Limitazione delle informazioni disponibili agli utenti con accesso anonimo

Traduzione articoli Traduzione articoli
Identificativo articolo: 143474 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Windows NT dispone di una funzione che consente agli utenti con accesso anonimo di visualizzare un elenco dei nomi utente del dominio e dei nomi di condivisione. Al fine di garantire una maggiore protezione Ŕ stata introdotta la possibilitÓ di limitare tale funzionalitÓ. Il Service Pack 3 per Windows NT 4.0 e una correzione per Windows NT 3.51 forniscono infatti un meccanismo che consente agli amministratori di limitare la possibilitÓ offerta agli utenti con accesso anonimo, ovvero alle cosiddette connessioni di sessione nulle, di visualizzare un elenco dei nomi di account e dei nomi di condivisione. L'elenco dei nomi di account dei controller di dominio Ŕ richiesto ad esempio dall'editor ACL di Windows NT per ottenere l'elenco degli utenti e dei gruppi da cui selezionare l'utente o il gruppo a cui si intende concedere privilegi di accesso. L'elenco dei nomi di account Ŕ utilizzato anche da Esplora risorse di Windows NT per selezionare l'utente o il gruppo a cui concedere accesso a una condivisione.

Informazioni

Le reti Windows NT basate su un singolo dominio di Windows NT sono sempre in grado di autenticare le connessioni per elencare le informazioni di account del dominio. Le reti Windows NT che utilizzano pi¨ domini possono richiedere che l'accesso utente anonimo elenchi le informazioni di account. Un breve esempio mostra in che modo vengono utilizzate le connessioni anonime. Consideriamo due domini Windows NT, un dominio di account e un dominio di risorse. Il dominio di risorse ha una relazione di trust unidirezionale con il dominio di account. Relazione di trust il dominio di risorse "con" il account di dominio, ma il dominio di account non considera attendibile il dominio di risorse. Gli utenti del dominio di account possono autenticarsi e accedere alle risorse contenute nel dominio di risorse in base alla relazione di trust unidirezionale. Si supponga che un amministratore nel dominio di risorse potrÓ concedere l'accesso a un file a un utente del dominio di account. In tal caso dovrÓ ottenere un elenco degli utenti e dei gruppi del dominio di account per selezionare quelli a cui concedere privilegi di accesso. PoichÚ il dominio di account non ha una relazione di trust con il dominio di risorse, la richiesta dell'amministratore di ottenere l'elenco degli utenti e dei gruppi del dominio di risorse non potrÓ essere autenticata e. la connessione verrÓ effettuata utilizzando una sessione nulla per ottenere l'elenco degli utenti del dominio di account.

Situazioni simili si presentano quando il tentativo di ottenere nomi di account utilizzando una connessione anonima consente agli strumenti dell'interfaccia utente, tra cui Esplora risorse di Windows NT, User Manager e l'editor ACL, di amministrare e gestire le informazioni di controllo dell'accesso di pi¨ domini Windows NT. Un altro esempio Ŕ dato dall'utilizzo di User Manager nel dominio di risorse per aggiungere utenti del dominio di account di tipo trust a un gruppo locale. Per aggiungere l'account utente del dominio a un gruppo locale nel dominio di risorse si consiste nell'immettere manualmente un dominio\nomeutente per aggiungere accesso senza ottenere l'elenco completo dei nomi del dominio di account noti. Un altro approccio consiste nell'accedere al sistema nel dominio di risorse utilizzando un account nel dominio di account di tipo trust.

Gli ambienti Windows NT che intendono limitare la possibilitÓ concessa alle connessioni anonime di ottenere un elenco dei nomi di account possono controllare questa operazione una volta installato il Service Pack 3 per Windows NT 4.0 o la correzione per Windows NT 3.51.

Una volta installato il Service Pack 3 per Windows NT 4.0 o la correzione per Windows NT 3.51, gli amministratori che intendono concedere solo agli utenti autenticati e non alle connessioni anonime la possibilitÓ di visualizzare un elenco dei nomi di account, devono apportare la seguente modifica al Registro di sistema:

Avviso: Utilizzo non corretto scopo pu˛ causare gravi a livello di sistema problemi che comportano la reinstallazione del sistema operativo per correggerli. Microsoft non Ŕ in grado di garantire che qualsiasi problema derivante dall'utilizzo non corretto dell'editor del Registro di configurazione possa essere risolto. Utilizzare questo strumento avviene pertanto a rischio esclusivo dell'utente.
  1. Eseguire l'Editor del registro di configurazione (Regedt32.exe).
  2. Andare alla seguente chiave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. Dal menu Modifica, scegliere Aggiungi valore e utilizzare la seguente voce:

    Nome valore: RestrictAnonymous
    Tipo di dati: REG_DWORD
    Valore: 1
  4. Chiudere l'editor del Registro e riavviare il computer affinchÚ la modifica abbia effetto.


Nota Accesso remoto al Registro di sistema potrebbe essere ancora possibile dopo avere eseguito i passaggi in questo articolo se il valore di RestrictNullSessAccess del Registro di sistema Ŕ stato creato ed Ŕ impostato su 0. Questo valore consente l'accesso remoto al Registro di sistema utilizzando una sessione null. Il valore Ignora altre impostazioni restrittive esplicite.

Lo scopo del valore di registro Ŕ quello di configurare i criteri del sistema locale in modo da definire se Ŕ richiesta o meno l'autenticazione per le comuni funzioni di elenco. Richiedere l'autenticazione per ottenere l'elenco dei nomi di account Ŕ una funzione facoltativa. Quando il valore di RestrictAnonymous Ŕ impostato su 1, le connessioni anonime effettuate dagli strumenti GUI preposti alla gestione della protezione riceveranno un errore di accesso negato ogni volta che si tenterÓ di ottenere un elenco di nomi di account. Quando il valore di RestrictAnonymous Ŕ impostato su 0 oppure non Ŕ definito, le connessioni anonime saranno in grado di ottenere un elenco dei nomi di account e di connessione. Anche con il valore di RestrictAnonymous impostato su 1, sebbene gli strumenti di interfaccia utente del sistema non consentano di ottenere l'elenco dei nomi di account, esistono interfacce di programmazione Win32 che supportano la ricerca di singoli nomi senza imporre limitazioni alle connessioni anonime.

Le reti Windows NT che utilizzano un modello di domini multipli sono in grado di imporre limitazioni alle connessioni anonime senza che questo comporti una perdita di funzionalitÓ. La prima cosa che gli amministratori nei domini di risorse devono fare quando intendono disabilitare le connessioni anonime Ŕ aggiungere membri di domini di account di tipo trust a specifici gruppi locali prima di modificare il valore della voce di registro LSA RestrictAnonymous. Gli utenti connessi utilizzando l'account da domini di account attendibile verranno continuare a utilizzare le connessioni autenticate per ottenere elenco di nomi di account per gestire il controllo di accesso di protezione.

Restrizioni all'elenco dei nomi di condivisione per le connessioni anonime

Il servizio Server che fornisce l'accesso ai file remoti al fine di condividere risorse utilizza il valore di registro LSA, RestrictAnonymous, per controllare se le connessioni anonime possono o meno ottenere un elenco dei nomi di condivisione. Di conseguenza, gli amministratori possono impostare il valore di una voce di configurazione del Registro di sistema singolo per definire il modo in cui il sistema risponde alle richieste di enumerazione per l'accesso anonimo.

Restrizioni all'accesso remoto al Registro di sistema per le connessioni anonime

L'installazione del Service Pack 3 per Windows NT 4.0 o della correzione per Windows NT 3.51 elimina la possibilitÓ per gli utenti anonimi di connettersi al Registro di sistema in modalitÓ remota. Gli utenti anonimi non potranno pertanto connettersi al Registro di sistema, leggere o scrivere qualsiasi voce di registro. Si ricorda che Windows NT 4.0 limita l'accesso remoto al Registro di sistema da parte degli utenti di dominio utilizzando l'elenco di controllo di accesso nella chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
L'ACL in questa chiave identifica gli utenti autenticati a cui Ŕ consentito connettersi in remoto al Registro di sistema. In base all'impostazione predefinita, Windows NT 4.0 Server consente solo agli amministratori di accedere in remoto al Registro di sistema. La sottochiave winreg\AllowedPaths identifica le specifiche porzioni del Registro di sistema che gli utenti autenticati privi di privilegi di accesso espliciti concessi dall'ACL winreg possono utilizzare per accedere alle stampanti o per altre operazioni di sistema. La chiave winreg potrebbe essere definita in Windows NT 4.0 Workstation per limitare l'accesso remoto al Registro a tali sistemi. Per ulteriori informazioni sulla chiave winreg, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
153183Limitazione dell'accesso al Registro di configurazione NT da un computer remoto

Gruppo incorporato Authenticated Users

Quando si installa il Service Pack 3 per Windows NT 4.0 o la correzione per Windows NT 3.51 viene creato un nuovo gruppo incorporato denominato "Authenticated Users" Il gruppo Authenticated Users Ŕ simile a "Tutti" gruppo, ad eccezione di una differenza importante: gli utenti l'accesso anonimo (o le connessioni di sessione NULL) non sono i membri del gruppo Authenticated Users. L'identificatore di protezione incorporato per il gruppo Authenticated Users Ŕ S-1-5-11. Le connessioni di rete autenticate da qualsiasi account di dominio Windows NT del server o da qualsiasi dominio di tipo trust da parte del dominio del server verranno identificate come utente autenticato. Nell'editor ACL di protezione il gruppo Authenticated Users Ŕ disponibile per la concessione di diritti di accesso alle risorse. Il Service Pack 3 per Windows NT 4.0 e la correzione per Windows NT 3.51 non modificano alcun elenco di controllo di accesso per cambiare i privilegi di accesso concessi agli utenti del gruppo Everyone al fine di utilizzare il gruppo Authenticated Users.

Correzione per Windows NT 3.51

La correzione per Windows NT 3.51 Ŕ disponibile al seguente indirizzo Internet:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


ProprietÓ

Identificativo articolo: 143474 - Ultima modifica: martedý 27 marzo 2007 - Revisione: 2.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT Server 3.51
Chiavi:á
kbmt kbenv kbinfo kbnetwork KB143474 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 143474
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com