Restringir la información disponible para los usuarios de inicio de sesión anónimo

Seleccione idioma Seleccione idioma
Id. de artículo: 143474 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Windows tiene una función donde los usuarios de inicio de sesión anónimo lista nombres de usuario del dominio y enumerar los nombres de recurso compartido. Los clientes que desean mejorar la seguridad han solicitado la capacidad de opcionalmente restringir esta funcionalidad. Windows NT 4.0 Service Pack 3 y una revisión para Windows NT 3.51 proporcionan un mecanismo para los administradores restringir la capacidad de los usuarios de inicio de sesión anónimo (también conocido como conexiones de sesión NULL) a nombres de cuenta de lista y enumerar nombres de compartir. Lista de nombres de cuenta de controladores de dominio es requerida por el editor de ACL de Windows NT, por ejemplo, para obtener la lista de usuarios y grupos para seleccionar que un usuario desea conceder derechos de acceso. Enumerar los nombres de cuenta se utiliza también por el Explorador de Windows NT para seleccionar de lista de usuarios y grupos para conceder acceso a un recurso compartido.

Más información

Redes de Windows basadas en un único dominio de Windows NT siempre podrán autenticar las conexiones a la lista información de cuenta del dominio. Redes de Windows NT que utilicen varios dominios pueden requerir inicio de sesión anónima de usuario para información de cuenta de la lista. Un breve ejemplo muestra cómo anónimas conexiones se utilizan. Tenga en cuenta dos dominios de Windows NT, un dominio de cuenta y un dominio de recursos. El dominio de recursos tiene una relación de confianza unidireccional con el dominio de cuentas. Es decir, el dominio de recursos "confía" en el dominio de cuenta, pero el dominio de cuenta no confía en el dominio de recursos. Los usuarios del dominio de cuenta pueden autenticar y acceso a los recursos del dominio de recursos basándose en la confianza unidireccional. Supongamos que un administrador de dominio de recursos desea conceder acceso a un archivo a un usuario desde el dominio de cuentas. Desean obtener la lista de usuarios y grupos desde el dominio de cuentas para seleccionar un usuario o grupo para conceder derechos de acceso. Puesto que el dominio de cuentas no confía en el dominio de recursos, no puede autenticarse la solicitud de administrador para obtener la lista de usuarios y grupos del dominio de recursos. La conexión se realiza mediante una sesión NULL para obtener la lista de cuenta de los usuarios del dominio.

Hay situaciones similares donde obtener nombres de cuenta mediante una conexión anónima permite al usuario las herramientas de interfaz, incluidos Windows Explorer, Administrador de usuarios y editor de ACL, para administrar y administrar el acceso controlar información a través de varios dominios de Windows. Otro ejemplo está utilizando el Administrador de usuarios en el dominio de recursos para agregar usuarios del dominio de cuenta de confianza a un grupo local. Una forma para agregar el usuario de dominio de cuenta a un grupo local en el dominio de recursos es escribir manualmente un dominio conocidos para agregar el acceso sin obtener la lista completa de nombres del dominio de cuenta. Otro enfoque consiste en iniciar sesión en el sistema en el dominio de recursos con una cuenta en el dominio de cuenta de confianza.

Entornos de Windows que desea restringir las conexiones anónimas desde la lista cuenta nombres pueden controlar esta operación después de instalar Windows NT 4.0 Service Pack 3 o la revisión de Windows NT 3.51.

Después de la instalación de Windows NT 4.0 Service Pack 3 o la revisión de Windows NT 3.51, los administradores que deseen requieren nombres de cuenta de lista sólo los usuarios autenticados y excluir las conexiones anónimas de hacerlo, necesita realizar el cambio siguiente en el registro:

AVISO: Utilizar el Editor del Registro incorrectamente puede provocar problemas graves en todo el sistema que le obliguen a reinstalar Windows NT para corregirlos. Microsoft no puede garantizar la solución de los problemas resultantes del uso del Editor del Registro. Utilice esta herramienta bajo su responsabilidad.
  1. Ejecute el Editor del Registro (Regedt32.exe).
  2. Vaya a la clave siguiente del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. En el menú Edición, haga clic en Agregar valor y utilice la entrada siguiente:

    Nombre de valor: RestrictAnonymous
    Tipo de datos: REG_DWORD
    Valor: 1
  4. Salga del Editor del registro y reinicie el equipo para que el cambio surta efecto.


Nota Acceso remoto al registro aún posible después de seguir los pasos descritos en este artículo si el valor de registro de RestrictNullSessAccess se ha creado y se establece en 0. Este valor permite el acceso remoto al registro mediante una sesión nula. El valor reemplaza otra configuración restrictiva explícita.

El propósito del valor del registro es configurar Directiva de sistema local para si es necesario para realizar funciones comunes de enumeración autenticación. Requerir autenticación para obtener la lista Nombre de cuenta es una característica opcional. Cuando el valor RestrictAnonymous se establece en 1, las herramientas de interfaz gráfica de usuario para la administración de seguridad de conexiones anónimas recibe un error acceso denegado al intentar obtener la lista de nombres de cuenta. Cuando el valor RestrictAnonymous se establece en 0, o el valor no está definido, las conexiones anónimas podrán enumerar nombres de cuenta y enumerar nombres de compartir. Se debe tener en cuenta que incluso con el valor de RestrictAnonymous establecido en 1, aunque la interfaz de usuario herramientas con el sistema le no nombres de cuenta de lista, hay interfaces de programación Win32 para admitir la búsqueda de nombre individuales que no limitan las conexiones anónimas.

Windows NT redes mediante un modelo de dominio múltiples pueden restringir las conexiones anónimas sin pérdida de funcionalidad. Los pasos iniciales en la planificación deshabilitar las conexiones anónimas es para que los administradores de dominios de recursos agregar miembros de dominios de cuenta de confianza a grupos locales específicos según sea necesario antes de cambiar el valor de la entrada de registro RestrictAnonymous de LSA. Los usuarios una sesión con cuentas de dominios de cuenta de confianza continuarán utilizar conexiones autenticadas para obtener la lista de nombres de cuenta para administrar el control de acceso de seguridad.

Restringir anónimo lista de nombres de recurso compartido

El servicio servidor que proporciona acceso de archivo remoto para compartir recursos también utilizará el valor LSA del Registro RestrictAnonymous, para controlar si anónimo conexiones pueden obtener una lista de nombres de recurso compartido. Por lo tanto, los administradores pueden establecer el valor de una entrada de configuración del registro para definir cómo el sistema debe responder a solicitudes de enumeración por inicios de sesión anónimos.

Restringir el acceso anónimo de registro remoto

Instalación de Windows NT 4.0 Service Pack 3 o la revisión de Windows NT 3.51 elimina la capacidad para usuarios anónimos conectar el Registro remotamente. Los usuarios anónimos no se pueden conectar al registro y no se puede leer o escribir los datos del registro. Como recordatorio, Windows NT 4.0 restringe el acceso remoto en el registro por los usuarios del dominio utilizando la lista de control de acceso de la clave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
La ACL en esta clave identifica los usuarios autenticados pueden conectarse remotamente al registro. Windows NT 4.0 Server forma predeterminada, sólo permite a administradores acceso remoto al registro. La subclave winreg\AllowedPaths identifica partes específicas del registro que autentica los usuarios no explícitamente acceso por la winreg que ACL puede utilizar para acceso a la impresora y otras operaciones del sistema. La clave winreg puede definirse en Windows NT 4.0 Workstation para restringir el acceso al registro remoto a esos sistemas. Para obtener información adicional en la clave winreg, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
153183Cómo restringir el acceso al registro NT desde un equipo remoto

Grupo predeterminados de usuarios autenticados

Se crea un nuevo grupo integrado al instalar Windows NT 4.0 Service Pack 3 o la revisión de Windows NT 3.51 conocido como "Usuarios autenticados". El grupo Usuarios autenticados es similar a la "todos" grupo, excepto para una diferencia importante: los usuarios de inicio de sesión anónimo (o las conexiones de sesión NULL) nunca están los miembros del grupo Usuarios autenticados. La seguridad integrada identificador para los usuarios autenticados es S-1-5-11. Autenticar conexiones de red desde cualquier cuenta dominio del servidor en el de Windows NT o cualquier dominio de confianza por el dominio del servidor, se identifica como un usuario autenticado. El grupo Usuarios autenticados está disponible para conceder derechos de acceso a recursos en el editor de ACL de seguridad. Windows NT 4.0 Service Pack 3 y la revisión de Windows NT 3.51 no modifican cualquier listas de control de acceso para cambiar derechos de acceso concedidos a todos con usuarios autenticados.

Revisión de Windows NT 3.51

La revisión de Windows NT 3.51 se ha enviado a la siguiente ubicación de Internet:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


Propiedades

Id. de artículo: 143474 - Última revisión: martes, 27 de marzo de 2007 - Versión: 2.3
La información de este artículo se refiere a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT Server 3.51
Palabras clave: 
kbmt kbenv kbinfo kbnetwork KB143474 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 143474

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com