Обмежують наявної інформації користувачів анонімний вхід

Переклади статей Переклади статей
Номер статті: 143474 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Підсумки

Windows NT має функцію, де можна анонімний вхід користувачів список доменних імен користувачів і перелічити імена спільного ресурсу. Клієнтів, які хочуть розширений Безпека просили можливість можна також обмежити цю функціональність. пакет оновлень 3 для Windows NT 4.0 та виправлення для Windows NT 3.51 механізм для адміністраторів, щоб заборонити користувачам анонімний вхід (також відомий як NULL сесії підключення) список імен облікових записів і перерахувати імена спільного ресурсу. Список імен облікових записів з контролери домену потрібна на Windows NT ACL редактор, наприклад, щоб отримати список користувачів і груп, щоб Виберіть, які користувач хоче, щоб надати права доступу. Список імен облікових записів є також використовує Windows NT Explorer виберіть надати списку користувачів і груп доступ до спільного ресурсу.

Додаткові відомості

Windows NT мереж на основі одного домену Windows NT завжди зможете автентифікації підключення до облікового запису домену список інформації. Windows NT мереж, які використовують кілька доменів може вимагати анонімного користувача для входу до списку відомостей облікового запису. A короткий приклад показує, як анонімні підключення використовуються. Розглянемо два Windows NT домену, обліковий запис А комп'ютера і ресурс доменом. Ресурс домену має одностороння довіра відносини з облікового запису домену. Тобто домен ресурсу "сподівається" на обліковий запис А комп'ютера домену, але обліковий запис А комп'ютера домену не довіряєте ресурс домену. Користувачів з домену обліковий запис А комп'ютера може автентифікації та доступу до ресурсів в регіоні ресурс домену на основі одностороння довіра. Припустимо, адміністратор у регіоні ресурс домену бажає надати доступ до файлу для користувача з рахунку домен. Вони хочуть отримати список користувачів та груп з рахунку домен для вибору користувача та групи надати права доступу. Починаючи з домену обліковий запис А комп'ютера не довіряєте ресурс домену, адміністратор запит на отримання до Список користувачів та групи домену ресурс не вдається пройти автентифікацію. На підключення здійснюється за допомогою NULL сесії для отримання списку обліковий запис А комп'ютера домену користувачів.

Є аналогічні ситуації, де одержання імена облікових записів сценарій виконання анонімного підключення дозволяє користувачеві інтерфейс інструменти, включаючи Провідник Windows NT, диспетчера користувачів та ACL редактор та управління контроль доступу до інформації через кілька доменів Windows NT. Інший приклад використовує користувача диспетчера ресурсів домену запит на додавання користувачів з в надійних обліковий запис А комп'ютера домену до локальна група домену. Один із способів додати обліковий запис А комп'ютера користувача домену до на місцеві групи в домені ресурс є вручну ввести відомий домен Додати доступ без отримання повного списку імен з рахунку домен. Інший підхід полягає в тому, щоб для входу в систему в домен сценарій виконання ресурсу рахунок в надійних облікового запису домену.

Windows NT середовищ що потрібно обмежити анонімні підключення з лістингу може імена облікового запису контролювати цю операцію після інсталяції пакета оновлень 3 для Windows NT 4.0 або на Виправлення Windows NT 3.51.

Після інсталяції Windows NT 4.0 служби Пакет оновлення 3 або виправлення Windows NT 3.51, адміністраторів, які хочуть вимагають тільки Автентифіковані користувачі список імен облікових записів, і виключити анонімні підключення з таким чином, потрібно зробити такі зміни до реєстру:

Попередження: сценарій виконання редактора реєстру може призвести до серйозних, системної проблеми, які можуть викликати необхідність переустановити Windows NT їх усунення. Майкрософт не може гарантувати, що будь-які проблеми в результаті сценарій виконання реєстру Редактор може бути вирішена. Використовувати цей інструмент на свій власний ризик.
  1. Запустіть редактор реєстру (Regedt32. exe).
  2. Перейти до такий розділ реєстру:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. У меню Правка виберіть команду Додати цінність і використовувати такі запис:

    Значення ім'я: RestrictAnonymous
    Тип даних: REG_DWORD
    Значення: 1
  4. Закрийте редактор реєстру та перезавантажте комп’ютер-зразок для на Щоб зміни набувати чинності.


Примітка віддалене з'єднання до реєстру ще може бути можливим після ви виконайте інтерактивні елементи, описані в цій статті, якщо значення реєстру RestrictNullSessAccess був створений і має значення 0. Це значення дозволяє віддалене з'єднання до реєстру за допомогою null сесії. Значення скасовує інші явні обмежувальні параметри.

Мета значення реєстру, щоб настроїти Політика локальної системи для чи необхідна автентифікація для виконання загальних Перелічення функцій. Які потребують автентифікації, для отримання списку ім'я облікового запису — Це додатковий засіб. Коли в RestrictAnonymous значення 1, анонімні підключення за допомогою інструментів графічний інтерфейс користувача для керування безпеки будуть отримувати в доступі помилка при спробі отримати список облікового запису імена. Коли RestrictAnonymous значення 0, або значення визначені, анонімні підключення буде можливість список імен облікових записів і перерахувати імена спільного ресурсу. Слід зазначити, що навіть з значення RestrictAnonymous значення 1, хоча інструменти інтерфейсу користувача з системою не буде список рахунок імена, є Win32 інтерфейсів програмування для підтримки окремих ім'я підстановки, які не обмежують анонімні підключення.

Windows NT мережі, використовуючи кілька модель домену, можна обмежити анонімні підключення без втрати функціональності. Початковий кроки в планування відключити анонімні підключення є для адміністраторів у ресурс домени Додати членів надійних рахунок доменів для конкретних місцевих груп, як необхідні, перш ніж змінювати значення для запису реєстру LSA RestrictAnonymous. Користувачі, увійти до системи за допомогою облікові запис А бізнес-партнера з надійних рахунку, домени, як і раніше використовувати перевірку автентичності контроль доступу підключень отримати список імен облікових записів для управління безпеки.

Обмеження анонімні список імен Share

Сервер служби, яка забезпечує доступ до віддаленого файлу поділитися ресурси також буде використовувати LSA значення в реєстрі, RestrictAnonymous, до елемента керування чи анонімні підключення можна отримати список імен share. Таким чином, Адміністратори мають змогу встановити значення єдиного реєстру конфігурації запис А до Визначте, як система реагує на запити перерахування на анонімний вхід до системи.

Обмеження анонімні віддалене з'єднання реєстру

Інсталяція Windows NT 4.0 пакет оновлень 3 або Windows NT 3.51 виправлення видаляє анонімним користувачам підключатися до реєстру віддалено. Анонімні користувачі не можуть підключитися до реєстру, читання або Записати будь-які дані реєстру. Як нагадування Windows NT 4.0 обмежує віддалене з'єднання до реєстру домену користувачами за допомогою списку керування доступом в реєстрі ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
ACL на цей ключ визначає автентифікованих користувачів, які дозволено віддалено підключитися до реєстру. Windows NT Server 4.0, за промовчанням, лише дозволяє адміністраторам реєстру віддалене з'єднання. Підрозділ winreg\AllowedPaths визначає конкретні частини реєстру, які автентифікованим користувачам, які явно не надається доступ на winreg, ACL-ФАЙЛУ можна використовувати для доступу до принтера та Інші системні операції. Ключ winreg можуть бути визначені у Windows NT 4.0 Робочі станції обмежити реєстру віддалене з'єднання до цих системний інтегратор. Для отримання додаткової інформації про на winreg ключ, клацніть номер для перегляду статті в корпорації Майкрософт База знань:
153183 Те, як обмежити доступ до реєстру NT з віддаленого комп'ютера

Автентифіковані користувачі вбудована група

Нові вбудовані група створюється під Вільний час інсталяції Windows NT 4.0 Пакет оновлення 3 або виправлення Windows NT 3.51, відомий як "Authenticated користувачів". Група Автентифіковані користувачі схожий на "Кожен" група, за винятком одна важлива відмінність: анонімний вхід користувачів (або NULL сесії підключення) ніколи не є членами групи Автентифіковані користувачі. Вбудована безпека Ідентифікатор для Автентифіковані користувачі знаходиться S-1-5-11. Перевірку автентичності мережі підключення з будь-якого облікового запису в домен сервера Windows NT, або будь-якого домену довірений домен сервера, ідентифікується як перевірку автентичності користувача. На Група автентифікованих користувачів доступна для надання права доступу до ресурсів у редакторі ACL безпеки. Windows NT 4.0 пакет оновлень 3 і Windows NT 3.51 виправлення не змінювати будь-які списки керування доступом для зміни прав доступу Звичайно, для кожного сценарій виконання Автентифіковані користувачі.

Виправлення Windows NT 3.51

Виправлення Windows NT 3.51 була розміщена нижче Розташування в Інтернеті:


Властивості

Номер статті: 143474 - Востаннє переглянуто: 12 липня 2012 р. - Редакція: 2.0
Застосовується до:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Server 3.51
Ключові слова: 
kbenv kbinfo kbnetwork kbmt KB143474 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 143474

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com