[Petya V4sechkin]

Цитата CyraxZ:

Свойства папки - Доступ

А на вкладке Безопасность?

[CyraxZ]

Добавил группу "Все" и на вклюдке "Безопасность". Смонтировался cifs, наконец.
Ещё поэкспериментирую, позже резюмирую...

[CyraxZ]

Цитата:

По умолчанию учётным записям без пароля доступ по сети запрещён (это регулируется локальной политикой безопасности LimitBlankPasswordUse).

Владельцем общей папки обратно сделал группу "Администраторы" (как было изначально) и обратно вернул галку "Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Включить общий доступ с парольной защитой"

Но взамен в "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности" отключил политику "Учетные записи: разрешить использование пустых паролей только при консольном входе". После этого монтирование cifs нормально выполняется и для пользователей без пароля.

Цитата:

Отключение "общего доступа с парольной защитой" означает использование учётной записи Гость.

Только вот в комментарии к настройке "Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Общий доступ с парольной защитой" абсолютно ничего об этом не сказано. Более того, его содержание противоречит реализованной логике:

> Если включена парольная защита общего доступа, только пользователи с учётной записью и
> паролем на этом компьютере могут получить доступ к общим файлам, принтерам,
> подключенных к этому компьютеру, и общим папкам. Чтобы открыть доступ другим
> пользователям, нужно отключить парольную защиту общего доступа.

Согласно этому тексту, чтобы открыть доступ пользователям без пароля (не только гостям, а любым пользователям без пароля), нужно отключить настройку.

P.S. А где сказано, что если отключить эту настройку, то любой удалённый доступ будет принудительно осуществлять под гостем ?
Не то чтобы я вам не верю, просто смущает текст приведённого комментария к этой настройке...

---
И ещё. Вот эти две настройки (Общий доступ с парольной защитой и политика) - они же друг другу противоречат.
Если первую включить, а вторую отключить, то функционал включенного Общего доступа с парольной защитой работать перестаёт...

[Petya V4sechkin]

Цитата CyraxZ:

А где сказано, что если отключить эту настройку, то любой удалённый доступ будет принудительно осуществлять под гостем ?

Об этом мало где сказано в первоисточнике (на сайте Microsoft).
Пример

Цитата Microsoft:

When you disable password protected sharing, the computer sharing the folder does not require a user account or password. Anyone on your network can access the shared folders of the computer (provided the folder was shared for the Guest or Everyone account). This behavior is equivalent to simple file sharing in Windows XP.

А вот проведённый кем-то эксперимент, что происходит под капотом:

Цитата:

Специально счас дома проверил. Переключатель стоит на "Включить общий доступ с парольной защитой", в оснастке управления пользователями Гость отключен, в Локальных политиках => Назначение прав пользователя в политике "Отказать в доступе к этому компьютеру из сети" стоит Гость. Переставляю переключатель на "Отключить общий доступ с парольной защитой". Смотрю - в юзерах Гость включился, в политике "Отказать в доступе к этому компьютеру из сети" Гость исчез.

Но с другой стороны, в этой теме сотрудник Microsoft описывает несколько по-другому:

Цитата Joson Zhou:

In addition, there is a slight difference between the way forced guest mode (in Windows XP) works and the way turning off password protected sharing works. In Windows XP, forced guest mode automatically forces any user on the network to connect as guest remotely. Thus all users are treated exactly the same way remotely because they cannot be differentiated. Additionally, administrators cannot connect to the hidden $ shares because they cannot authenticate, and if a folder is shared to a specific user he cannot access it. Unlike forced guest mode, turning password protection off in Windows Vista still allows a user to authenticate with credentials before it authenticates the user as guest. This means that if a folder is shared to a specific user or to users with different permissions, each user can connect and be allowed different permissions on the folder.

То есть, при совпадении имени вход происходит под соответствующей учётной записью, а при несовпадении - под Гостем.

Цитата CyraxZ:

Но взамен в "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности" отключил политику "Учетные записи: разрешить использование пустых паролей только при консольном входе".

Эта политика соответствует параметру LimitBlankPasswordUse (отключение ослабляет безопасность, как вы понимаете).

Цитата CyraxZ:

И ещё. Вот эти две настройки (Общий доступ с парольной защитой и политика) - они же друг другу противоречат. Если первую включить, а вторую отключить, то функционал включенного Общего доступа с парольной защитой работать перестаёт.

Ну так уж они назвали (password protected sharing), чтобы упростить для понимания, "хотели как лучше, а получилось как всегда".

[CyraxZ]

Цитата:

Цитата: ...Unlike forced guest mode, turning password protection off in Windows Vista still allows a user to authenticate with credentials before it authenticates the user as guest. This means that if a folder is shared to a specific user or to users with different permissions, each user can connect and be allowed different permissions on the folder. То есть, при совпадении имени вход происходит под соответствующей учётной записью, а при несовпадении - под Гостем.

Получается, так было только только в Vista (а также, возможно и в 7, 8).
В Windows 10 у меня папка изначально была расшарена в т.ч. для пользователя user (и на вкладке "Доступ", и на вкладке "Безопасность"), но при отключенном общем доступе с парольной защитой при запросе smb-доступа под пользователем user доступа всё равно не получал. Получил только при добавлении группы "Все". значит, в Windows 10, работает "forced guest mode", как в Windows XP (а может, "не доэкспериментировал"...)


Судя по информации в Интернете, людям с ошибкой "mount error(13): Permission denied / CIFS VFS: cifs_mount failed w/return code = -13" в некоторых случаях помогал запрос smb-доступа под пользователем, имя которого совпадает с именем сетевой папки (именем общего ресурса). При этом парольная защита на smb-сервере была отключена, судя по пустому паролю:

Цитата:

https://ubuntuforums.org/showthread....6#post10147166 sudo mount -t cifs //192.168.0.24/share /nas/share -o pass=,user=share

Впрочем, этот пример отношения к Windows не имеет. У них там smb-сервер был на UNIX-системе.

[CyraxZ]

Цитата:

Эта политика соответствует параметру LimitBlankPasswordUse (отключение ослабляет безопасность, как вы понимаете).

У меня NAT-сеть между хост-машиной и гостевой машиной (создана с помощью VirtualBox). Владельцем всех файлов, включая общие папки, является администратор. В Windows 10 работаю под пользователем user без пароля (имеет права администратора). При попытке вирусов получить доступ к каким-либо локальным файлам будут запрошены права администратора (т.к. включен UAC) - попытка будет пресечена. Но при отключенной парольной защите вирусы смогут без проблем получить доступ к сетевой папке через текущую сеть - так ?

[Petya V4sechkin]

Цитата CyraxZ:

(т.к. включен UAC) - попытка будет пресечена. Но при отключенной парольной защите вирусы смогут без проблем получить доступ к сетевой папке через текущую сеть - так ?

Да, если папка расшарена для Гостя или Всех.

А если "парольная защита" включена, но при этом LimitBlankPasswordUse = 0 в комбинации либо с LocalAccountTokenFilterPolicy = 1, либо с EnableLUA = 0, и администратор без пароля, то любой злоумышленник может по сети:

• зайти на административные шары;
• выполнить любые административные задачи, например через "Управление компьютером" -> меню Действие -> Подключиться к другому компьютеру;
• запустить любую программу, службу и т. д.

[CyraxZ]

Цитата:

Да, если папка расшарена для Гостя или Всех.

Для гостей и Всех НЕ расшарена. Расшарена для user (состоит в группе администраторов) и Администраторы. Оба без пароля. Парольная защита включена и [LimitBlankPasswordUse = 0].
В данном случае вирусы по сети могут получить полный доступ к общей папке (при запуске вирусов под пользователем user) ?

[Petya V4sechkin]

CyraxZ, при запуске вирусов под пользователем user они могут делать то, что может пользователь user (в том числе подключаться к общей папке).

[CyraxZ]

Цитата:

CyraxZ, при запуске вирусов под пользователем user они могут делать то, что может пользователь user (в том числе подключаться к общей папке)

...делать то, что может пользователь user (состоит в группе Администраторов) с правами Пользователя (UAC включен) или с правами Администратора ?

Если полный доступ к общим папкам будет только у Администраторов, а у Пользователя - только на чтение, то при включенном UAC под пользователем user вирусы ничего не смогут сделать с файлами (ни локально, ни по сети).