Grupo Todos no incluye el identificador de seguridad anónimo

Seleccione idioma Seleccione idioma
Id. de artículo: 278259 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En Microsoft Windows XP y en Microsoft Windows Server 2003, el grupo Todos no contiene el identificador de seguridad (SID) "Anónimo". Por lo tanto, los usuarios o servicios que intentan tener acceso de forma anónima a un objeto no se conceden acceso si el acceso de control de lista (ACL) en el objeto incluye el grupo todos. Sólo se concede acceso anónimo para objetos cuya ACL explícitamente contiene al SID anónimo.

Más información

En los equipos que ejecutan Windows, ACL y SID controlan el acceso a recursos. Cada recurso tiene una ACL que contiene los SID de todos los usuarios y grupos que se han concedido o denegado el acceso a los recursos.

Cuando los usuarios inician sesión en un equipo que ejecuta Windows, interactiva o a través de una red, se emiten un token de acceso que contiene el SID de su cuenta de usuario y de todos los grupos de seguridad que la cuenta de usuario es un miembro de. Cuando el usuario intenta tener acceso a un recurso, Windows comprueba los SID de testigo de acceso del usuario contra las ACL del recurso. Si los SID coinciden, el usuario se concede acceso al recurso que se especifica en la ACL. Si no coinciden con los SID, el usuario se deniega el acceso.

Los usuarios anónimos (usuarios o servicios de acceso a los recursos a través de una conexión de red mediante clic en un nombre de cuenta de usuario null, el dominio y la contraseña) se agregan automáticamente al grupo de seguridad integrada de inicio de sesión anónimo. En versiones anteriores de Windows, miembros del grupo de seguridad anónimo tienen acceso a muchos recursos. En algunos casos, si los administradores no son compatibles con que se incluye como miembros de todos los miembros del grupo de seguridad anónimo de grupo de seguridad, los usuarios anónimos pueden se conceder acceso a recursos que están pensadas sólo para los usuarios autenticados.

En Windows XP y versiones posteriores, el grupo de seguridad de inicio de sesión anónimo se ha quitado el todos grupo de seguridad. Esta modificación ayuda a limitar el número de recursos de red que están disponibles de forma predeterminada a los usuarios anónimos y para simplificar el control de los administradores de red de acceso de usuario anónimo. Debido a que el grupo Todos ya no incluye usuarios anónimos, resulta más fácil para los administradores configurar un sistema seguro para los siguientes motivos:
  • Las ACL predeterminadas en versiones anteriores de Windows (especialmente en Windows NT 4.0) que permiten todos al grupo para tener acceso a los recursos de seguridad y pueden exponer el sitio a un ataque, no conceda acceso a los usuarios anónimos después de actualiza el equipo a Windows XP.
  • Los usuarios anónimos no se conceden acceso a recursos que el administrador no tiene constancia de.
  • Los usuarios anónimos pueden concederse explícitamente acceso a recursos específicos mediante el grupo de seguridad inicio de sesión anónimo claramente con nombre.
Nota Esta mejora de seguridad está presente sólo en equipos que ejecutan Windows XP o posterior. Por tanto, los usuarios anónimos sólo que están intentando tener acceso a recursos que están alojadas en equipos que están ejecutando Windows XP o posterior se verá afectados.

Implementación

Para implementar esta mejora de seguridad, debe cambiar el contenido del testigo de acceso que se genera para los usuarios anónimos. En versiones anteriores de Windows, el token de acceso para los usuarios anónimos contiene identificadores de seguridad para:
  • Todos con el grupo de seguridad
  • El grupo de seguridad de inicio de sesión anónimo
  • El tipo de inicio de sesión (normalmente red)
En Windows XP y versiones posteriores, el grupo de seguridad se ha quitado el token de acceso para los usuarios anónimos todos. Por lo tanto, el token de acceso para los usuarios anónimos contiene identificadores de seguridad para:
  • Inicio de sesión anónimo
  • El tipo de inicio de sesión (normalmente red)
Cuando un usuario anónimo intenta obtener acceso a un recurso en un equipo que ejecuta Windows XP o posterior, no está concedido al usuario anónimo permisos o las pertenencias que están disponibles todos grupo de seguridad. El SID del todos, grupo de seguridad está presente en testigo de acceso del usuario anónimo.

Compatibilidad con versiones anteriores de Windows

Windows 2000 se introdujeron un mecanismo para cambiar la configuración recomendada de seguridad estricta a configuración de seguridad que concede a algunos usuarios anónimos el acceso a objetos de Active Directory requeridos por los servicios que se ejecutan en versiones anteriores del sistema operativo. Causa de la mejora de seguridad en Windows XP, es un ligero cambio en el funcionamiento del mecanismo de Windows 2000.

Windows 2000 introdujo la configuración de seguridad predeterminada más estricta que la configuración de seguridad que estaban disponible en Windows NT 4.0 y versiones anteriores del sistema operativo. Para ser compatible con servicios que requieren acceso anónimo a determinados datos de dominio, Windows 2000 proporciona una forma de cambiar entre la configuración de alta seguridad (preferida configuración cuando no se requiere la compatibilidad con versiones anteriores) en configuración de seguridad compatibles con versiones anteriores que concede acceso a los usuarios anónimos como es necesario por sistemas que ejecutan Windows NT 4.0 y versiones anteriores de Windows.

El grupo de seguridad acceso compatible anterior a Windows 2000, que se introdujo en Windows 2000 controla esta opción de seguridad. Compatibilidad con versiones anteriores se consigue en equipos que están ejecutando Windows 2000 haciendo clic en el todos un miembro del grupo de seguridad acceso compatible anterior a Windows 2000 del grupo de seguridad. Es posible configurar la seguridad de alta a quitar a todos los miembros del grupo acceso compatible anterior a Windows 2000.

En los controladores de dominio de Windows Server 2003, el grupo Todos ya no incluye inicio de sesión anónimo. Por lo tanto, la configuración compatible con versiones anteriores requiere que ambos todos y anónimo grupos de seguridad son miembros del grupo acceso compatible anterior a Windows 2000. Para satisfacer este requisito, utilice uno de los métodos siguientes:
  • Si promover un equipo que está ejecutando Windows Server 2003 a un controlador de dominio mediante el Asistente para la promoción de Active Directory (Dcpromo.exe), haga clic en permisos compatibles con servidores anteriores a Windows 2000 para agregar el inicio de sesión anónimo y todos los grupos de seguridad al grupo de seguridad acceso compatible anterior a Windows 2000.
  • Si va a actualizar un controlador de dominio basado en Windows 2000 a Windows Server 2003, el grupo de seguridad de inicio de sesión anónimo se agrega al grupo de seguridad acceso compatible anterior a Windows 2000 durante la actualización. Esto ocurre si el todos grupo de seguridad ya es un miembro del grupo de seguridad acceso compatible anterior a Windows 2000 (que indica la configuración de compatibilidad con versiones anteriores).
Puede cambiar manualmente entre la configuración compatible y de alta seguridad con versiones anteriores de objetos de Active Directory por actualizar la pertenencia del grupo de seguridad acceso compatible anterior a Windows 2000 mediante Active Directory Users equipos complemento y.

Compatibilidad con programas que funcionan con Windows 2000

Cuando se actualiza Windows 2000 a Windows XP, los recursos con ACL que conceda acceso a la todos grupo (y no explícitamente al grupo anónimo) ya no están disponibles para los usuarios anónimos después de la actualización. En la mayoría de los casos, esto es una restricción apropiada en acceso anónimo. No obstante, deberá permitir el acceso anónimo a estos recursos para admitir programas ya existentes. En este caso, debe agregar el grupo de seguridad de inicio de sesión anónimo explícitamente a las ACL de los recursos específicos.

En algunas situaciones, podría resultar difícil determinar qué recurso en el equipo que ejecuta Windows XP debe conceder acceso anónimo. También puede ser difícil de modificar permisos en todos los recursos necesarios.

En estas situaciones, quizás tenga que forzar el equipo que está ejecutando Windows XP para incluir el grupo de seguridad de inicio de sesión anónimo en todos grupo de seguridad. Para admitir esta funcionalidad, Windows XP presenta un nuevo valor del Registro EveryoneIncludesAnonymous . Este valor puede utilizarse para pasar a la predeterminada de Windows XP comportamiento (todos grupo de seguridad no incluye inicio de sesión anónimo grupo de seguridad) y el comportamiento de Windows 2000 (todos grupo de seguridad incluye el grupo de seguridad de inicio de sesión anónimo).

Cuando se genera el testigo de acceso para un usuario anónimo, el valor de registro EveryoneIncludesAnonymous se establece al valor de REG_DWORD 0 x 0 , la autoridad de seguridad local (LSA) del equipo que ejecuta Windows XP no incluye el SID de todos grupo de seguridad de testigo de acceso del usuario anónimo. Ésta es la configuración predeterminada.

Si el valor del Registro EveryoneIncludesAnonymous se establece al valor de REG_DWORD 0 x 1 , la LSA incluye el SID de todos grupo de seguridad de testigo de acceso del usuario anónimo.

Para establecer el valor del Registro EveryoneIncludesAnonymous , utilice cualquiera de los métodos siguientes.

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
  • Para establecer el valor del Registro EveryoneIncludesAnonymous mediante la configuración de seguridad local:
    1. Haga clic en Inicio , seleccione programas , Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad local o Directiva de seguridad de dominio (de sólo controladores de dominio).
    2. Haga clic en Configuración de seguridad , haga doble clic en Directivas locales y, a continuación, haga clic en Opciones de seguridad .
    3. Haga clic con el botón secundario en apliquen Let Everyone permisos a los usuarios anónimos y, a continuación, haga clic en Propiedades .
    4. Para permitir que ser miembros de todos los usuarios anónimos seguridad del grupo, haga clic en habilitada . Para evitar la inclusión de todos grupo de seguridad SID en testigo de acceso del usuario anónimo (el valor predeterminado de Windows XP), haga clic en deshabilitado .
  • Para establecer el valor del registro EveryoneIncludesAnonymous mediante el Editor del registro:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
    2. Busque y haga clic en la siguiente clave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. Haga clic con el botón secundario del mouse en EveryoneIncludesAnonymous y, a continuación, haga clic en Modificar .
    4. Para permitir que ser miembros de todos los usuarios anónimos seguridad grupo, en el cuadro datos del valor , escriba 1 . Para evitar la inclusión de todos grupo de seguridad SID en token de acceso del usuario anónimo (el predeterminado de Windows XP), en el cuadro datos del valor , escriba 0 .
    5. Salga del Editor del Registro.
Nota Este cambio puede afectar las siguientes tecnologías basados en Windows: Com, DCOM, IIS, MSMQ y cualquier otra tecnología donde con frecuencia se emplea la autenticación anónima.

Propiedades

Id. de artículo: 278259 - Última revisión: jueves, 22 de febrero de 2007 - Versión: 4.5
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Palabras clave: 
kbmt kbacl kbinfo KB278259 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 278259

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com