Περιορισμός πληροφοριών που είναι διαθέσιμες για χρήστες ανώνυμων συνδέσεων

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 143474 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Τα Windows NT έχει μια δυνατότητα όπου ανώνυμης σύνδεσης στους χρήστες να σε λίστα τα ονόματα χρήστη τομέα και απαρίθμηση ονομάτων κοινής χρήσης. Οι πελάτες που θέλουν ενισχυμένη ασφάλεια ζητήσατε τη δυνατότητα προαιρετικά να περιορίσει αυτήν τη λειτουργικότητα. Τα Windows NT 4.0 Service Pack 3 και μιας επείγουσας επιδιόρθωσης για τα Windows NT 3.51 παρέχουν ένα μηχανισμό για διαχειριστές για να περιορίσετε τη δυνατότητα των χρηστών ανώνυμης σύνδεσης (επίσης γνωστή ως συνδέσεις περιόδου λειτουργίας NULL) σε λίστα με ονόματα λογαριασμών και να απαριθμήσει μοιραστείτε τα ονόματα. Παραθέτει τα ονόματα λογαριασμών από τους ελεγκτές τομέα που απαιτείται από το πρόγραμμα επεξεργασίας ACL των Windows NT, για παράδειγμα, για να αποκτήσετε τη λίστα χρηστών και ομάδων, για να επιλέξετε ποιος ένας χρήστης θέλει να παραχωρήσει δικαιώματα πρόσβασης. Παραθέτει τα ονόματα λογαριασμού χρησιμοποιείται επίσης από την Εξερεύνηση των Windows NT για να επιλέξετε από τη λίστα χρηστών και ομάδων να παραχωρήσει πρόσβαση σε έναν κοινόχρηστο πόρο.

Περισσότερες πληροφορίες

Δίκτυα των Windows NT που βασίζεται σε έναν μόνο τομέα των Windows NT θα είναι πάντα τη δυνατότητα να πραγματοποιήσει έλεγχο ταυτότητας συνδέσεων σε λίστα πληροφορίες του λογαριασμού τομέα. Δίκτυα των Windows NT, τα οποία χρησιμοποιούν πολλούς τομείς ενδέχεται να απαιτούν σύνδεση ανώνυμου χρήστη σε λίστα πληροφορίες λογαριασμού. Ένα σύντομο παράδειγμα δείχνει πώς ανώνυμες συνδέσεις χρησιμοποιούνται. Σκεφτείτε δύο τομείς των Windows NT, ένα λογαριασμό τομέα και έναν τομέα πόρων. Ο τομέας πόρων έχει μια σχέση μονόδρομη σχέση αξιοπιστίας με τον τομέα του λογαριασμού. Αυτό σημαίνει ότι ο τομέας πόρων "εμπιστεύεται τον τομέα του λογαριασμού", αλλά τον τομέα του λογαριασμού δεν εμπιστεύεται τον τομέα πόρων. Οι χρήστες από τον τομέα του λογαριασμού μπορεί να τον έλεγχο ταυτότητας και πρόσβαση σε πόρους του τομέα πόρων με βάση την αξιοπιστία μονής κατεύθυνσης. Ας υποθέσουμε ότι ένας διαχειριστής στον τομέα πόρων θέλει να παραχωρήσει πρόσβαση σε ένα αρχείο σε ένα χρήστη από τον τομέα του λογαριασμού. Θέλει να λάβει τη λίστα των χρηστών και ομάδων από τον τομέα του λογαριασμού για να επιλέξετε ένα χρήστη/ομάδας για να παραχωρήσετε δικαιώματα πρόσβασης. Από τον τομέα του λογαριασμού δεν εμπιστεύεται τον τομέα πόρων, την αίτηση διαχειριστή για να αποκτήσετε τη λίστα χρηστών και ομάδων από τον τομέα πόρων δεν είναι δυνατό να γίνει έλεγχος ταυτότητας. Η σύνδεση γίνεται με τη χρήση μιας περιόδου λειτουργίας NULL για να αποκτήσετε τη λίστα των λογαριασμών χρηστών τομέα.

Υπάρχουν παρόμοιες περιπτώσεις όπου Απόκτηση λογαριασμού ονομάτων, χρησιμοποιώντας μια ανώνυμη σύνδεση επιτρέπει στο χρήστη τη διασύνδεση εργαλεία, όπως η Εξερεύνηση των Windows NT, Διαχείριση χρηστών και πρόγραμμα επεξεργασίας ACL, για να διαχειριστείτε και να διαχειρίζονται την πρόσβαση ελέγχουν τις πληροφορίες σε πολλούς τομείς των Windows NT. Another example is using User Manager in the resource domain to add users from the trusted account domain to a local group. One way to add the account domain user to a local group in the resource domain is to manually enter a known domain\username to add access without getting the complete list of names from the account domain. Another approach is to logon to the system in the resource domain using an account in the trusted account domain.

Windows NT environments that want to restrict anonymous connections from listing account names can control this operation after installing Windows NT 4.0 Service Pack 3 or the Windows NT 3.51 hotfix.

After installation of Windows NT 4.0 Service Pack 3 or the Windows NT 3.51 hotfix, administrators who want to require only authenticated users to list account names, and exclude anonymous connections from doing so, need to make the following change to the registry:

WARNING: Using Registry Editor incorrectly can cause serious, system-wide problems that may require you to reinstall Windows NT to correct them. Microsoft cannot guarantee that any problems resulting from the use of Registry Editor can be solved. Χρησιμοποιήστε αυτό το εργαλείο με δική σας ευθύνη.
  1. Εκτελέστε τον Επεξεργαστή Μητρώου (Registry Editor) (Regedt32.exe).
  2. Go to the following key in the registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. On the Edit menu, click Add Value and use the following entry:

    Value Name: RestrictAnonymous
    Data Type: REG_DWORD
    Value: 1
  4. Exit the Registry Editor and restart the computer for the change to take effect.


ΣΗΜΕΙΩΣΗRemote access to the registry may still be possible after you follow the steps in this article if theRestrictNullSessAccessregistry value has been created and is set to 0. This value allows remote access to the registry by using a null session. The value overrides other explicit restrictive settings.

The purpose of the registry value is to configure local system policy for whether authentication is required to perform common enumeration functions. Requiring authentication to obtain the account name list is an optional feature. When the RestrictAnonymous value is set to 1, anonymous connections from the Graphical User Interface tools for security management will receive an access denied error when attempting to get the list of account names. When the RestrictAnonymous value is set to 0, or the value is not defined, anonymous connections will be able to list account names and enumerate share names. It should be noted that even with the value of RestrictAnonymous set to 1, although the user interface tools with the system will not list account names, there are Win32 programming interfaces to support individual name lookup that do not restrict anonymous connections.

Windows NT networks using a multiple domain model can restrict anonymous connections without loss of functionality. The initial steps in planning to disable anonymous connections is for administrators in resource domains to add members of trusted account domains to specific local groups as needed before changing the value for the LSA RestrictAnonymous registry entry. Users logged on using accounts from trusted account domains will continue to use authenticated connections to obtain list of account names to manage security access control.

Restricting Anonymous List of Share Names

The Server service that provides remote file access to share resources will also use the LSA registry value, RestrictAnonymous, to control whether anonymous connections can obtain a list of share names. Therefore, administrators can set the value of a single registry configuration entry to define how the system responds to enumeration requests by anonymous logons.

Restricting Anonymous Remote Registry Access

Installation of Windows NT 4.0 Service Pack 3 or the Windows NT 3.51 hotfix removes the ability for anonymous users to connect to the registry remotely. Anonymous users cannot connect to the registry and cannot read or write any registry data. As a reminder, Windows NT 4.0 restricts remote access to the registry by domain users using the access control list on the registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
The ACL on this key identifies the authenticated users allowed to remotely connect to the registry. Windows NT 4.0 Server, by default, only allows Administrators remote registry access. The winreg\AllowedPaths subkey identifies specific portions of the registry that authenticated users who are not explicitly granted access by the winreg ACL can use for printer access and other system operations. The winreg key may be defined on Windows NT 4.0 Workstations to restrict remote registry access to those systems.For additional information on the winreg key, click the article number below to view the article in the Microsoft Knowledge Base:
153183How to Restrict Access to NT Registry from a Remote Computer

Authenticated Users Built-in Group

A new built-in group is created when installing Windows NT 4.0 Service Pack 3 or the Windows NT 3.51 hotfix known as "Authenticated Users." The Authenticated Users group is similar to the "Everyone" group, except for one important difference: anonymous logon users (or NULL session connections) are never members of the Authenticated Users group. The built-in Security Identifier for Authenticated Users is S-1-5-11. Authenticated network connections from any account in the server's Windows NT domain, or any domain trusted by the server's domain, is identified as an Authenticated User. The Authenticated Users group is available for granting access rights to resources in the security ACL editor. Windows NT 4.0 Service Pack 3 and the Windows NT 3.51 hotfix do not modify any access control lists to change access rights granted to Everyone to use Authenticated Users.

Windows NT 3.51 Hotfix

The Windows NT 3.51 hotfix has been posted to the following Internet location:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


Ιδιότητες

Αναγν. άρθρου: 143474 - Τελευταία αναθεώρηση: Σάββατο, 18 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Server 3.51
Λέξεις-κλειδιά: 
kbenv kbinfo kbnetwork kbmt KB143474 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:143474

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com