限制匿名登录用户可用的信息

文章翻译 文章翻译
文章编号: 143474 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Windows NT 有匿名登录用户可以在这里列出用户的域名和枚举共享名称的功能。需要增强的安全性的客户所要求的能力,以根据需要限制此功能。Windows NT 4.0 Service Pack 3 和 Windows NT 3.51 的修复程序提供了一种机制,管理员能够限制匿名登录用户 (也称为空会话连接) 的功能列表的帐户名称和枚举共享名称。列出帐户名称的域控制器所需的 Windows NT ACL 编辑器,例如,获取列表中的用户和组可以选择那些用户想要授予访问权限。列出帐户名称还用于通过 Windows NT 资源管理器中选择用户和组的列表,以授予对共享的访问权限。

更多信息

基于单个 Windows NT 域的 Windows NT 网络将始终能够通过身份验证连接到列表中的域帐户信息。使用多个域的 Windows NT 网络可能需要列出的帐户信息的匿名用户登录。一个简单的示例演示如何匿名连接使用。请考虑两个 Windows NT 域、 帐户域和资源域。资源域已与帐户域的单向信任关系。也就是说,资源域"信任"的帐户域中,但是帐户域不信任资源域。帐户域中的用户可以验证并访问基于单向信任资源域中的资源。假设资源域中的管理员想要授予给用户帐户域中的文件的访问权限。他们希望获得以选择要授予访问权限的用户/组帐户域的用户和组的列表。由于帐户域不信任资源域,则无法进行身份验证管理员请求来获取从资源域的用户和组的列表。连接使用空会话来获取域用户的帐户的列表。

有类似的情况在其中获取帐户名使用匿名连接允许用户界面工具,包括 Windows NT 资源管理器、 用户管理器和 ACL 编辑器管理跨多个 Windows NT 域的访问控制信息。另一个示例使用在资源域中的用户管理器来从受信任的帐户域向本地组添加用户。向在资源域的本地组中添加帐户的域用户的一种方法是手动输入已知域 \ 用户名,而不会得到从帐户域的完整名称的列表中添加访问权限。另一种方法是为登录到资源域使用受信任的帐户域中的帐户中的系统。

想要限制的列表名称,可以控制 Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 修补程序在安装之后此操作的帐户的匿名连接的 Windows NT 环境。

在 Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 的热修复程序的安装之后, 希望要求只有经过验证的用户列表的帐户名称,并且排除匿名连接,这样,管理员需要对注册表进行下列更改:

警告: 注册表编辑器使用不当可导致严重的系统范围内的问题,这可能要求您重新安装 Windows NT 才能解决问题。Microsoft 不能保证任何因使用注册表编辑器而导致的问题能够得到解决。使用此工具,需要您自担风险。
  1. 运行注册表编辑器 (Regedt32.exe)。
  2. 请转到以下注册表项中:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. 在编辑菜单上单击添加值,并使用 followingentry:

    值名称: 将
    数据类型: REG_DWORD
    值: 1
  4. 退出注册表编辑器,然后重新启动计算机,该更改才会生效。


注意如果使用空会话的注册表值已创建,并设置为 0,请在执行本文中的步骤之后对注册表的远程访问仍有可能。此值通过使用空会话允许对注册表的远程访问。值将覆盖其他明确的限制性设置。

该注册表值用于配置本地系统策略是否执行公共枚举功能所必需的身份验证。要求身份验证,以获得该帐户名称列表是一个可选功能。将值设置为 1,当匿名连接进行安全管理的图形用户界面工具将收到拒绝访问错误时尝试获取帐户名称的列表。当将值设置为 0,或未定义值时,则匿名连接将能够列出帐户名称和共享名称的枚举。应该注意的是即使有值将设置为 1 时,虽然用户界面工具,系统将不列出帐户名,不存在 Win32 编程接口来支持单个名称查找不将限制匿名连接。

使用多域模式的 Windows NT 网络可以限制匿名连接而不会丢失的功能。在规划禁用匿名连接的初始步骤是为资源域中的管理员,LSA 将注册表项值更改前将受信任的帐户域中的成员添加到特定的本地组,作为所需。从受信任的帐户域中使用帐户登录的用户将继续使用已经过身份验证的连接获取的帐户名称,来管理安全访问控制列表。

限制匿名共享名称列表

服务器服务,用于提供远程文件访问共享资源,还将使用 LSA 注册表值,才,可以控制是否匿名连接可以获取共享名称的列表。因此,管理员可以设置一个注册表配置项若要定义系统如何响应通过匿名登录的枚举请求的值。

限制匿名远程注册表访问

Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 的热修复程序的安装中删除匿名用户远程连接到注册表的能力。匿名用户不能连接到注册表,并不能读取或写入任何注册表数据。注意,Windows NT 4.0 域用户使用的注册表项的访问控制列表的注册表限制远程访问:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
在此项上的 ACL 标识身份验证的用户可以远程连接到注册表。Windows NT 4.0 服务器,默认情况下,只允许管理员远程注册表访问权限。Winreg\AllowedPaths 子项标识经过身份验证的用户没有明确授予访问的 ACL 可用于访问打印机和其他系统操作 winreg 注册表的特定部分。在 Windows NT 4.0 工作站将远程注册表访问限制在这些系统上,可能会定义 winreg 项。 Winreg 注册表项的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
153183 如何限制对 NT 注册表的访问,从远程计算机

已通过身份验证的用户内置组

在创建新的内置组安装 Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 的修复程序称为"已验证用户"。经过身份验证的用户组是类似于"Everyone"组中,两者之间有一个重要的区别: 匿名登录用户 (或空会话连接) 永远不会是经过身份验证的用户组的成员。经过身份验证的用户的内置安全标识符是 S-1-5-11。已验证网络连接,从服务器的 Windows NT 域中的任何帐户或任何受信任的服务器的域的域被标识为未经过身份验证的用户。经过身份验证的用户组是可用于授予安全 ACL 编辑器中的资源的访问权限。Windows NT 4.0 Service Pack 3 和 Windows NT 3.51 的热修复程序不要修改要更改访问权限对每个人使用经过身份验证的用户授予任意访问控制列表。

Windows NT 3.51 的修补程序

Windows NT 3.51 修补程序已被发送到下面的网址:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ 修补程序-postSP5/秒-修复


属性

文章编号: 143474 - 最后修改: 2014年2月9日 - 修订: 7.0
这篇文章中的信息适用于:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Server 3.51
关键字:?
kbenv kbinfo kbnetwork kbmt KB143474 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 143474
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com