Obmedzujúce informácie sú k dispozícii užívateľom anonymous logon

Preklady článku Preklady článku
ID článku: 143474 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Systém Windows NT má funkciu, kde anonymous logon používatelia môžu zoznam Doménové používateľské meno a enumerovať názvy zdieľaní. Zákazníci, ktorí chcú posilnenej zabezpečenia požiadali o možnosť voliteľne obmedzenie funkcionality. Windows NT 4.0 Service Pack 3 a rýchlu opravu pre systém Windows NT 3.51 mechanizmus pre správcov obmedziť možnosť pre užívateľov, anonymous logon (tiež známy ako prázdne relácie pripojenia) zoznam názvy kont a enumerovať názvy zdieľaní. Výpis názvy kont z radiče domény požaduje Windows NT ACL editora, napríklad, získať zoznam používateľov a skupín Vyberte, ktorý užívateľ chce udeliť prístupové práva. Výpis názvy kont je tiež použiť program Prieskumník systému Windows NT na výber zo zoznamu používateľov a skupín udeliť prístup k podielu.

DALSIE INFORMACIE

Windows NT siete založené na jedinej doméne systému Windows NT bude vždy schopný autentifikovať pripojenia na konto domény zoznam information. Windows NT siete, ktoré používajú viac domén môžu vyžadovať anonymný užívateľ prihlásenie na zoznam informácií o konte. A stručný príklad ukazuje ako anonymné pripojenia sa používajú. Zvážiť dve domény systému Windows NT, účet domény a zdrojov domény. Zdroj doméne je jednostranný vzťah dôvery vzťah s konto domény. To znamená prostriedok domény "verí" domény konta, ale konto domény nie je dôveryhodný zdroj domény. Používatelia z konta domény môžete overiť a prístup k zdrojom v Zdroj domény založenej na jednostranná dôvera. Predpokladajme, že správca v Zdroj domény chce udeliť prístup k súboru používateľovi z účtu domény. E chcú získať zoznam používateľov a skupín z účtu domény vyberte pou????vate??a/skupinu na poskytovanie prístupových práv. Od domény konta nie je dôveryhodný zdroj domény, správca žiadosť získať zoznam používateľov a skupín z oblasti zdrojov nemôže byť overený. V pripojenie sa uskutočňuje s využitím NULL relácie na získanie zoznamu konto domény používatelia.

Existujú podobné situácie v prípade, že získanie názvy kont použitie anonymného pripojenia umožňuje používateľovi rozhranie nástroje, vrátane Windows NT Explorer, Správca používateľov a ACL editor, spravuje a riadi prístupové kontrolné informácie viac doménach systému Windows NT. Ďalším príkladom je pomocou programu Správca používateľov v doméne zdrojov pridať používateľov z dôveryhodných konto domény do lokálnej skupiny. Jeden spôsob, ako pridať konto domény používateľovi miestnej skupiny zdrojov domény je manuálne zadať známe doména\meno_používateľa Ak chcete pridať prístup bez získať úplný zoznam názvov z účtu domény. Iný prístup využíva prihlásenie do systému v doméne pomocou zdrojov konto v dôveryhodných konto domény.

Windows NT prostrediach ktoré chcete obmedziť anonymné pripojenia od výpis účtu názvy môžete kontrolovať túto operáciu po inštalácii systému Windows NT 4.0 Service Pack 3 alebo Windows NT 3.51 rýchlu opravu.

Po inštalácii systému Windows NT 4.0 Service Pack 3 alebo Windows NT 3.51 opravy, správcov, ktorí chcú vyžadovať iba authenticated users zoznam názvy kont a vylúčiť anonymné pripojenia z pritom potrebné vykonajte nasleduj??cu zmenu v databáze Registry:

Upozornenie: Nesprávne pomocou editora databázy Registry môže spôsobiť vážne, systém-široký problémy, ktoré môžu vyžadovať preinštalovanie systému Windows NT na ich nápravu. Spoločnosť Microsoft nemôže zaručiť, že akékoľvek problémy vznikajúce z používania databázy Registry Môžu byť vyriešené editora. Použite tento nástroj na vlastné riziko.
  1. Spustite Editor databázy Registry (Regedt32.exe).
  2. Prejdite na nasledujúci kľúč databázy registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. V ponuke Úpravy kliknite na položku Pridať hodnota a použiť nasledujúce vstup:

    Hodnota meno: RestrictAnonymous
    Typ údajov: REG_DWORD
    Hodnota: 1
  4. Zatvorte Editor databázy Registry a reštartujte počítač pre zmena prejavila.


Poznámka: Vzdialený prístup do databázy registry je stále možno po vykonaní krokov v tomto článku, ak RestrictNullSessAccess hodnota v databáze Registry bol vytvorený a je nastavený na 0. Táto hodnota umožňuje vzdialený prístup do databázy registry pomocou prázdne relácie. Hodnota prepíše inými explicitné obmedzujúce nastavenia.

Účelom hodnotu databázy registry je konfigurácia Politika lokálneho systému pre či overovania povinná vykonávať spoločné Enumerácia funkcie. Požadujúce overenie získať zoznam názov konta je voliteľnou funkciou. Keď hodnota RestrictAnonymous nastavená na 1, anonymný pripojenia z grafické užívateľské rozhranie nástroje riadenia bezpečnosti dostanú prístup odmietnutý chybu pri pokuse získať zoznam účet názvy. Keď hodnota RestrictAnonymous nastavená na 0 alebo nie je definované, anonymné pripojenia budú môcť zoznam názvy kont a enumerovať názvy zdieľaní. Treba poznamenať, že dokonca s hodnotou RestrictAnonymous nastavené na 1, hoci nie bude zoznam používateľské rozhranie nástroje so systémom úvahy mien, existujú Win32 programovacích rozhraní na podporu jednotlivých Vyhľadávacie meno, ktoré neobmedzujú anonymné pripojenia.

Windows NT siete pomocou viacerých model domény môžete obmedziť anonymné pripojenia bez straty funkčnosti. Počiatočné kroky pri plánovaní vypnúť anonymné pripojenia je pre správcov v prostriedku doménach pridať členov dôveryhodné úvahy domén pre špecifické miestne skupiny podľa potreby pred zmenou hodnota pre položku databázy registry LSA RestrictAnonymous. Používatelia prihlásení pomocou overené účty z dôveryhodných konta domény bude naďalej používať Kontrola pripojenia na získanie zoznamu názvy kont na spravovanie zabezpečenia prístupu.

Obmedzenie anonymný zoznam názvov Share

Serverová služba, ktorá poskytuje vzdialený súbor prístup na zdieľanie zdroje budú využívať aj LSA hodnotu databázy registry, RestrictAnonymous, kontroly či anonymné pripojenia môžete získať zoznam názvov podiel. Preto, môžu správcovia nastaviť hodnotu jeden register konfiguračnú položku do definovať ako systém reaguje na enumeráciu žiadosti anonymný prihlásenia.

Obmedzenie anonymný vzdialený prístup do databázy Registry

Inštalácia systému Windows NT 4.0 Service Pack 3 alebo Windows NT 3.51 rýchla oprava odstraňuje schopnosť pre anonymných používateľov na pripojenie k databáze registry vzdialene. Anonymných používateľov sa nemôže pripojiť k databáze registry a nemožno čítať alebo napísať akékoľvek údaje databázy registry. Ako pripomenutie, Windows NT 4.0 obmedzuje vzdialený prístup v databáze Registry užívateľmi domény pomocou zoznam riadenia prístupu na databázy registry kľúč:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
ACL na tento kľúč identifikuje overeným používateľom umožnené vzdialene pripojiť k databáze registry. Windows NT 4.0 Server, predvolene len umožňuje správcom vzdialenej databázy registry prístupu. Podkľúča winreg\AllowedPaths identifikuje špecifické časti databázy registry, ktorý overení používatelia, ktorí sú nie sú výslovne udelené prístup winreg ACL môžete použiť pre tlačiareň prístup a Ďalšie systémové operácie. Winreg kľúč môže byť definovaná na systém Windows NT 4.0 Pracovné stanovištia obmedziť prístup do vzdialenej databázy registry na týchto systémov. Ďalšie informácie o winreg kľúčové, kliknutím na nasledujúce číslo článku zobrazte článok v Microsoft Knowledge Base:
153183 Ako na obmedzenie prístupu k NT Registry zo vzdialeného počítača

Authenticated Users vstavané Group

Nové vstavané skupiny sa vytvára pri inštalácii systému Windows NT 4.0 Service Pack 3 alebo Windows NT 3.51 rýchla, známe ako "Authenticated Users." Skupina Authenticated Users je podobný "Všetci" skupina, s výnimkou jedným dôležitým rozdielom: anonymous logon užívateľov (alebo NULL relácie pripojenia) sú nikdy členovia skupiny Authenticated Users. Vstavané funkcie zabezpečenia Identifikátor pre skupinu Authenticated Users je S-1-5-11. Overené siete pripojenia z akéhokoľvek konta v doméne systému Windows NT server, alebo ktorejkoľvek doméne dôveryhodné doména servera, je identifikovaná ako overený užívateľ. V Authenticated Users group je k dispozícii pre poskytovanie prístupových práv na zdroje v editore ACL zabezpečenia. Systém Windows NT 4.0 Service Pack 3 a systém Windows NT 3.51 hotfix neupravujte žiadne zoznamy zmeniť prístupové práva poskytuje každému používať Authenticated Users.

Rýchla oprava systému Windows NT 3.51

Windows NT 3.51 hotfix zaúčtovaný na nasledujúce Miesto na internete:
FTP://FTP.Microsoft.com/bussys/Winnt/Winnt-public/fixes/USA/NT351/ rýchlych-postSP5/sec-fix


Vlastnosti

ID článku: 143474 - Posledná kontrola: 17. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Server 3.51
Kľúčové slová: 
kbenv kbinfo kbnetwork kbmt KB143474 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:143474

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com