Ограничение доступа анонимных пользователей

Переводы статьи Переводы статьи
Код статьи: 143474 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В Windows NT анонимные пользователи могут просматривать список пользователей домена и список общих ресурсов.. При наличии повышенных требований к безопасности необходимо иметь средство для отключения этой возможности.. Пакет обновления 3 (SP3) для Microsoft Windows NT 4.0 и соответствующее исправление для Microsoft Windows NT 3.51 позволяют запретить анонимным пользователям (использующим так называемое NULL-подключение) просматривать перечень учетных записей и список общих ресурсов.. Получение списка учетных записей от контроллера домена используется редактором таблиц доступа Windows NT. Например, для получения списка пользователей, обладающих правами доступа к ресурсу, необходим список пользователей и групп.. Кроме того, список учетных записей необходим проводнику Windows NT для выбора пользователей и групп, имеющих право доступа к общему ресурсу..

Дополнительная информация

В сети Windows NT, состоящей из одного домена Windows NT, всегда можно провести проверку подлинности соединения, затребовавшего список учетных записей домена.. Однако в сети Microsoft Windows NT, включающей несколько доменов, может потребоваться получить список учетных записей от имени анонимного пользователя.. Следующий пример иллюстрирует использование анонимного соединения.. Рассмотрим сеть, состоящую из двух доменов — домена учетных записей и домена ресурсов.. В домене ресурсов настроены односторонние доверительные отношения с доменом учетных записей.. Таким образом, домен ресурсов доверяет домену учетных записей, но домен учетных записей не доверяет домену ресурсов.. Используя эти односторонние доверительные отношения, пользователи из домена учетных записей могут проходить проверку подлинности и получать доступ к ресурсам, расположенным в домене ресурсов.. Предположим, администратору домена ресурсов необходимо разрешить доступ к файлу пользователю из домена учетных записей.. Для этого администратору необходим список пользователей и групп домена учетных записей.. Так как домен учетных записей не доверяет домену ресурсов, то запрос администратора домена ресурсов на получение списка пользователей и групп не пройдет проверку подлинности.. Поэтому такой запрос производится с использованием NULL-подключения..

Аналогичные ситуации имеют место при использовании анонимного соединения различными служебными программами (такими как проводник Microsoft Windows NT, редактор таблиц доступа и диспетчер пользователей) для администрирования нескольких доменов Windows NT.. Еще одним примером является использование диспетчера пользователей в домене ресурсов для добавления пользователей доверяемого домена в локальные группы.. Первый способ заключается в ручном вводе комбинаций домен\имя_пользователя. При этом нет необходимости в получении полного списка пользователей доверяемого домена.. Второй способ — это войти в систему в домене ресурсов, используя учетную запись доверяемого домена..

После установки пакета обновления 3 (SP3) для Microsoft Windows NT 4.0 или соответствующего исправления для Microsoft Windows NT 3.51 в Windows NT появляется возможность запретить получение списка учетных записей при использовании анонимного соединения..

Чтобы запретить анонимным пользователям получать список учетных записей, необходимо установить пакет обновления 3 (SP3) для Microsoft Windows NT 4.0 или соответствующее исправление для Microsoft Windows NT 3.51 и выполнить следующие действия.:

Предупреждение: Неправильное использование редактора реестра может привести к серьезным проблемам, системные проблемы, которые могут потребовать переустановки Windows NT, исправьте их. Корпорация Майкрософт не гарантирует, что неполадки, являющиеся результатом использования редактора реестра, могут быть устранены.. Ответственность за результаты таких действий несут пользователи..
  1. Запустите редактор реестра (Regedt32.exe)..
  2. Найдите следующий раздел реестра и выделите его::

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. В меню «Правка» выберите команду «Добавить параметр» и создайте следующий параметр::

    Значение имени: RestrictAnonymous
    Тип данных: REG_DWORD
    Значение: 1
  4. Чтобы изменения вступили в силу, закройте редактор реестра и перезагрузите компьютер..


Примечание.Удаленный доступ к реестру по-прежнему возможно после выполнения действия, описанные в данной статье, еслиRestrictNullSessAccessпараметр реестра был создан и имеет значение 0. Это значение позволяет удаленный доступ к реестру с помощью нулевого сеанса. Значение перекрывает другие явные ограничения.

Данный параметр реестра настраивает локальную системную политику и определяет, требуется ли проверка подлинности при выполнении общих задач перечисления.. При получении списка учетных записей проверка подлинности является необязательной.. Если значение параметра RestrictAnonymous установлено равным 1, то попытка получить список учетных записей, используя анонимное соединение, вызовет ошибку и будет запрещена.. Если значение параметра RestrictAnonymous установлено равным 0 или не определено, то, используя анонимное соединение, можно получить список учетных записей и перечень общий ресурсов.. Необходимо отметить, что если значение параметра RestrictAnonymous установлено равным 1 и при использовании анонимного соединения не возвращается список учетных записей, то остается возможность использовать анонимное соединение для поиска отдельных имен с помощью программного интерфейса Win32..

В сети, содержащей несколько доменов Windows NT, анонимные соединения могут быть запрещены без потери функциональности.. Для этого, прежде чем изменить параметр реестра RestrictAnonymous, необходимо в доменах ресурсов добавить пользователей доверяемых доменов учетных записей в требуемые локальные группы.. В этом случае пользователи, вошедшие в систему, используя учетные записи доверяемых доменов, для получения списка учетных записей будут использовать соединения, прошедшие проверку подлинности..

Запрет получения списка общих ресурсов анонимными пользователями

Служба «Сервер», обеспечивающая удаленный доступ к общим ресурсам, также использует параметр реестра RestrictAnonymous для определения того, может ли анонимное соединение получить список общих ресурсов.. Таким образом, изменяя данный параметр реестра, администратор может настроить реакцию системы на анонимные запросы о перечислении..

Запрет анонимного удаленного доступа к системному реестру

Установка пакета обновления 3 (SP3) для Microsoft Windows NT 4.0 или соответствующего исправления для Microsoft Windows NT 3.51 запрещает анонимным пользователям удаленное подключение к системному реестру.. Анонимные пользователи не могут удаленно подключиться к реестру и считать или записать данные.. Как и ранее, Microsoft Windows NT 4.0 ограничивает доступ к системному реестру для пользователей домена на основании раздела реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
Таблица управления доступом этого раздела определяет список пользователей, имеющих право удаленного подключения к реестру.. По умолчанию в Windows NT 4.0 Server только члены группы «Администраторы» обладают правом удаленного доступа к реестру.. Пользователи, которые прошли проверку подлинности, но права которых не были явно определены таблицей управления доступом раздела winreg, могут использовать для доступа к принтерам и выполнения других системных функций разделы реестра, определенные в подразделе winreg\AllowedPaths.. Если необходимо ограничить удаленный доступ к реестру, раздел winreg может быть создан на компьютере под управлением Windows NT 4.0 Workstations..За дополнительной информацией о разделе реестра winreg обратитесь к следующей статье Microsoft Knowledge Base::
153183Как ограничить доступ К NT реестра с удаленного компьютера

Встроенная группа «Прошедшие проверку».

При установке пакета обновления 3 (SP3) для Microsoft Windows NT 4.0 или обновления для Microsoft Windows NT 3.51 создается новая встроенная группа «Прошедшие проверку». Группы «Прошедшие проверку» похоже на «Все» группы, за исключением одно важное отличие: анонимные пользователи (или NULL сеанса подключения) не являются членами группы «Прошедшие проверку». Встроенная безопасность кода для пользователей, прошедших проверку, S-1-5-11. Проверка подлинности выполнена сетевых подключений из любой учетной записи в домене сервера Windows NT или любого домена доверенным для домена определяется как пользователя, прошедшего проверку. Группа «Прошедшие проверку» может использоваться для назначения прав доступа к ресурсам в редакторе таблиц управления доступом.. Пакет обновления 3 (SP3) для Microsoft Windows NT 4 и обновление для Microsoft Windows NT 3.51 создают группу «Прошедшие проверку», но не изменяют права доступа, присвоенные группе «Все»..

Обновление для Microsoft Windows NT 3.51

Загрузить обновление для Microsoft Windows NT 3.51 можно по адресу::
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


Свойства

Код статьи: 143474 - Последний отзыв: 13 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows NT Workstation 3.51
  • операционная система Microsoft Windows NT Server 3.51
Ключевые слова: 
kbenv kbinfo kbnetwork kbmt KB143474 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:143474

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com