Cómo utilizar el valor del Registro RestrictAnonymous en Windows 2000

Id. de artículo: 246261 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E246261
Importante
 Este artículo contiene información acerca de cómo se modifica el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad del Registro y cómo restaurarlo y modificarlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986
(http://support.microsoft.com/kb/256986/ )
Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo pueden utilizar los administradores el valor del Registro RestrictAnonymous en un equipo basado en Windows 2000 para restringir el acceso a las conexiones anónimas.
Volver al principio | Enviar comentarios

Más información

Advertencia
 Pueden producirse graves problemas si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Un administrador puede configurar un equipo basado en Windows 2000 para evitar que un registro anónimo tenga acceso a todos los recursos, con la excepción de aquellos recursos a los que se haya dado explícitamente acceso al usuario anónimo. Para controlar este comportamiento, utilice uno de los métodos siguientes.

Nota
 Si se está ejecutando Licencias de Terminal Server en el equipo basado en Windows 2000, otros servidores que tienen Terminal Services habilitado no podrán pedir licencias de él.

Complemento Directiva de seguridad local de MMC

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad local.

    Nota
     Si no puede realizar este paso porque "Herramientas administrativas" no aparece en la lista Programas, haga clic en Inicio, señale Configuración, Panel de control, haga clic en Herramientas administrativas y, a continuación, en Directiva de seguridad local. Vaya después al paso dos.
  2. Bajo Configuración de seguridad, haga doble clic en Directivas locales y, después, haga clic en Opciones de seguridad.
  3. Haga doble clic en Restricciones adicionales para conexiones anónimas y, a continuación, haga clic en No obtener acceso sin permisos anónimos explícitos bajo Configuración de directiva local.
  4. Reinicie el equipo miembro o el controlador de dominio para que surta efecto el cambio.

Valor del Registro RestrictAnonymous

Utilice el Editor del Registro para ver la clave del Registro siguiente y, a continuación, agregue el valor siguiente a esta clave; o modifíquela si el valor ya existe:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Valor: RestrictAnonymous
Tipo del valor: REG_DWORD
Información del valor: 0x2 (Hex)

Reinicie el equipo después de cualquier cambio en la clave RestrictAnonymous del Registro.

Cuando el valor del Registro RestrictAnonymous se establece en 2, el token de acceso creado para los usuarios no autenticados no incluye el grupo Todos, por lo que ya no tiene acceso a esos recursos que conceden permisos al grupo Todos. Esto podría producir un comportamiento no deseado, porque muchos servicios de Windows 2000, así como programas de otros fabricantes, se basan en las capacidades de acceso anónimas para realizar las tareas legítimas.

Por ejemplo, cuando un administrador de un dominio que confía desea conceder a un usuario acceso local a un dominio de confianza, quizá sea necesario enumerar los usuarios del dominio de confianza. Dado que el dominio de confianza no puede autenticar al administrador del dominio que confía, puede utilizarse una enumeración anónima. Debe considerarse la ventaja de restringir las capacidades de los usuarios anónimos desde una perspectiva de seguridad, teniendo en cuenta los requisitos correspondientes de los servicios y programas que necesitan acceso anónimo para tener una funcionalidad completa.

Cuando el valor RestrictAnonymous se establece en 2 en el Registro para un controlador de dominio basado en Windows 2000, se restringen las tareas siguientes:
  • Las estaciones de trabajo o servidores de nivel inferior no pueden configurar un canal seguro de netlogon.
  • Los controladores de dominio de nivel inferior de los dominios que confían no pueden configurar un canal seguro de netlogon.
  • Los usuarios de Microsoft Windows NT no pueden cambiar su contraseña cuando ésta ha caducado. Tampoco, los usuarios de Macintosh pueden cambiar su contraseña en ninguna circunstancia.
  • El servicio Examinador no puede recuperar listas del dominio o listas de servidores desde los examinadores de copia de seguridad, los examinadores principales o los examinadores principales de dominio que estén ejecutándose en equipos con el valor RestrictAnonymous del Registro configurado en 2. Por esta razón no funcionará correctamente un programa que se base en el servicio Examinador.
Por estos resultados, en los entornos de modo mixto que incluyan clientes de nivel inferior no se recomienda configurar en 2 el valor RestrictAnonymous del Registro. Sólo debe considerar la posibilidad de configurar en 2 el valor RestrictAnonymous del Registro en entornos de Windows 2000 y sólo después de que se hayan hecho suficientes comprobaciones de aseguramiento de la calidad para garantizar que se mantiene la funcionalidad del programa y los niveles adecuados del servicio.

Nota
 Las plantillas de alta seguridad predefinidas configuran en 2 el valor RestrictAnonymous del Registro, razón por la cual hay que tener precaución al utilizarlas.. Para obtener más información acerca del valor RestrictAnonymous del Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
178640
(http://support.microsoft.com/kb/178640/ )
No se encontró el controlador de dominio al establecer una confianza
RestrictAnonymous se configura cambiando la clave del Registro a 0 o a 1 para Windows NT 4.0, o a 0, 1 ó 2 en el caso de Windows 2000. Estos números corresponden a las configuraciones siguientes:

0 Ninguna. Se basa en los permisos predeterminados

1 No permite la enumeración de nombres y cuentas SAM

2 No permite acceso sin permisos anónimos explícitos
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 246261 - Última revisión: jueves, 17 de noviembre de 2005 - Versión: 5.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbenv kbhowto kbnetwork KB246261
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio