Sdílení složek na systémech MS Windows 2000/XP - 4. díl

Anonymní přístup

Dosud jsme vycházeli z toho, že k úspěšnému přístupu ke sdílení složky (navázání relace) je nutné docílit toho, aby serveru byly odeslány přihlašovací údaje platné v jeho SAM (s výjimkou zjednodušeného sdílení). Že lze anonymní přístup řešit vytvořením vyhrazeného účtu pro tento účel a zveřejněním jeho názvu, příp. i hesla? Ano, lze, dokonce je tento postup doporučován…jenže pořád se nabízí i komfortnější varianta.

Anonymní přístup, stejně jako zjednodušené sdílení, spočívá v kroku ověření přihlašovacích údajů serverem v jeho SAM, avšak jedná se o něco jiného:

• Anonymní přístup je implementován i na Windows 2000.
• Na server podporující anonymní přístup je úspěšné navázání relace s libovolnými přihlašovacími údaji kromě těch, které se skládají ze jména povoleného uživatelského účtu v SAM serveru a hesla nepříslušícího tomuto účtu nebo hesla, které expirovalo:
  • Jsou-li přihlašovací údaje platné v SAM serveru, tento účet je na serveru povolený a platí-li alespoň jedna z následujících podmínek:
    • na serveru není nastaveno omezení použití prázdných hesel (možné pouze na serverech Windows XP);
    • ověření proběhlo neprázdným heslem,

    relace získává práva uživatelského účtu, vzhledem k němuž proběhlo ověření.

  • V opačném případě relace získává práva uživatelského účtu Guest.
• Navázání relace s uživatelským jménem existujícím v SAM serveru, ale neplatným heslem (včetně zaslaného prázdného), je neúspěšné se serverem s povoleným anonymním přístupem.
• V relacích je vedeno uživatelského jméno z požadavku na navázání relace (není vázáno na práva relace vzhledem k SAM serveru).

Chování demonstruje následující příklad:

Příklad č. 2

Možné situace:

Uvedené SIDy jsou velmi zjednodušené (pouze pro vytvoření představy, že SID pro uživatele je vždy jiný). Nepřeškrtnuté účty jsou povoleny, přeškrtnutý účet je zakázán. Přístup údaji je uživatelské jméno/heslo, kterým se klient ověřuje vůči serveru. Výsledek předpokládá zakázané zjednodušené sdílení, všechny zobrazené účty s hesly, jejichž platnosti dosud nevypršely, umožnění vzdáleného přihlášení všem zobrazeným účtům a (aktivní) omezení použití prázdných hesel. Práva na serveru specifikují uživatelský účet v SAM serveru, jehož práva má vytvářená relace. Členství určuje zabudované objekty zabezpečení, jejichž členem je vytvářená relace.

Anonymní přístup na serveru je povolený tehdy, je-li povolený účet Guest a má nastaveno prázdné heslo

. Účet Guest musí mít povoleno vzdálené přihlášení (jinak by veškeré relace, na serveru získávající práva uživatele Guest, byly odmítnuty). Požadovaného nastavení (povolené/zakázané lokální/vzdálené přihlášení účtu Guest) dosáhneme vhodnou konfigurací Místního nastavení zabezpečení serveru (secpol.msc) v sekci Místní zásady (Local Policies) | Přiřazení uživatelských práv (User Rights Assignment):

• Odepřít místní přihlášení (Deny logon locally);
• Odepřít přístup k tomuto počítači ze sítě (Deny access to this computer from network);
• Přihlásit se místně (Log on locally);
• Přistupovat k tomuto počítači přes síť (Access to this computer from network).

Guest je za každých okolností členem zabudovaného objektu zabezpečení Everyone. Není-li žádný objekt zabezpečení, jehož práva entita dědí, přítomen v žádné z politik ovlivňujících jednu určitou věc, je této entitě přístup k této věci zakázán. Je-li alespoň jeden objekt zabezpečení, jehož práva entita dědí, přítomen v seznamu bezpečnostní politiky zakazující určitou věc, je této entitě přístup k příslušné věci zakázán.