Restringindo informações disponíveis para usuários de logon anônimo

Traduções deste artigo Traduções deste artigo
ID do artigo: 143474 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Windows NT tem um recurso onde os usuários de logon anônimo podem listar nomes de usuário de domínio e enumerar nomes de compartilhamento. Os clientes que desejam segurança avançada solicitaram a capacidade para opcionalmente restringir esta funcionalidade. Um hotfix para Windows NT 3.51 e Windows NT 4.0 Service Pack 3 fornecem um mecanismo para os administradores restringir a capacidade para usuários de logon anônimo (também conhecida como conexões de sessão nula) a lista de nomes de contas e enumerar nomes de compartilhamento. Listar nomes de conta de controladores de domínio é necessária para o editor de ACL do Windows NT, por exemplo, para obter a lista de usuários e grupos para selecionar que um usuário desejar conceder direitos de acesso. Listar nomes de conta também é usado pelo Windows NT Explorer para selecionar na lista de usuários e grupos para conceder acesso a um compartilhamento.

Mais Informações

Redes do Windows NT com base em um domínio único do Windows NT sempre poderão autenticar conexões às informações de conta de domínio da lista. Redes Windows NT que usam vários domínios podem exigir logon anônimo às informações de conta da lista. Um breve exemplo mostra como anônimos conexões são usados. Considere os dois domínios do Windows NT, um domínio de conta e um domínio de recurso. O domínio de recurso tem uma relação de confiança unidirecional com o domínio de conta. Isto é, o domínio de recurso "confia" o domínio de conta, mas o domínio de conta não confia o domínio de recurso. Os usuários do domínio de conta podem autenticar e acessar recursos no domínio de recursos com base na relação de confiança unidirecional. Suponha que um administrador no domínio de recursos deseja conceder acesso a um arquivo para um usuário do domínio de conta. Eles desejam obter a lista de usuários e grupos do domínio de conta para selecionar um usuário/grupo para conceder direitos de acesso. Desde que o domínio de conta não confia o domínio de recurso, a solicitação de administrador para obter a lista de usuários e grupos do domínio de recurso não pode ser autenticada. A conexão é feita usando uma sessão nula para obter a lista da conta de usuários do domínio.

Há situações semelhantes onde obter nomes de conta usando uma conexão anônima permite ao usuário ferramentas da interface, incluindo o Windows NT Explorer, Gerenciador de usuários e editor da ACL, para administrar e gerenciar o acesso controlar informações em vários domínios Windows NT. Outro exemplo é usar o Gerenciador de usuários no domínio de recursos para adicionar os usuários do domínio de conta confiável a um grupo local. Uma maneira de adicionar o usuário de domínio de conta a um grupo local no domínio de recursos é inserir manualmente um domínio conhecidos para adicionar o acesso sem obter a lista completa de nomes do domínio de conta. Outra abordagem é logon para o sistema no domínio de recursos usando uma conta no domínio de conta confiável.

Ambientes do Windows NT que desejam restringir conexões anônimas da listagem conta nomes podem controlar esta operação depois de instalar o hotfix do Windows NT 3.51 ou Windows NT 4.0 Service Pack 3.

Após a instalação do Windows NT 4.0 Service Pack 3 ou o hotfix do Windows NT 3.51, os administradores que desejam exigir somente usuários autenticados a lista de nomes de contas e excluir conexões anônimas de fazer isso, necessário fazer as seguintes alterações no Registro:

Aviso: Usar o Editor do Registro incorretamente pode causar problemas sérios no sistema que talvez exijam a reinstalação do Windows NT para corrigi-los. Microsoft não garante que problemas resultantes do uso do Editor do Registro possam ser solucionados. Use esta ferramenta de sua responsabilidade.
  1. Execute o Editor do Registro (Regedt32.exe).
  2. Vá para a seguinte chave no Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. No menu Editar, clique em Adicionar valor e use a seguinte entrada:

    Nome do valor: RestrictAnonymous
    Tipo de dados: REG_DWORD
    Valor: 1
  4. Feche o Editor do Registro e reinicie o computador para a alteração tenha efeito.


Observação Acesso remoto ao Registro talvez ainda seja possível após executar as etapas neste artigo se o valor de registro RestrictNullSessAccess foi criado e é definido como 0. Esse valor permite acesso remoto ao registro usando uma sessão nula. O valor substitui outras configurações restritivas explícitas.

O objetivo do valor do registro é configurar diretiva de sistema local para se a autenticação é necessária para executar funções comuns de enumeração. Exigir autenticação para obter a lista de nome de conta é um recurso opcional. Quando o valor RestrictAnonymous está definido como 1, conexões anônimas das ferramentas de interface gráfica do usuário para o gerenciamento de segurança receberá um erro acesso negado ao tentar obter a lista de nomes de conta. Quando o valor RestrictAnonymous está definido como 0 ou o valor não está definido, conexões anônimas poderá listar nomes de conta e enumerar nomes de compartilhamento. É preciso observar que até mesmo com o valor da RestrictAnonymous definido como 1, embora a interface do usuário ferramentas com o sistema será não nomes de conta lista, há Win32 interfaces de programação para oferecer suporte a pesquisa de nome individuais que não restringir conexões anônimas.

Windows NT usando um modelo de domínio várias redes podem restringir conexões anônimas sem perda de funcionalidade. As etapas iniciais no planejamento para desabilitar conexões anônimas é para os administradores em domínios de recurso Adicionar membros de domínios confiáveis conta a grupos locais específicos conforme necessário antes de alterar o valor de entrada do Registro RestrictAnonymous LSA. Os usuários conectados usando contas de domínios confiáveis conta continuará a usar conexões autenticadas para obter lista de nomes de conta para gerenciar o controle de acesso de segurança.

Restringir anônima lista de nomes de compartilhamento

O serviço de servidor que fornece acesso ao arquivo remoto para compartilhar recursos também irá usar o valor de Registro LSA, RestrictAnonymous, para controlar se anônimo conexões podem obter uma lista de nomes de compartilhamento. Portanto, os administradores podem definir o valor da entrada de configuração de um único registro para definir como o sistema responde às solicitações de enumeração por logons anônimos.

Restringindo o acesso anônimo de registro remoto

Instalação do Windows NT 4.0 Service Pack 3 ou o hotfix do Windows NT 3.51 remove a capacidade para usuários anônimos para se conectar ao registro remotamente. Usuários anônimos não é possível se conectar ao registro e não pode ler ou gravar quaisquer dados do Registro. Como um lembrete, Windows NT 4.0 restringe o acesso remoto para o registro por usuários de domínio usando a lista de controle de acesso na chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
A ACL nessa chave identifica os usuários autenticados com permissão para se conectar remotamente ao registro. Windows NT 4.0 Server, por padrão, permite apenas que administradores acesso remoto ao registro. A subchave winreg\AllowedPaths identifica partes específicas do registro que usuários que não são explicitamente concedidos acesso por winreg que ACL pode usar para acesso à impressora e outras operações de sistema autenticados. A chave winreg pode ser definida no Windows NT 4.0 Workstations para restringir o registro remoto acesso a esses sistemas. Para obter informações adicionais na chave winreg, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
153183Como restringir o acesso ao registro NT de um computador remoto

Grupo de Built-in usuários autenticados

Um novo grupo interno é criado quando instalar o Windows NT 4.0 Service Pack 3 ou o hotfix Windows NT 3.51 conhecido como "Usuários autenticados". O grupo Usuários autenticados é semelhante a "Todos" grupo, exceto para uma diferença importante: os usuários logon anônimo (ou conexões de sessão nula) nunca são membros do grupo Usuários autenticados. Segurança interna identificador para usuários autenticados é S-1-5-11. Conexões de rede autenticado de qualquer conta no domínio do Windows NT do servidor, ou a qualquer domínio confiável de domínio do servidor, é identificado como um usuário autenticado. O grupo Usuários autenticados está disponível para conceder direitos de acesso a recursos no editor de ACL de segurança. Windows NT 4.0 Service Pack 3 e o hotfix do Windows NT 3.51 não modificam qualquer listas de controle de acesso para alterar direitos de acesso concedidos a todos para usar usuários autenticados.

Hotfix do Windows NT 3.51

O hotfix do Windows NT 3.51 foi lançado no seguinte local de Internet:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


Propriedades

ID do artigo: 143474 - Última revisão: terça-feira, 27 de março de 2007 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT Server 3.51
Palavras-chave: 
kbmt kbenv kbinfo kbnetwork KB143474 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 143474

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com