Membatasi informasi yang tersedia untuk anonim logon pengguna

Windows NT memiliki fitur di mana anonim logon pengguna dapat Daftar nama domain pengguna dan menghitung berbagi nama. Pelanggan yang ingin ditingkatkan Keamanan telah meminta kemampuan untuk opsional membatasi fungsionalitas ini. Windows NT 4.0 Service Pack 3 dan perbaikan terbaru untuk Windows NT 3.51 menyediakan mekanisme bagi administrator untuk membatasi kemampuan untuk anonim logon pengguna (juga dikenal sebagai NULL sesi koneksi) untuk daftar nama account dan menghitung berbagi nama. Daftar nama account dari kontroler Domain yang diperlukan oleh Windows NT ACL editor, misalnya, untuk mendapatkan daftar pengguna dan kelompok-kelompok untuk Pilih yang pengguna ingin memberikan hak akses. Daftar nama account adalah juga digunakan oleh Windows NT Explorer untuk memilih dari daftar pengguna dan kelompok-kelompok untuk memberikan akses ke bagian.

Jaringan Windows NT yang didasarkan pada satu domain Windows NT selalu akan mampu mengotentikasi sambungan ke account domain daftar informasi. Windows NT jaringan yang menggunakan beberapa domain mengharuskan pengguna anonim logon ke daftar informasi account. A brief contoh menunjukkan bagaimana koneksi anonim yang digunakan. Pertimbangkan dua Windows NT domain, account domain dan sumber daya domain. Sumber daya domain memiliki kepercayaan satu arah hubungan dengan account domain. Sumber daya domain "percaya" account domain, tapi account domain tidak mempercayai domain sumber daya. Pengguna dari account domain dapat mengotentikasi dan mengakses sumber daya sumber daya domain berdasarkan kepercayaan satu arah. Misalkan administrator pada sumber daya domain ingin memberikan akses ke file untuk pengguna dari account domain. Mereka akan ingin untuk mendapatkan daftar pengguna dan kelompok-kelompok dari account domain pilih pengguna/kelompok untuk memberikan hak akses. Sejak account domain tidak mempercayai domain sumber daya, permintaan administrator untuk memperoleh daftar pengguna dan kelompok-kelompok dari sumber daya domain tidak dikonfirmasi. The sambungan dibuat menggunakan sesi NULL untuk mendapatkan daftar account domain pengguna.

Ada situasi yang sama di mana mendapatkan nama account menggunakan koneksi anonim memungkinkan pengguna antarmuka alat, termasuk Windows NT Explorer, pengelola pengguna, dan ACL editor, mengelola dan mengatur kontrol akses informasi domain Windows NT jamak. Contoh lain menggunakan pengelola pengguna di domain sumber daya untuk menambahkan pengguna dari terpercaya account domain untuk kelompok lokal. Salah satu cara untuk menambahkan account pengguna domain kelompok lokal di sumber daya domain adalah untuk memasukkan Domain\nama pengguna dikenal untuk menambahkan akses tanpa mendapatkan daftar lengkap nama dari account domain. Pendekatan lain adalah untuk masuk ke sistem dalam sumber daya domain menggunakan account di domain account terpercaya.

Lingkungan Windows NT yang ingin membatasi koneksi anonim dari daftar nama akun dapat kontrol operasi ini setelah menginstal Windows NT 4.0 Service Pack 3 atau Perbaikan terbaru Windows NT 3.51.

Setelah instalasi Windows NT 4.0 Service Paket 3 atau perbaikan terbaru Windows NT 3.51, administrator yang ingin memerlukan hanya dikonfirmasi pengguna untuk daftar nama account, dan mengecualikan koneksi anonim dari berbuat demikian, perlu untuk membuat perubahan berikut ke registri:

Peringatan: Menggunakan Peninjau Suntingan Registri dapat menyebabkan serius, sistem masalah yang mengharuskan Anda untuk menginstal ulang Windows NT untuk memperbaiki mereka. Microsoft tidak dapat menjamin bahwa setiap masalah yang dihasilkan dari penggunaan registri Editor dapat dipecahkan. Menggunakan alat ini risiko Anda sendiri.

1. Jalankan Penyunting Registri (Regedt32.exe).
2. Pergi ke kunci registri berikut:
   
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
3. Di Edit menu, klik Tambahkan nilai dan menggunakan berikut Catatan:
   
   
   Nilai Name: RestrictAnonymous
   Tipe data: REG_DWORD
   Nilai: 1
4. Keluar dari Registry Editor dan me-restart komputer untuk perubahan untuk mengambil efek.

Catatan Remote akses ke registri mungkin masih mungkin Setelah Anda mengikuti langkah-langkah dalam artikel ini jika RestrictNullSessAccess nilai registri telah dibuat dan ditetapkan ke 0. Nilai ini memungkinkan remote akses ke registri dengan menggunakan sesi null. Nilai mengabaikan pengaturan ketat lain eksplisit.

Tujuan dari nilai registri adalah untuk mengkonfigurasi kebijakan lokal sistem untuk Apakah otentikasi yang diperlukan untuk melakukan umum Pencacahan fungsi. Memerlukan otentikasi untuk memperoleh daftar nama akun adalah fitur opsional. Ketika nilai RestrictAnonymous diset ke 1, anonim sambungan dari alat Graphical User Interface untuk manajemen keamanan akan menerima akses ditolak kesalahan ketika mencoba untuk mendapatkan daftar account nama. Ketika RestrictAnonymous nilai ditentukan ke 0, atau nilai tidak didefinisikan, anonim koneksi akan dapat daftar nama account dan menghitung berbagi nama. Perlu dicatat bahwa bahkan dengan nilai RestrictAnonymous diset ke 1, meskipun pengguna antarmuka alat dengan sistem tidak akan daftar nama, account ada antarmuka pemrograman Win32 untuk mendukung individu pencarian yang tidak membatasi koneksi anonim.

Windows NT jaringan yang menggunakan beberapa domain model dapat membatasi koneksi anonim tanpa kehilangan fungsionalitas. Langkah-langkah awal dalam perencanaan untuk menonaktifkan koneksi anonim adalah untuk administrator di sumber daya domain untuk menambahkan anggota dipercaya account domain untuk kelompok-kelompok lokal tertentu yang diperlukan sebelum berubah nilai untuk entri registri LSA RestrictAnonymous. Pengguna yang logon menggunakan account dari account dipercaya domain akan terus menggunakan dikonfirmasi koneksi untuk memperoleh daftar nama account untuk mengelola kontrol akses keamanan.

Membatasi anonim daftar nama-nama saham

Layanan Server yang menyediakan akses berkas jarak jauh untuk berbagi sumber daya juga akan menggunakan LSA nilai registri, RestrictAnonymous, untuk mengendalikan Apakah koneksi anonim dapat memperoleh daftar nama-nama saham. Oleh karena itu, Administrator dapat menetapkan nilai registri satu entri konfigurasi untuk menentukan bagaimana sistem menanggapi permintaan enumerasi oleh login anonim.

Membatasi akses registri Remote anonim

Instalasi Windows NT 4.0 Service Pack 3 atau Windows NT perbaikan terbaru 3.51 menghilangkan kemampuan untuk pengguna anonim untuk menyambung ke registri jarak jauh. Pengguna anonim tidak dapat tersambung ke registri dan tidak bisa membaca atau menulis data registri. Sebagai pengingat, Windows NT 4.0 membatasi akses remote registri oleh domain pengguna menggunakan daftar kontrol akses pada registri kunci: ACL pada kunci ini mengidentifikasi dikonfirmasi pengguna diperbolehkan untuk remote menghubungkan ke registri. Windows NT 4.0 Server, secara default, hanya memungkinkan administrator registri remote akses. Subkunci winreg\AllowedPaths mengidentifikasi bagian-bagian tertentu dari registri yang dikonfirmasi pengguna yang tidak secara eksplisit diberikan akses oleh winreg dapat menggunakan ACL untuk akses printer dan sistem operasi lainnya. Tombol winreg dapat didefinisikan pada Windows NT 4.0 Workstation untuk membatasi registri remote akses ke sistem tersebut. Untuk informasi tambahan mengenai winreg kunci, klik nomor artikel di bawah ini untuk melihat artikel di Microsoft Basis Pengetahuan:

Dikonfirmasi pengguna Built-in Group

Grup internal baru dibuat ketika menginstal Windows NT 4.0 Paket Layanan 3 atau perbaikan terbaru Windows NT 3.51 yang dikenal sebagai "Authenticated pengguna." Grup pengguna yang dikonfirmasi mirip dengan "Semua" kelompok, kecuali untuk salah satu perbedaan penting: anonim logon pengguna (atau NULL sesi koneksi) tidak pernah anggota grup dikonfirmasi pengguna. Built-in keamanan Pengidentifikasi untuk pengguna yang dikonfirmasi adalah S-1-5-11. Jaringan dikonfirmasi sambungan dari setiap account di domain Windows NT server atau domain apapun dipercaya oleh server domain, diidentifikasi sebagai dikonfirmasi pengguna. The Grup pengguna yang dikonfirmasi tersedia untuk pemberian hak akses ke sumber daya di keamanan ACL editor. Windows NT 4.0 Service Pack 3 dan Windows NT perbaikan terbaru 3.51 tidak mengubah apapun daftar kontrol akses untuk mengubah hak akses diberikan kepada semua orang untuk menggunakan dikonfirmasi pengguna.

Perbaikan terbaru Windows NT 3.51

Perbaikan terbaru Windows NT 3.51 telah diposting ke berikut Internet lokasi: