Le groupe tout le monde n'inclut pas d'identificateur de sécurité anonyme

Numéro d'article: 278259 - Voir les produits auxquels s'applique cet article
Traduction automatiqueATTENTION : Cet article est issu du système de traduction automatique
Agrandir tout | Réduire tout

Sommaire

Résumé

Dans Microsoft Windows XP et Microsoft Windows Server 2003, le groupe tout le monde ne contient pas l'identificateur de sécurité (SID) «Anonymous». Par conséquent, les utilisateurs ou les services qui tentent d'accéder anonymement à un objet ne sont pas accordées accès si l'accès contrôle de liste (ACL) sur l'objet inclut le groupe tout le monde. Accès anonyme est accordé uniquement pour les objets dont ACL contient explicitement le SID anonyme.
Retour au début | Envoyer des commentaires

Plus d'informations

Sur les ordinateurs qui exécutent Windows, ACL et les SID de contrôlent l'accès aux ressources. Chaque ressource a une liste de contrôle d'accès qui contient les SID de tous les utilisateurs et groupes qui ont été accordées ou refuser l'accès à la ressource.

Lorsque les utilisateurs ouvrent une session un ordinateur fonctionnant sous Windows, interactivement ou via un réseau, il est délivré un jeton d'accès qui contient les identificateurs de sécurité de leur compte d'utilisateur et de tous les groupes de sécurité le compte d'utilisateur est membre. Lorsque l'utilisateur tente d'accéder à une ressource, Windows vérifie les identificateurs SID dans le jeton d'accès de l'utilisateur par rapport à celles ACL de la ressource. S'ils correspondent, l'utilisateur peut accéder à la ressource spécifiée dans la liste de contrôle d'accès. S'ils ne correspondent pas, l'utilisateur se voit refuser l'accès.

Les utilisateurs anonymes (utilisateurs ou services qui accèdent aux ressources via une connexion réseau à l'aide d'un nom de compte d'utilisateur null, le domaine et le mot de passe) sont automatiquement ajoutés au groupe de sécurité intégré Anonymous Logon. Dans les versions antérieures de Windows, les membres du groupe de sécurité Anonymous Logon sont en mesure d'accéder aux nombreuses ressources. Dans certains cas, si les administrateurs ne sont pas membres du groupe de sécurité Anonymous Logon sont inclus en tant que membres de tout le monde groupe de sécurité, les utilisateurs anonymes peuvent accéder aux ressources qui sont uniquement destinés pour les utilisateurs authentifiés.

Dans Windows XP et versions ultérieures, le groupe de sécurité Anonymous Logon a été supprimé de tout le monde groupe de sécurité. Cette modification permet de limiter le nombre de ressources réseau sont disponibles par défaut aux utilisateurs anonymes et pour simplifier le contrôle aux administrateurs de réseau de l'accès utilisateur anonyme. Dans la mesure où le groupe tout le monde comprend plus les utilisateurs anonymes, il est plus facile pour les administrateurs de configurer un système sécurisé pour les raisons suivantes :
  • Les listes de contrôle d'accès par défaut sur les versions antérieures de Windows (notamment Windows NT 4.0) qui permettent de tout le monde sécurité regrouper pour accéder aux ressources et potentiellement exposer le site aux attaques, n'accordez pas l'accès aux utilisateurs anonymes après mise à niveau de l'ordinateur vers Windows XP.
  • Les utilisateurs anonymes ne bénéficient pas de l'accès à des ressources de l'administrateur n'a pas connaissance des.
  • Les utilisateurs anonymes peuvent explicitement avoir accès à des ressources spécifiques par le biais du groupe de sécurité Anonymous Logon clairement nommé.
Remarque Cette amélioration de la sécurité est présent uniquement sur les ordinateurs qui exécutent Windows XP ou version ultérieure. Par conséquent, les utilisateurs anonymes qui tentent d'accéder aux ressources qui sont hébergés sur des ordinateurs qui exécutent Windows XP ou version ultérieure sont affectés.

Mise en oeuvre

Pour implémenter cette amélioration de la sécurité, vous devez modifier le contenu du jeton d'accès qui est généré pour les utilisateurs anonymes. Dans les versions antérieures de Windows, le jeton d'accès pour les utilisateurs anonymes contenues SID pour :
  • Tout le monde groupe de sécurité
  • Le groupe de sécurité ouverture de session anonyme
  • Le type d'ouverture de session (généralement Network)
Dans Windows XP et versions ultérieures, le tout le monde groupe de sécurité a été supprimé à partir du jeton d'accès pour les utilisateurs anonymes. Par conséquent, le jeton d'accès pour les utilisateurs anonymes contient des identificateurs SID pour :
  • Ouverture de session anonyme
  • Le type d'ouverture de session (généralement Network)
Lorsqu'un utilisateur anonyme tente d'accéder à une ressource sur un ordinateur qui exécute Windows XP ou version ultérieure, l'utilisateur anonyme est accordé pas autorisations ou les appartenances aux groupes qui sont disponibles pour tout le monde groupe de sécurité. L'identificateur de sécurité pour tout le monde groupe de sécurité est présent dans le jeton d'accès de l'utilisateur anonyme.

Compatibilité avec les versions antérieures de Windows

Windows 2000 a introduit un mécanisme pour changer les paramètres de sécurité stricte recommandés aux paramètres de sécurité auxquels l'accès aux objets Active Directory requis par les services qui s'exécutent sur des versions précédentes du système d'exploitation accordé certains utilisateurs anonymes. En raison de l'amélioration de la sécurité dans Windows XP, il est une légère modification de la façon dont fonctionne le mécanisme de 2000 de Windows.

Windows 2000 a introduit des paramètres de sécurité plus strictes que les paramètres de sécurité qui étaient disponibles dans Windows NT 4.0 et versions antérieures du système d'exploitation. Pour être compatible avec les services qui nécessitent l'accès anonyme à certaines données de domaine, Windows 2000 fourni permet de basculer entre les paramètres de haute sécurité (la configuration par défaut lorsque la compatibilité ascendante n'est pas nécessaire) aux paramètres de sécurité compatible en amont qui accordent l'accès aux utilisateurs anonymes est nécessaire par les systèmes qui exécutent Windows NT 4.0 et les versions antérieures de Windows.

Le groupe de sécurité accès compatible pré-Windows 2000, qui a été introduit dans Windows 2000, contrôle ce choix de sécurité. La compatibilité ascendante est réalisée sur les ordinateurs qui exécutent Windows 2000 en effectuant tout le monde un membre du groupe de sécurité accès compatible pré-Windows 2000 du groupe de sécurité. Vous êtes en mesure de configurer les paramètres de haute sécurité en supprimant tous les membres du groupe Accès Compatible pré-Windows 2000.

Sur les contrôleurs de domaine Windows Server 2003, le groupe tout le monde contient plus d'ouverture de session anonyme. Par conséquent, les paramètres compatibles en amont qui nécessitent les deux le tout le monde et groupes de sécurité Anonymous Logon sont membres du groupe accès de compatible pré-Windows 2000. Pour satisfaire cette exigence, appliquez une des méthodes suivantes :
  • Si vous promouvez un ordinateur qui exécute Windows Server 2003 vers un contrôleur de domaine à l'aide de l'Assistant promotion de Active Directory (Dcpromo.exe), cliquez sur autorisations compatibles avec les serveurs de versions antérieures à Windows 2000 pour ajouter l'ouverture de session anonyme et tout le monde au groupe de sécurité accès compatible pré-Windows 2000, les groupes de sécurité.
  • Si vous effectuez une mise à niveau d'un contrôleur de domaine Windows 2000 vers Windows Server 2003, le groupe de sécurité Anonymous Logon est ajouté au groupe de sécurité accès compatible pré-Windows 2000 au cours de la mise à niveau. Cela se produit si tout le monde groupe de sécurité est déjà membre du groupe de sécurité accès compatible pré-Windows 2000 (indiquant les paramètres de compatibilité ascendante).
Vous pouvez manuellement basculer entre les paramètres compatibles et haute sécurité vers l'arrière sur les objets Active Directory en mettant à jour l'appartenance au groupe de sécurité accès compatible pré-Windows 2000 à l'aide de Active Directory Users et Computers un composant logiciel enfichable.

Compatibilité avec les programmes qui fonctionnent avec Windows 2000

Lorsque vous effectuez une mise à niveau Windows 2000 vers Windows XP, ressources avec des ACL qui accordent l'accès à tout le monde groupe (et non explicitement pour le groupe Anonymous Logon) ne sont plus disponibles aux utilisateurs anonymes après la mise à niveau. Dans la plupart des cas, cette restriction est appropriée l'accès anonyme. Toutefois, vous devrez peut-être autoriser l'accès anonyme à ces ressources pour la prise en charge de programmes préexistants. Dans ce cas, vous devez explicitement ajouter le groupe de sécurité Anonymous Logon les listes de contrôle d'accès sur les ressources spécifiques.

Dans certaines situations, il peut être difficile de déterminer quelle ressource sur l'ordinateur qui exécute Windows XP, vous devez autoriser l'accès anonyme à. Il peut également être difficile de modifier les autorisations sur toutes les ressources nécessaires.

Dans ces situations, vous devrez peut-être forcer l'ordinateur qui exécute Windows XP pour inclure le groupe de sécurité Anonymous Logon dans tout le monde groupe de sécurité. Pour prendre en charge cette fonctionnalité, Windows XP introduit une nouvelle valeur de Registre EveryoneIncludesAnonymous. Cette valeur peut être utilisée pour basculer entre la valeur par défaut Windows XP comportement (tout le monde groupe de sécurité n'inclut pas l'ouverture de session anonyme groupe de sécurité) et le comportement de Windows 2000 (tout le monde groupe de sécurité comprend le groupe de sécurité Anonymous Logon).

Lorsque le jeton d'accès pour un utilisateur anonyme est généré si la valeur de Registre EveryoneIncludesAnonymous est définie à la valeur de REG_DWORD 0 x 0, l'autorité de sécurité locale (LSA, Local Security Authority) de l'ordinateur qui exécute Windows XP n'inclut pas le SID de tout le monde groupe de sécurité dans le jeton d'accès de l'utilisateur anonyme. Il s'agit du paramètre par défaut.

Si la valeur de Registre EveryoneIncludesAnonymous est définie sur la valeur de REG_DWORD 0 x 1, le LSA inclut le SID de tout le monde groupe de sécurité dans le jeton d'accès de l'utilisateur anonyme.

Pour définir la valeur de Registre EveryoneIncludesAnonymous, appliquez une des méthodes suivantes.

Important Cette section, la méthode ou la tâche contient vous explique comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que vous procédez comme suit. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre en cas de problème. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756
(http://support.microsoft.com/kb/322756/ )
Comment faire pour sauvegarder et restaurer le Registre de Windows
  • Pour définir la valeur de Registre EveryoneIncludesAnonymous à l'aide des paramètres de sécurité locale :
    1. Cliquez sur Démarrer, pointez sur programmes, pointez sur Outils d'administration et puis cliquez sur Stratégie de sécurité locale ou Stratégie de sécurité du domaine (sur les contrôleurs de domaine uniquement).
    2. Cliquez sur Paramètres de sécurité, double-cliquez sur Stratégies locales et cliquez sur Options de sécurité.
    3. Cliquez avec le bouton droit sur Let Everyone autorisations s'appliquent aux utilisateurs anonymes, puis cliquez sur Propriétés.
    4. Pour permettre aux utilisateurs anonymes peuvent être membres de tout le monde sécurité de groupe, cliquez sur activé. Pour empêcher l'inclusion de tout le monde SID du groupe de sécurité dans le jeton d'accès de l'utilisateur anonyme (valeur par défaut de Windows XP), cliquez sur désactivé.
  • Pour définir la valeur de Registre EveryoneIncludesAnonymous à l'aide de l'Éditeur du Registre :
    1. Cliquez sur Démarrer, cliquez sur exécuter, tapez regedit, puis cliquez sur OK.
    2. Recherchez et cliquez sur la clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. Cliquez avec le bouton droit sur EveryoneIncludesAnonymous, puis cliquez sur Modifier.
    4. Pour permettre aux utilisateurs anonymes d'être membres de tout le monde du groupe de sécurité, dans la zone de données de la valeur, tapez 1. Pour empêcher l'inclusion de tout le monde SID du groupe de sécurité dans le jeton d'accès de l'utilisateur anonyme (valeur par défaut de Windows XP), dans la zone de données de la valeur type 0.
    5. Quittez l'Éditeur du Registre.
Remarque Ce changement peut avoir une incidence sur les Technologies Windows suivantes: Com, DCOM, IIS, Message Queuing et toute autre technologie où l'authentification anonyme est fréquemment employée.
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 278259 - Dernière mise à jour: jeudi 22 février 2007 - Version: 4.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional
Mots-clés : 
kbmt kbacl kbinfo KB278259 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 278259
(http://support.microsoft.com/kb/278259/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début