限制對匿名登入使用者可用的資訊

文章翻譯 文章翻譯
文章編號: 143474 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

Windows NT 有的功能匿名登入使用者可以列出網域使用者名稱和列舉共用名稱。想要增強的安全性的客戶所要求能力選擇性地限制此功能。 Windows NT 4.0 Service Pack 3 和 Windows NT 3.51 的 Hotfix 提供機制讓系統管理員,在清單的帳戶名稱限制 (也稱為 NULL 工作階段連線) 的匿名登入使用者的能力,並列舉共用名稱。列出從網域控制站的帳戶名稱所需的 Windows NT ACL 編輯器、,例如以取得清單的使用者和群組選取誰使用者想要授與存取權限。正在列出帳戶名稱是也使用 Windows NT 檔案總管來從使用者和群組] 清單中選取要授予存取權的共用。

其他相關資訊

根據單一的 Windows NT 網域的 Windows NT 網路永遠可以驗證清單網域帳戶資訊的連線。使用多個網域的 Windows NT 網路可能需要匿名使用者登入到清單的帳戶資訊。簡短範例顯示如何匿名連線使用。請考慮兩個 Windows NT 網域、 帳戶網域和資源網域。資源網域有單向信任關係與帳戶網域。也就是資源網域的 「 信任 」 帳戶的網域,但帳戶網域不信任資源網域。 來自帳戶網域的使用者可以驗證和存取單向信任為基礎的資源網域中的資源。假設在資源網域系統管理員想要授與存取權給使用者來自帳戶網域的檔案。他們會想要從帳戶網域來選取使用者/群組授與存取權限取得使用者和群組的清單。因為帳戶網域不信任資源網域,系統管理員要求從資源網域取得使用者及群組清單無法通過驗證。連線時使用 NULL 工作階段來取得網域使用者帳戶的清單。

有類似情況何處取得使用匿名連線的帳戶名稱允許使用者介面工具,包括 Windows NT 檔案總管]、 [使用者管理員] 和 [ACL 編輯器來管理和管理存取控制跨多個 Windows NT 網域的資訊。另一個範例在資源網域中使用使用者管理員來從受信任的帳戶網域新增使用者到本機群組。將帳戶網域使用者加入至資源網域中的本機群組的一種方法是手動輸入已知的網域 \ 名稱,可新增存取,而不由帳戶網域取得完整的清單的名稱。另一種方法是在資源網域信任的帳戶網域中使用的帳戶系統的登入。

想要限制匿名連線,從列出帳戶名稱可以控制這項作業在安裝 Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 Hotfix 之後的 Windows NT 環境。

安裝 Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 Hotfix 之後, 要需要清單帳戶名稱只有通過驗證的使用者,並排除匿名連線這麼做,系統管理員需要對登錄進行下列變更:

警告: 不當使用 「 登錄編輯器 」 可能會導致嚴重的全系統的問題,可能必須重新安裝 Windows NT 以更正。 Microsoft 無法保證任何因使用登錄編輯程式所造成的問題可以獲得解決。使用此工具,請自行負擔相關的風險。
  1. 執行登錄編輯程式 」 (Regedt32.exe)。
  2. 請移至下列登錄機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. 在 [編輯] 功能表按一下新增值],然後使用下列項目:

    數值名稱: RestrictAnonymous
    資料類型: REG_DWORD
    值: 1
  4. 結束 [登錄編輯程式,並重新啟動電腦,變更才會生效。


附註遠端存取登錄可能仍然可以之後請您依照本文如果 RestrictNullSessAccess 登錄值已建立,且設定為 0。這個值允許遠端存取登錄,藉由使用 Null 工作階段。值會覆寫其他明確限制設定。

登錄值的目的是要設定本機系統原則來驗證是否需要執行常見的列舉型別函式。需要驗證,以取得帳戶名稱清單是選擇性功能。時 RestrictAnonymous 值設為 1,匿名連線從安全性管理的圖形化使用者介面工具就會收到的拒絕存取錯誤時嘗試取得帳戶名稱的清單。匿名連線時 RestrictAnonymous 值設定為 [0,或未定義值,都能夠列出帳戶名稱,並列舉共用名稱。請注意甚至以 RestrictAnonymous 設為 1,值雖然使用者介面工具與系統將清單的帳戶名稱,有 Win32 程式設計介面以支援個別的名稱查閱,不要限制匿名連線。

Windows NT 網路使用多重網域模型可以限制匿名連線而不會遺失的功能。規劃要停用匿名連線的初始步驟是在資源網域的系統管理員新增至視特定的本機群組的受信任的帳戶網域的成員,才變更 LSA RestrictAnonymous 登錄項目的值。使用來自受信任的帳戶網域的帳戶登入的使用者會繼續使用已驗證的連線來取得的帳戶名稱來管理安全性存取控制清單。

限制匿名的共用名稱的清單

提供共用資源的存取遠端檔案伺服器服務也會使用 LSA 登錄值 RestrictAnonymous,來控制是否匿名連線可以取得共用名稱的清單。因此,系統管理員可以設定單一的登錄設定項目來定義系統回應方式的列舉型別要求由匿名登入的值。

限制匿名遠端登錄存取

Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 Hotfix 的安裝移除匿名使用者從遠端連線到登錄的能力。匿名使用者無法連接至登錄並不能讀取或寫入登錄的任何資料。為一個提醒 Windows NT 4.0 會限制由登錄機碼上使用存取控制清單的網域使用者登錄遠端存取:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
這個機碼 ACL 識別已驗證的使用者允許從遠端連線到登錄。Windows NT 4.0 Server 預設情況下,只允許系統管理員遠端登錄存取。winreg\AllowedPaths 子機碼識別已驗證的不明確授與存取由 winreg ACL 可用於印表機存取和其他系統作業的使用者登錄的特定部份。winreg 機碼可能會定義在 Windows NT 4.0 工作站限制這些系統的遠端登錄存取。 如需 winreg 機碼的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
153183如何限制對 NT 登錄的存取,從遠端電腦

已驗證的使用者內建群組

新內建會建立一個群組時安裝 Windows NT 4.0 Service Pack 3 或 Windows NT 3.51 Hotfix 稱為驗證使用者。 已驗證的使用者群組是類似於"Everyone"群組以外的重要區別在於: 匿名登入的使用者 (或 NULL 工作階段連線) 永遠不會是 「 已驗證的使用者 」 群組的成員。內建的安全性識別元已驗證的使用者是 S-1-5-11。伺服器的 Windows NT 網域中的任何帳戶或伺服器的網域所信任的網域驗證網路連線便會被視為已驗證的使用者。驗證 Users 群組是可用的授與安全性 ACL 編輯器中的資源的存取權限。Windows NT 4.0 Service Pack 3 與 Windows NT 3.51 Hotfix 請勿修改任何的存取控制清單來變更存取權限授與 Everyone 使用已驗證的使用者。

Windows NT 3.51 Hotfix

Windows NT 3.51 Hotfix 已發佈至下列網際網路位置:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/ hotfixes-postSP5/sec-fix


屬性

文章編號: 143474 - 上次校閱: 2007年3月27日 - 版次: 2.3
這篇文章中的資訊適用於:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT Server 3.51
關鍵字:?
kbmt kbenv kbinfo kbnetwork KB143474 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:143474
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com