficiente estando sin definir. Además normalmente no tenemos habilitado el acceso a nuestros equipos a grupos de usuarios o identidades ajenas al dominio.

    Contestando a tu pregunta los servidores WEB se ven afectados al denegar esa directiva, si acceden a un SHARED folder que tengas para presentar contenido, tendrías que tener cuidado con la cuenta de servicio que tienes en los WEB server para que no le afecte.

    An important exception to this list is any service accounts that are used to start services that must connect to the computer over the network. For example, let’s say you have configured a shared folder for web servers to access, and you present content within that folder through a website. You may need to allow the account that runs IIS to log on to the server with the shared folder from the network. This user right is particularly effective when you must configure servers and workstations on which sensitive information is handled because of regulatory compliance concerns.

    https://technet.microsoft.com/en-us/library/dn221954(v=ws.10).aspx

    Te recomiendo que antes de aplicarlo en producción hagas algunas pruebas en tu entorno de lab para depurarlo bien.

    Saludos



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    lunes, 27 de abril de 2015 16:49
  • Gracias Daniel por tus respuestas. Te hago una mas sobre este tema. Desde auditoría nos indican que si tenemos el grupo Todos en la política Tener acceso a este equipo desde la red también debería estar en la política Denegar acceso a este equipo desde la red. ¿Esto es correcto? ¿Afectaría a algún servicio el tener grupo Todos dentro de la política Denegar acceso a este equipo desde la red? He leído en el siguiente link ( https://technet.microsoft.com/en-us/library/ff646935(v=ws.10).aspx ) que no es aconsejable incluir el grupo Todos en la política Denegar acceso a este equipo desde la red. 
    Desde ya muchas gracias.
    Saludos.


    • Editado M4V3R1CK80 miércoles, 29 de abril de 2015 14:30
    martes, 28 de abril de 2015 15:23