Beschränken der Informationen, für anonym angemeldete Benutzer

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 143474 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D39796
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
143474 Restricting Information Available to Anonymous Logon Users
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Windows NT verfügt über ein Feature, das es anonym angemeldeten Benutzern ermöglicht, Domänenbenutzernamen und Freigabenamen aufzulisten. Kunden, die Wert auf zusätzliche Sicherheitsfunktionen legen, haben darum gebeten, diese Zugriffsmöglichkeit auf Wunsch beschränken zu können. Windows NT 4.0 Service Pack 3 und ein Hotfix für Windows NT 3.51 stellen einen Mechanismus bereit, mit dem Administratoren die Fähigkeit anonym angemeldeter Benutzer (auch als NULL-Sitzungsverbindungen bezeichnet), Kontonamen und Freigabenamen aufzulisten, beschränken können. Die Funktionalität zum Auflisten von Kontonamen und Domänencontrollern wird z.B. vom ACL-Editor (ACL = Access Control List) von Windows NT benötigt, um die Liste der Benutzer und Gruppen abrufen zu können. Aus dieser Liste können Benutzer ausgewählt werden, denen bestimmte Zugriffsrechte erteilt werden sollen. Das Auflisten von Kontonamen wird auch von Windows NT Explorer verwendet, um die Benutzer aus der Liste der Benutzer und Gruppen auswählen zu können, denen der Zugriff auf eine Freigabe erteilt werden soll.

Weitere Informationen

In Windows NT-Netzwerken, die auf einer einzigen Windows NT-Domäne basieren, können Verbindungen, die Domänenkontoinformationen anzeigen möchten oder müssen, immer authentifiziert werden. In Windows NT-Netzwerken, die mehrere Domänen verwenden, muss es eventuell auch anonym angemeldeten Benutzern möglich sein, Kontoinformationen aufzulisten. Ein kurzes Beispiel soll verdeutlichen, wie anonyme Verbindungen verwendet werden. Ausgangspunkt sind zwei Windows NT-Domänen: eine Kontendomäne und eine Ressourcendomäne. Die Ressourcendomäne verfügt über eine einseitige Vertrauensstellung zu der Kontendomäne, d.h., die Ressourcendomäne vertraut der Kontendomäne, die Kontendomäne vertraut jedoch nicht der Ressourcendomäne. Auf der Grundlage der einseitigen Vertrauensstellung können Benutzer aus der Kontendomäne für die Ressourcendomäne authentifiziert werden, so dass sie auf Ressourcen in der Ressourcendomäne zugreifen können. Angenommen, ein Administrator in der Ressourcendomäne möchte einem Benutzer aus der Kontendomäne den Zugriff auf eine Datei ermöglichen. Er benötigt eine Liste der Benutzer und Gruppen der Kontendomäne, um den Benutzer/die Gruppe auswählen zu können, dem/der die Zugriffsrechte erteilt werden sollen. Da die Kontendomäne der Ressourcendomäne nicht vertraut, kann die Administratoranforderung für die Liste der Benutzer und Gruppen nicht authentifiziert werden. Aus diesem Grund wird die Verbindung mittels einer NULL-Sitzung hergestellt, damit die Liste der Benutzer der Kontendomäne abgerufen werden kann.

Es gibt vergleichbare Situationen, in denen es den Tools der Benutzeroberfläche, einschließlich Windows NT Explorer, des Benutzer-Managers und des ACL-Editors, durch das Abrufen von Kontonamen mittels einer anonymen Verbindung ermöglicht wird, Zugriffssteuerungsinformationen domänenübergreifend in mehreren Windows NT-Domänen zu verwalten. Ein weiteres Beispiel ist die Verwendung des Benutzer-Managers in der Ressourcendomäne, um Benutzer der vertrauten Kontendomäne zu einer lokalen Gruppe hinzuzufügen. Eine Methode, den Benutzer der Kontendomäne zu einer lokalen Gruppe in der Ressourcendomäne hinzuzufügen, besteht darin, einen bekannten Domänen-/Benutzernamen manuell einzugeben. Auf diese Weise kann der Zugriff ermöglicht werden, ohne zuvor die vollständige Liste der Namen der Kontendomäne abrufen zu müssen. Eine andere Methode wäre, sich mithilfe eines Kontos in der vertrauten Kontendomäne an das System in der Ressourcendomäne anzumelden.

In Windows NT-Umgebungen, in denen die Möglichkeit beschränkt werden soll, dass anonyme Verbindungen die Kontonamen auflisten, kann dieser Vorgang durch die Installation von Windows NT 4.0 Service Pack 3 oder des Hotfix für Windows NT 3.51 gesteuert werden.

Wenn Administratoren nach der Installation von Windows NT 4.0 Service Pack 3 oder des Hotfix für Windows NT 3.51 festlegen möchten, dass es nur authentifizierten Benutzern möglich ist, Kontonamen aufzulisten, dies für anonyme Verbindungen jedoch ausgeschlossen werden soll, müssen sie die folgenden Änderungen an der Registrierung vornehmen:

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
  1. Führen Sie den Registrierungseditor (Regedt32.exe) aus.
  2. Wechseln Sie zum folgenden Schlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. Klicken Sie im Menü BEARBEITEN auf WERT HINZUFÜGEN, und verwenden Sie den folgenden Eintrag:
    Wertname: RestrictAnonymous
    Datentyp: REG_DWORD
    Wert : 1
  4. Beenden Sie den Registrierungseditor, und starten Sie den Computer neu, damit die Änderungen in Kraft treten.
Durch diesen Registrierungswert wird in der Konfiguration der lokalen Systemrichtlinien festgelegt, ob zur Ausführung allgemeiner Aufzählungsfunktionen die Authentifizierung erforderlich ist. Das Anfordern der Authentifizierung, um Listen mit Kontonamen abrufen zu können, ist eine optionale Funktion. Wenn "RestrictAnonymous" auf 1 festgelegt ist, wird für anonyme Verbindungen, die über die Tools der grafischen Benutzeroberfläche für die Sicherheitsverwaltung hergestellt werden, der Fehler "Zugriff verweigert" ausgegeben, sobald der Versuch unternommen wird, die Liste der Kontonamen abzurufen. Wenn "RestrictAnonymous" auf 0 festgelegt ist oder der Wert nicht definiert wird, können anonyme Verbindungen Kontonamen und Freigabenamen auflisten. Es muss jedoch darauf hingewiesen werden, dass auch bei einem Wert von 1 für "RestrictAnonymous" nur die mit dem System bereitgestellten Tools der Benutzeroberfläche die Kontonamen nicht auflisten können. Es gibt jedoch Wins32-Programmierschnittstellen, die individuelle Namenssuchen unterstützen und anonyme Verbindungen nicht beschränken.

In Windows NT-Netzwerken, die eine Mehrfachdomänenmodell verwenden, können anonyme Verbindungen beschränkt werden, ohne einen Verlust an Funktionalität in Kauf nehmen zu müssen. Wenn die Deaktivierung anonymer Verbindungen beabsichtigt ist, müssen Administratoren in Ressourcendomänen zuerst Mitglieder vertrauter Kontendomänen nach Bedarf zu bestimmten lokalen Gruppen hinzufügen, bevor der Wert für den LSA-Registrierungseintrag "RestrictAnonymous" geändert wird. Benutzer, die sich mittels Konten vertrauter Kontendomänen anmelden, können dann weiterhin authentifizierte Verbindungen verwenden, um Listen mit Kontonamen abzurufen, die zur Verwaltung der Zugriffssteuerung benötigt werden.

Beschränken der Auflistung von Freigabenamen durch anonyme Verbindungen

Der Serverdienst, der den Remotedateizugriff auf Freigaberessourcen ermöglicht, verwendet ebenfalls den LSA-Registrierungseintrag "RestrictAnonymous", um zu steuern, ob anonyme Verbindungen eine Liste der Freigabenamen abrufen können. Aus diesem Grund müssen Administratoren nur den Wert eines einzigen Registrierungskonfigurationseintrags festlegen, um zu definieren, wie das System auf die Anforderungen von Namenslisten durch anonyme Anmeldungen reagiert.

Beschränken des Remotezugriffs auf die Registrierung durch anonyme Verbindungen

Durch die Installation von Windows NT 4.0 Service Pack 3 oder des Hotfix für Windows NT 3.51 wird der Remotezugriff auf die Registrierung durch anonyme Benutzer verhindert. Anonyme Benutzer können keine Verbindung zur Registrierung herstellen und die Registrierungsdaten weder lesen noch schreiben. Zur Erinnerung: Windows NT 4.0 verwendet die Zugriffskontrollliste (Access Control List, ACL) für den folgenden Registrierungsschlüssel, um den Remotezugriff auf die Registrierung durch Domänenbenutzer zu beschränken:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SecurePipeServers\winreg
Die ACL für diesen Schlüssel identifiziert die authentifizierten Benutzer, denen der Remotezugriff auf die Registrierung erlaubt ist. Windows NT Server 4.0 lässt den Remotezugriff auf die Registrierung standardmäßig nur für Administratoren zu. Der Teilschlüssel Winreg\AllowedPaths kennzeichnet bestimmte Abschnitte der Registrierung, die authentifizierte Benutzer, denen der Zugriff nicht explizit durch die ACL für Winreg gewährt wurde, für den Zugriff auf Drucker und andere Systemoperationen verwenden können. Der Schlüssel Winreg kann auf Computern unter Windows NT Workstation 4.0 definiert werden, um den Remotezugriff auf die Registrierung für diese Systeme zu beschränken. Weitere Informationen zum Schlüssel Winreg finden Sie in Artikel:
153183 How to Restrict Access to the Registry from a Remote Computer

Die integrierte Gruppe "Authentifizierte Benutzer"

Durch die Installation von Windows NT 4.0 Service Pack 3 oder des Hotfix für Windows NT 3.51 wird eine neue integrierte Gruppe erstellt, die die Bezeichnung "Authentifizierte Benutzer" erhält. Die Gruppe "Authentifizierte Benutzer" ähnelt der Gruppe "Jeder". Sie unterscheidet sich jedoch in einem wichtigen Punkt: Benutzer, die eine anonyme Anmeldung verwenden (NULL-Sitzungsverbindungen) sind niemals Mitglied der Gruppe "Authentifizierte Benutzer". Die integrierte Sicherheits-ID für die Gruppe "Authentifizierte Benutzer" ist "S-1-5-11". Authentifizierte Netzwerkverbindungen über ein beliebiges Konto in der Windows NT-Domäne des Servers oder in einer beliebigen Domäne, der von der Domäne des Servers vertraut wird, werden als Mitglied der Gruppe "Authentifizierte Benutzer" identifiziert. Die Gruppe "Authentifizierte Benutzer" ist im ACL-Editor verfügbar, um Zugriffsrechte für Ressourcen erteilen zu können. Windows NT 4.0 Service Pack 3 und der Hotfix für Windows NT 3.51 nehmen keine Änderungen an den ACLs vor, um Zugriffsrechte, die der Gruppe "Jeder" erteilt wurden, auf die Gruppe "Authentifizierte Benutzer" zu übertragen.

Hotfix für Windows NT 3.51


Der Hotfix für Windows NT 3.51 wird unter der folgenden Internetadresse bereitgestellt:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/sec-fix

Eigenschaften

Artikel-ID: 143474 - Geändert am: Mittwoch, 23. Juli 2003 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT Server 3.51
Keywords: 
kbinfo kbenv kbnetwork KB143474
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com