Como usar o valor do Registro RestrictAnonymous no Windows 2000

Este artigo descreve como os administradores podem usar o valor do registro RestrictAnonymous em um computador com Windows 2000 para restringir o acesso em conexões anônimas.

Aviso Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do Registro ou outro método. Esses problemas podem exigir a reinstalação do seu sistema operacional. A Microsoft não pode garantir que esses problemas podem ser resolvidos. A modificação do Registro é de sua responsabilidade.

O administrador pode configurar um computador com Windows 2000 a fim de impedir o acesso por meio de logon anônimo a todos os recursos, com exceção dos recursos para os quais o usuário anônimo pode ter recebido acesso. Para controlar esse comportamento, use um dos seguintes métodos.

Observação Se o Licenciamento do Terminal Server estiver em execução no computador com Windows 2000, outros servidores que possuem os serviços de terminal habilitados não poderão solicitar licenças por ele.

Snap-In do MMC da diretiva de segurança local

1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Diretiva de segurança local.
   
   Observação Se não for possível executar essa etapa porque as "Ferramentas administrativas" não aparecem na lista de programas, clique em Iniciar, aponte para Configurações, aponte para Painel de controle, clique em Ferramentas administrativas e clique em Diretiva de segurança local. Em seguida, vá para a etapa 2.
2. Em Configurações de segurança, clique duas vezes em Diretivas locais e depois em Opções de segurança.
3. Clique duas vezes em Restrições adicionais para conexões anônimas e clique em Sem acesso sem permissões anônimas explícitas em Configuração de diretiva local.
4. Reinicie o computador membro ou o controlador de domínio para que a alteração tenha efeito.

Valor do Registro RestrictAnonymous

Use o Editor de Registro para visualizar a seguinte chave do registro e adicione o seguinte valor a essa chave ou modifique-a se o valor já existir: Valor: RestrictAnonymous
Tipo do valor: REG_DWORD
Dados do valor: 0x2 (Hex)

Reinicie o computador depois de qualquer alteração na chave RestrictAnonymous do registro.

Quando o valor do registro RestrictAnonymous for definido como 2, o token de acesso criado para os usuários não-autenticados não contém o grupo Todos e, devido a isso, o token de acesso não tem mais acesso a esses recursos que concedem permissões ao grupo Todos. Isso poderia causar um comportamento indesejado porque vários serviços do Windows 2000, bem como os programas de terceiros, contam com recursos de acesso anônimos para executar as tarefas de legitimação.

Por exemplo, quando um administrador em um domínio de confiança quiser conceder acesso local a um usuário em um domínio confiável, poderá haver a necessidade de enumerar os usuários nesse domínio. Visto que o domínio confiável não pode autenticar o administrador no domínio de confiança, pode ser usada uma enumeração anônima. Os benefícios de se restringir os recursos dos usuários anônimos a partir de uma perspectiva de segurança devem ser ponderados em relação aos requisitos correspondentes dos serviços e programas que contam com o acesso anônimo para executar a funcionalidade.

As seguintes tarefas são restringidas quando o valor do registro RestrictAnonymous for definido como 2 em um controlador de domínio baseado em Windows 2000:

• As estações de trabalho ou servidores em níveis mais inferiores na hierarquia não podem configurar um canal seguro de netlogon.
• Os controladores de domínio em níveis mais inferiores nos domínios de confiança não podem configurar um canal seguro de netlogon.
• Os usuários do Microsoft Windows NT não podem alterar suas senhas depois que elas expirarem. Da mesma forma, os usuários de Macintosh não podem alterar suas senhas.
• O serviço de Navegador não pode recuperar as listas de domínio ou de servidor a partir de navegadores de backup, navegadores mestres ou navegadores mestres de domínio em execução em computadores com o valor do registro RestrictAnonymous definido como 2. Por causa disso, qualquer programa que conta com o serviço de Navegador não funciona corretamente.

Por causa desses resultados, não se recomenda definir o valor do registro RestrictAnonymous como 2 nos ambientes de modo misto que possuem os clientes de nível mais baixo. A definição do valor do registro RestrictAnonymous como 2 deve apenas ser considerado apenas em ambientes do Windows 2000 e após testes suficientes de garantia de qualidade terem verificado que os níveis de serviço adequados e de funcionalidade de programa são mantidos.

Observação Os modelos de segurança de "Alta Segurança" pré-definidos definem o valor do Registro RestrictAnonymous como 2 e, por causa disso, deve-se ter cuidado ao usar esses modelos. Para obter informações adicionais sobre o valor do Registro RestrictAnonymous, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: RestrictAnonymous é definido por alterar a chave do registro para 0 ou 1 para o Windows NT 4.0 ou 0, 1 ou 2 para Windows 2000. Esses números correspondem às seguintes configurações:

0 Nenhuma. Conta com as permissões padrão

1 Não permite a enumeração de nomes e contas SAM

2 Nenhum acesso sem permissões anônimas explícitas