Restringir informações disponíveis a utilizadores de início de sessão anónimo

Traduções de Artigos Traduções de Artigos
Artigo: 143474 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Windows NT tem uma funcionalidade onde os utilizadores de início de sessão anónimo podem listar os nomes de utilizador de domínio e enumerar os nomes de partilhas. Os clientes que pretendam segurança avançada pediu a capacidade de opcionalmente restringir esta funcionalidade. Uma correcção para o Windows NT 3.51 e o Windows NT 4.0 Service Pack 3 fornecem um mecanismo para os administradores restringir a capacidade para utilizadores de início de sessão anónimo (também conhecidas como ligações de sessão NULL) a lista de nomes de contas e enumerar nomes de partilha. Listar nomes de conta de controladores de domínio requerido pelo editor de ACL do Windows NT, por exemplo, para obter a lista de utilizadores e grupos para seleccionar que um utilizador pretende conceder direitos de acesso. Listar os nomes de conta também é utilizada pelo Explorador do Windows NT para seleccionar lista de utilizadores e grupos para conceder acesso a uma partilha.

Mais Informação

Redes de Windows NT com base num único domínio do Windows NT poderá sempre autenticar ligações para informações de conta de domínio de lista. Redes Windows NT que utilizam vários domínios podem necessitar de utilizador anónimo iniciar sessão conta informações da lista. Um breve exemplo mostra as ligações anónimas como são utilizados. Tenha em consideração dois domínios do Windows NT, um domínio de conta e um domínio de recursos. O domínio de recurso tem uma relação de fidedignidade unidireccional com o domínio de conta. Ou seja, o domínio de recursos "confia" o domínio de conta, mas o domínio de conta não confiar o domínio de recursos. Os utilizadores do domínio de conta podem autenticar e aceder a recursos no domínio de recursos com base nas fidedignidade unidireccional. Suponha que um administrador no domínio de recursos pretende conceder acesso a um ficheiro para um utilizador do domínio de conta. Pretenderá obter a lista de utilizadores e grupos do domínio de conta para seleccionar um utilizador/grupo para conceder direitos de acesso. Uma vez que o domínio de conta não confiar o domínio de recursos, o pedido de administrador para obter a lista de utilizadores e grupos do domínio de recursos não pode ser autenticado. A ligação é efectuada utilizando uma sessão NULL para obter a lista de conta de utilizadores do domínio.

Existem situações semelhantes onde obter nomes de contas utilizando uma ligação anónima permite ao utilizador as ferramentas de interface, incluindo o Explorador do Windows NT, Gestor de utilizadores e editor de ACL, Access Control List, para administrar e gerir acesso controlar informações em vários domínios de Windows NT. Outro exemplo está a utilizar Gestor de utilizadores no domínio de recursos para adicionar utilizadores do domínio de conta fidedigna a um grupo local. Uma forma de adicionar a conta de utilizador de domínio a um grupo local no domínio de recursos é introduzir manualmente um domínio omeutilizador conhecidos para adicionar acesso sem obter a lista completa de nomes do domínio de conta. Outra abordagem consiste em início de sessão para o sistema no domínio de recursos utilizando uma conta no domínio de conta fidedigna.

Ambientes de Windows NT que pretende restringir ligações anónimas da lista conta nomes podem controlar esta operação depois de instalar a correcção do Windows NT 3.51 ou o Windows NT 4.0 Service Pack 3.

Após a instalação do Windows NT 4.0 Service Pack 3 ou a correcção do Windows NT 3.51, os administradores que pretendam requerem apenas utilizadores autenticados a lista de nomes de contas e excluir conexões anônimas de fazê-lo, tem de efectuar as seguintes alterações ao registo:

Aviso: A utilização incorrecta do Editor de registo pode causar problemas sérios, todo o sistema que poderão forçar a reinstalação do Windows NT. Microsoft não garante que os problemas resultantes da utilização do Editor de registo podem ser resolvidos. Utilize esta ferramenta por sua conta e risco.
  1. Execute o Editor de registo (Regedt32.exe).
  2. Vá para a seguinte chave no registo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. No menu Editar, clique em Add Value e utilize a seguinte entrada:

    Nome do valor: RestrictAnonymous
    Tipo de dados: REG_DWORD
    Valor: 1
  4. Saia do Editor de registo e reinicie o computador para a alteração tenha efeito.


Nota Acesso remoto ao registo ainda poderá ser possível depois de seguir os passos descritos neste artigo se o valor de registo RestrictNullSessAccess foi criado e é definido como 0. Este valor permite o acesso remoto para o registo utilizando uma sessão nula. O valor substitui outras definições restritivas explícitas.

O objectivo do valor do registo é configurar política de sistema local para se é necessária para executar funções comuns de enumeração de autenticação. Requerer autenticação para obter a lista de nome de conta é uma funcionalidade opcional. Quando o valor RestrictAnonymous é definido como 1, ligações anónimas das ferramentas de interface gráfica do utilizador para gestão de segurança irão receber um acesso negado erro ao tentar obter a lista de nomes de contas. Quando o valor RestrictAnonymous é definido como 0 ou o valor não está definido, as ligações anónimas conseguirá lista nomes de contas e enumerar nomes de partilha. Saliente se que, mesmo com o valor RestrictAnonymous definido como 1, apesar da interface de utilizador com ferramentas com o sistema irá não lista nomes de conta, existem Win32 interfaces de programação para suportar a pesquisa de nomes individuais que não restringir ligações anónimas.

Windows NT redes que utilizam um modelo de domínio múltiplos podem restringir as ligações anónimas sem perda de funcionalidade. Os passos iniciais no planeamento desactivar ligações anónimas destina-se os administradores de domínios de recursos adicionar membros de domínios de conta fidedigna a grupos locais específicos conforme necessário antes de alterar o valor para a entrada de registo RestrictAnonymous de LSA. Os utilizadores com sessão iniciada utilizando contas de domínios de conta fidedigna irão continuar a utilizar ligações autenticadas para obter a lista de nomes de contas para gerir o controlo de acesso de segurança.

Restringir anónima lista de nomes de partilha

O serviço do servidor que fornece acesso a ficheiros remotos a partilha de recursos também utilizará o valor de registo LSA, RestrictAnonymous, para controlar se anónimo ligações podem obter uma lista de nomes de partilha. Por este motivo, os administradores podem definir valor de uma entrada de configuração de registo único para definir como o sistema responde a pedidos de enumeração por logons anônimos.

Restringir o acesso anónimo de registo remoto

Instalação do Windows NT 4.0 Service Pack 3 ou a correcção do Windows NT 3.51 remove a capacidade para utilizadores anónimos ligar ao registo remotamente. Os utilizadores anónimos não é possível ligar ao registo e não é possível ler ou escrever quaisquer dados de registo. Como um lembrete, Windows NT 4.0 restringe o acesso remoto para o registo por utilizadores de domínio utilizando a lista de controlo de acesso na chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
A ACL nesta chave identifica os utilizadores autenticados autorizados a ligar remotamente ao registo. Windows NT 4.0 Server, por predefinição, apenas permite administradores acesso a registo remoto. A subchave winreg\AllowedPaths identifica partes específicas do registo que autenticar os utilizadores que não são explicitamente concedidos acesso por winreg que ACL, Access Control List pode utilizar para acesso de impressora e outras operações de sistema. A chave winreg pode ser definida no Windows NT 4.0 estações de trabalho para restringir o acesso a registo remoto a estes sistemas. Para obter informações adicionais na chave winreg, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
153183Como restringir o acesso ao registo de NT a partir de um computador remoto

Grupo de Built-in Utilizadores autenticados

Um novo grupo incorporado é criado quando instalar o Windows NT 4.0 Service Pack 3 ou a correcção do Windows NT 3.51 conhecido como "Utilizadores autenticados." O grupo Utilizadores autenticados é semelhante a "Todos" grupo, excepto para uma diferença importante: os utilizadores de início de sessão anónimo (ou ligações de sessão NULL) nunca são membros do grupo Utilizadores autenticados. Segurança incorporada do identificador para utilizadores autenticados está S-1-5-11. Ligações de rede autenticado a partir de qualquer conta de domínio do Windows NT do servidor ou qualquer domínio considerado fidedigno pelo domínio do servidor, é identificado como um utilizador autenticado. O grupo Utilizadores autenticados está disponível para conceder direitos de acesso a recursos no editor de ACL, Access Control List a segurança. Windows NT 4.0 Service Pack 3 e a correcção do Windows NT 3.51 não modificam quaisquer listas de controlo de acesso para alterar os direitos de acesso concedidos a todos (Everyone) utilize Utilizadores autenticados.

Correcção do Windows NT 3.51

A correcção do Windows NT 3.51 foi registada a seguinte localização de Internet:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


Propriedades

Artigo: 143474 - Última revisão: 27 de março de 2007 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT Server 3.51
Palavras-chave: 
kbmt kbenv kbinfo kbnetwork KB143474 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 143474

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com