Como usar o valor do Registro RestrictAnonymous no Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 246261 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Faça um backup do Registro antes de modificá-lo. Verifique se sabe como restaurar o Registro caso ocorra algum problema. Para obter informações adicionais sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como os administradores podem usar o valor do registro RestrictAnonymous em um computador com Windows 2000 para restringir o acesso em conexões anônimas.

Mais Informações

Aviso Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do Registro ou outro método. Esses problemas podem exigir a reinstalação do seu sistema operacional. A Microsoft não pode garantir que esses problemas podem ser resolvidos. A modificação do Registro é de sua responsabilidade.

O administrador pode configurar um computador com Windows 2000 a fim de impedir o acesso por meio de logon anônimo a todos os recursos, com exceção dos recursos para os quais o usuário anônimo pode ter recebido acesso. Para controlar esse comportamento, use um dos seguintes métodos.

Observação Se o Licenciamento do Terminal Server estiver em execução no computador com Windows 2000, outros servidores que possuem os serviços de terminal habilitados não poderão solicitar licenças por ele.

Snap-In do MMC da diretiva de segurança local

  1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Diretiva de segurança local.

    Observação Se não for possível executar essa etapa porque as "Ferramentas administrativas" não aparecem na lista de programas, clique em Iniciar, aponte para Configurações, aponte para Painel de controle, clique em Ferramentas administrativas e clique em Diretiva de segurança local. Em seguida, vá para a etapa 2.
  2. Em Configurações de segurança, clique duas vezes em Diretivas locais e depois em Opções de segurança.
  3. Clique duas vezes em Restrições adicionais para conexões anônimas e clique em Sem acesso sem permissões anônimas explícitas em Configuração de diretiva local.
  4. Reinicie o computador membro ou o controlador de domínio para que a alteração tenha efeito.

Valor do Registro RestrictAnonymous

Use o Editor de Registro para visualizar a seguinte chave do registro e adicione o seguinte valor a essa chave ou modifique-a se o valor já existir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Valor: RestrictAnonymous
Tipo do valor: REG_DWORD
Dados do valor: 0x2 (Hex)

Reinicie o computador depois de qualquer alteração na chave RestrictAnonymous do registro.

Quando o valor do registro RestrictAnonymous for definido como 2, o token de acesso criado para os usuários não-autenticados não contém o grupo Todos e, devido a isso, o token de acesso não tem mais acesso a esses recursos que concedem permissões ao grupo Todos. Isso poderia causar um comportamento indesejado porque vários serviços do Windows 2000, bem como os programas de terceiros, contam com recursos de acesso anônimos para executar as tarefas de legitimação.

Por exemplo, quando um administrador em um domínio de confiança quiser conceder acesso local a um usuário em um domínio confiável, poderá haver a necessidade de enumerar os usuários nesse domínio. Visto que o domínio confiável não pode autenticar o administrador no domínio de confiança, pode ser usada uma enumeração anônima. Os benefícios de se restringir os recursos dos usuários anônimos a partir de uma perspectiva de segurança devem ser ponderados em relação aos requisitos correspondentes dos serviços e programas que contam com o acesso anônimo para executar a funcionalidade.

As seguintes tarefas são restringidas quando o valor do registro RestrictAnonymous for definido como 2 em um controlador de domínio baseado em Windows 2000:
  • As estações de trabalho ou servidores em níveis mais inferiores na hierarquia não podem configurar um canal seguro de netlogon.
  • Os controladores de domínio em níveis mais inferiores nos domínios de confiança não podem configurar um canal seguro de netlogon.
  • Os usuários do Microsoft Windows NT não podem alterar suas senhas depois que elas expirarem. Da mesma forma, os usuários de Macintosh não podem alterar suas senhas.
  • O serviço de Navegador não pode recuperar as listas de domínio ou de servidor a partir de navegadores de backup, navegadores mestres ou navegadores mestres de domínio em execução em computadores com o valor do registro RestrictAnonymous definido como 2. Por causa disso, qualquer programa que conta com o serviço de Navegador não funciona corretamente.
Por causa desses resultados, não se recomenda definir o valor do registro RestrictAnonymous como 2 nos ambientes de modo misto que possuem os clientes de nível mais baixo. A definição do valor do registro RestrictAnonymous como 2 deve apenas ser considerado apenas em ambientes do Windows 2000 e após testes suficientes de garantia de qualidade terem verificado que os níveis de serviço adequados e de funcionalidade de programa são mantidos.

Observação Os modelos de segurança de "Alta Segurança" pré-definidos definem o valor do Registro RestrictAnonymous como 2 e, por causa disso, deve-se ter cuidado ao usar esses modelos. Para obter informações adicionais sobre o valor do Registro RestrictAnonymous, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
178640 Não foi possível encontrar o controlador de domínio ao estabelecer uma relação de confianca
RestrictAnonymous é definido por alterar a chave do registro para 0 ou 1 para o Windows NT 4.0 ou 0, 1 ou 2 para Windows 2000. Esses números correspondem às seguintes configurações:

0 Nenhuma. Conta com as permissões padrão

1 Não permite a enumeração de nomes e contas SAM

2 Nenhum acesso sem permissões anônimas explícitas

Propriedades

ID do artigo: 246261 - Última revisão: quarta-feira, 19 de outubro de 2005 - Revisão: 5.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbhowto kbenv kbnetwork KB246261

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com