Restriction des informations disponibles pour les utilisateurs connectés en tant qu'utilisateurs anonymes

Traductions disponibles Traductions disponibles
Numéro d'article: 143474 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F143474
Agrandir tout | Réduire tout

Sommaire

Résumé

Windows NT inclut une fonction qui permet aux utilisateurs connectés de façon anonyme de lister les noms des utilisateurs de domaine et d'énumérer les noms des partages. Les clients qui veulent une sécurité améliorée ont demandé la possibilité de restreindre éventuellement cette fonctionnalité. Windows NT 4.0 Service Pack 3 et un correctif pour Windows NT 3.51 offrent aux administrateurs un mécanisme permettant de restreindre la possibilité de lister les noms des comptes et d'énumérer les noms des partages pour les utilisateurs connectés de façon anonyme (pour les connexions de session NULL). La liste des noms des comptes des contrôleurs de domaine est requise par l'éditeur ACL de Windows NT, par exemple, pour obtenir la liste des utilisateurs et des groupes dans laquelle un utilisateur sélectionnera ceux auxquels il souhaite octroyer des droits d'accès. La liste des noms des comptes est également utilisée par l'Explorateur Windows NT pour sélectionner dans la liste des utilisateurs et des groupes ceux qui pourront accéder à un partage.

Plus d'informations

Les réseaux Windows NT basés sur un seul domaine Windows NT pourront toujours authentifier les connexions pour lister les informations des comptes du domaine. Les réseaux Windows NT qui utilisent plusieurs domaines peuvent nécessiter l'ouverture d'une session utilisateur anonyme pour lister les informations des comptes. Un bref exemple permettra d'illustrer le fonctionnement des connexions anonymes. Prenons deux domaines Windows NT, un domaine de comptes et un domaine de ressources. Le domaine de ressources a une relation d'approbation unidirectionnelle avec le domaine de comptes. En d'autres termes, le domaine de ressources "approuve" le domaine de comptes, mais le domaine de comptes n'approuve pas le domaine de ressources. Les utilisateurs du domaine de comptes peuvent authentifier les ressources dans le domaine de ressources et y accéder sur la base de l'approbation unidirectionnelle. Supposons qu'un administrateur dans le domaine de ressources souhaite octroyer l'accès à un fichier à un utilisateur du domaine de comptes. Il souhaite obtenir la liste des utilisateurs et des groupes du domaine de comptes pour sélectionner l'utilisateur/le groupe auquel seront accordés les droits d'accès. Dans la mesure où le domaine de comptes n'approuve pas le domaine de ressources, la demande de l'administrateur visant à obtenir la liste des utilisateurs et des groupes du domaine de ressources ne peut pas être authentifiée. La connexion est établie avec une session NULL pour obtenir la liste des utilisateurs du domaine de comptes.

Il existe des situations similaires où l'obtention des noms des comptes avec une connexion anonyme permet aux outils de l'interface utilisateur, notamment à l'Explorateur Windows NT, au Gestionnaire des utilisateurs et à l'éditeur ACL, d'administrer et de gérer les informations de contrôle d'accès à travers plusieurs domaines Windows NT. L'utilisation du Gestionnaire des utilisateurs dans le domaine de ressources pour ajouter des utilisateurs du domaine de comptes approuvé à un groupe local est un autre exemple. L'une des méthodes pour ajouter l'utilisateur du domaine de comptes à un groupe local dans le domaine de ressources consiste à entrer manuellement un domaine\nom d'utilisateur connu pour ajouter l'accès sans obtenir la liste complète des noms du domaine de comptes. Une autre approche consiste à ouvrir une session sur le système dans le domaine de ressources avec un compte du domaine de comptes approuvé.

Les environnements Windows NT qui souhaitent empêcher les connexions anonymes de lister les noms des comptes peuvent contrôler cette opération après l'installation de Windows NT 4.0 Service Pack 3 ou du correctif Windows NT 3.51.

Après l'installation de Windows NT 4.0 Service Pack 3 ou du correctif Windows NT 3.51, les administrateurs qui souhaitent demander le listage des noms des comptes pour les utilisateurs authentifiés exclusivement et l'exclure des connexions anonymes doivent effectuer les modifications suivantes dans le Registre :

AVERTISSEMENT : toute utilisation incorrecte de l'Éditeur du Registre peut s'avérer dommageable pour votre système, vous obligeant à réinstaller Windows NT. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'Éditeur du Registre pourront être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
  1. Exécutez l'Éditeur du Registre (Regedt32.exe).
  2. Accédez à la clé suivante du Registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez l'entrée suivante :

    Nom de valeur : RestrictAnonymous
    Type de données : REG_DWORD
    Valeur : 1
  4. Fermez l'Éditeur du Registre et redémarrez l'ordinateur pour que la modification soit prise en compte.


Le rôle de la valeur du Registre consiste à configurer la stratégie du système local pour déterminer si l'exécution des fonctions d'énumération courantes requiert l'authentification. Le fait d'exiger l'authentification pour obtenir la liste des noms des comptes est une fonctionnalité facultative. Si la valeur RestrictAnonymous est définie à 1, les connexions anonymes à partir des outils de l'interface utilisateur pour la gestion de la sécurité recevront une erreur d'accès refusé lorsqu'elles essaieront d'obtenir la liste des noms des comptes. Si la valeur RestrictAnonymous est définie à 0 ou non définie, les connexions anonymes pourront lister les noms des comptes et énumérer les noms des partages. Notez que même si la valeur RestrictAnonymous définie à 1, bien que les outils de l'interface utilisateur avec le système ne listent pas les noms des comptes, il existe des interfaces de programmation Win32 prenant en charge la recherche de noms individuels qui ne limitent pas les connexions anonymes.

Les réseaux Windows NT qui utilisent un modèle multidomaine peuvent restreindre les connexions anonymes sans perte de fonctionnalité. Pour planifier la désactivation des connexions anonymes, les premières étapes consistent, pour les administrateurs dans les domaines de ressources, à ajouter les membres des domaines de comptes approuvés à des groupes locaux spécifiques suivant les besoins avant de changer la valeur de l'entrée du Registre RestrictAnonymous LSA. Les utilisateurs connectés à partir de comptes appartenant à des domaines de comptes approuvés continueront d'utiliser des connexions authentifiées pour obtenir la liste des noms des comptes afin de gérer le contrôle d'accès de sécurité.

Restriction de la liste anonyme des noms de partage

Le service Serveur qui fournit l'accès fichier distant aux ressources de partage utilisera également la valeur du Registre LSA, RestrictAnonymous, pour contrôler si les connexions anonymes peuvent obtenir une liste des noms des partages. Par conséquent, les administrateurs peuvent définir la valeur d'une seule entrée de configuration du Registre pour spécifier comment le système répond aux demandes d'énumération des connexions anonymes.

Restriction de l'accès anonyme au Registre à distance

L'installation de Windows NT 4.0 Service Pack 3 ou du correctif Windows NT 3.51 interdit aux utilisateurs anonymes de se connecter au Registre à distance. Les utilisateurs anonymes ne peuvent pas se connecter au Registre et ne peuvent ni lire ni écrire des données dans ce dernier. Pour rappel, Windows NT 4.0 restreint l'accès à distance au Registre pour les utilisateurs du domaine en utilisant la liste de contrôle d'accès sur la clé du Registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
L'ACL sur cette clé identifie les utilisateurs authentifiés autorisés à se connecter à distance au Registre. Windows NT 4.0 Server, par défaut, autorise uniquement les administrateurs à accéder au Registre à distance. La sous-clé winreg\AllowedPaths identifie des portions spécifiques du Registre que les utilisateurs authentifiés auxquels l'accès n'est pas octroyé de façon explicite par l'ACL winreg peuvent utiliser pour l'accès aux imprimantes et à d'autres opérations du système. La clé winreg peut être définie sur des systèmes Windows NT 4.0 Workstation afin de restreindre l'accès distant au Registre sur ces systèmes. Pour plus d'informations sur la clé winreg, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
153183 Procédure pour restreindre l'accès au Registre NT à partir d'un ordinateur distant

Groupe intégré des utilisateurs authentifiés

Un nouveau groupe intégré, intitulé "Utilisateurs authentifiés", est créé à l'installation de Windows NT 4.0 Service Pack 3 ou du correctif Windows NT 3.51. Ce groupe, similaire au groupe "Tout le monde", présente cependant une différence importante avec ce dernier : les utilisateurs connectés en tant qu'utilisateurs anonymes (ou les connexions de session NULL) ne sont jamais membres du groupe Utilisateurs authentifiés. L'identificateur de sécurité intégré pour les utilisateurs authentifiés est S-1-5-11. Les connexions réseau authentifiées de n'importe quel compte dans le domaine Windows NT du serveur ou de n'importe quel domaine approuvé par le domaine du serveur sont identifiées en tant qu'utilisateurs authentifiés. Le groupe Utilisateurs authentifiés est disponible pour octroyer des droits d'accès aux ressources dans l'éditeur ACL de sécurité. Windows NT 4.0 Service Pack 3 et le correctif Windows NT 3.51 ne modifient aucune liste de contrôle d'accès et ne changent pas les droits d'accès octroyés à Tout le monde pour l'utilisation du groupe Utilisateurs authentifiés.

Correctif Windows NT 3.51

Le correctif Windows NT 3.51 a été publié sur Internet à l'emplacement suivant :
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


Propriétés

Numéro d'article: 143474 - Dernière mise à jour: lundi 18 août 2003 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT Server 3.51
Mots-clés : 
kbinfo kbenv kbnetwork KB143474
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com