none
Гостевой доступ для файлового сервера RRS feed

  • Вопрос

  • Всем доброго времени. Собираю небольшенький файловый сервачок на Win2003, для домашней сети. AD, естественно нет. Не доходят кое-какие вещи по безопасности... помогите разобраться. Задача такая: обеспечить как можно более надежную защиту, при гостевом доступе :), но больше от вирусов по SMB наверно, чем от пользователей. 99% пользователей будут подключаются анонимно. Несколько компов будет подключаться через идентичные учетки пользователя, на сервере и клиенте.

    Win2003SP2. Хотфиксы установлены(Возможно не все)

    Применен шаблон безопасности securews.

    Админские шары отключены.

    Гость переименован, установлен пароль и отключен.

    RestrictAnonymous=1

    Права файловые пока, что тестирую на своей учетке, со своего компа. На серваке есть идентичная учетка.(Т.е. гостевой доступ пока не трогаю)

    Тренируюсь на подключенном чистом винте. Один раздел на весь винт. На корень винта убрал Создатель владелец, и Все. Вместо Все добавил Прошедшие проверку. (В некоторых книжках рекомендуется) Также удалил Special для Users. (Создание файлов и содание папок) Предпологается, что ни пользователи ни гости записывать\удалять ничего в никакие общие папки не будут. (кроме одной отдельной). ОС будет всегда работать под пользовательской учеткой, всмысле интерактивно.

    И вот что не пойму. Создаю на этом винте  папку. Общие разрешения: Анонимный вход, пользователи, админы. Для первых 2-х - чтение. НТФС права - АнонимныйRE(только эта папка), пользователиRE, система F, админы F.

    Если в параметр Access this computer from network не добавить Все, то перечисление ресурсов, по \\FSTOR не работает - отказано в доступе, но в общий каталог пускает(\\FSTOR\temp). Можно и так оставить,(хочу вообще отказаться от Everyone, если это возможно), но не понятно почему в параметре выше, при наличии ANONYMOUS LOGON, отказано в доступе к списку общих ресурсов? Или ANONYMOUS LOGON, только для IIS, FTP? Не для SMB? Ведь если перечисление ресурсов открывается по нулевой сессии(RestrAnonym=1), то Анонимный вход должен обеспечивать доступ? Или же для этого в Everyone, используются доп. записи, помимо Анонимного входа? может гость? Может быть тогда заменить Все на Гость, дабы сузить круг доступа. Тогда выходит , что есть разница между Гостем и Анонимным входом, если есть то какая, подскажите.

    PS И еще не понятно, в 2003, Everyone, входит гость или нет? В некторых книжках пишут, что входит, а в некторых - что нет

    24 июня 2017 г. 23:41

Ответы

  • по поводу финансовой точки зрения...в каком смысле не целесообразно?

    потому, что это решение будет намного дороже чем бесплатное.

    PS И еще не понятно, в 2003, Everyone, входит гость или нет? В некторых книжках пишут, что входит, а в некторых - что нет

    читайте первоисточник.

    пусть по личным убеждениям
    надо двигаться вперёд. это точно будет полезным навыком.
    25 июня 2017 г. 13:01
    Модератор
  • Добрый День.

    Солидарен с коллегой, как правило:

    1.) Используете по возможности актуальные версии ос и ПО, на дворе 2017 год

    2.) Есть вещи созданные для использования в качестве Файл серверов \ Хранилок (NAS),  с специализированной ос. В противном случае можно и Самбу покрутить.

    Тем более использовать WS2003 для домашнего файл сервера - это как минимум с финансовой точки зрения не целесообразно.


    Я не волшебник, я только учусь MCP, MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter.

    25 июня 2017 г. 6:50
    Модератор
  • Предлагаю воспользоваться поиском в интернете - это очень важный навык!
    • Предложено в качестве ответа Vector BCOModerator 30 июня 2017 г. 12:30
    • Помечено в качестве ответа Vector BCOModerator 30 июня 2017 г. 12:30
    26 июня 2017 г. 6:53
    Модератор

Все ответы

  • Сделал скринов, может еще где ошибка закралась, в целом

    my-files-ru\hsg4xm (Перед ru точка и прямой слэш)

    24 июня 2017 г. 23:52
  • В 2017 году ставить 2003 сервер и расчитывать на безопасность это круто

    The opinion expressed by me is not an official position of Microsoft

    25 июня 2017 г. 4:11
    Модератор
  • >>В 2017 году ставить 2003 сервер и расчитывать на безопасность это круто

    Server 2008\12\16 , не рассматривал вообще, пусть по личным убеждениям. Linux - по той же причине. NASы? Готовые решения не нравятся - не смогу спокойно спать. Freebsd+Samba да.. но есть попутно чисто виндовые задачи, которые хотелось бы решить.

    Согласен, что устарело, но что возможно, хотелось бы сделать, а там время покажет. В любом случае навык не помешает.

    >>Тем более использовать WS2003 для домашнего файл сервера - это как минимум с финансовой точки зрения не целесообразно.

    ...по поводу финансовой точки зрения...в каком смысле не целесообразно?

    А по первому посту,...без перехода на предложенное подскажите? Вроде создал в разделе по 2003...

    25 июня 2017 г. 12:49
  • по поводу финансовой точки зрения...в каком смысле не целесообразно?

    потому, что это решение будет намного дороже чем бесплатное.

    PS И еще не понятно, в 2003, Everyone, входит гость или нет? В некторых книжках пишут, что входит, а в некторых - что нет

    читайте первоисточник.

    пусть по личным убеждениям
    надо двигаться вперёд. это точно будет полезным навыком.
    25 июня 2017 г. 13:01
    Модератор

  • надо двигаться вперёд. это точно будет полезным навыком.

    я всего лишь помогаю, и сам учусь заодно.

    Ссылку прочел, спасибо. А еще не подскажите информацию о разнице, между Guest и Anonymous logon?

    25 июня 2017 г. 23:14
  • Предлагаю воспользоваться поиском в интернете - это очень важный навык!
    • Предложено в качестве ответа Vector BCOModerator 30 июня 2017 г. 12:30
    • Помечено в качестве ответа Vector BCOModerator 30 июня 2017 г. 12:30
    26 июня 2017 г. 6:53
    Модератор