Everyone grubunun anonim güvenlik tanýmlayýcýsý içerir

Microsoft Windows XP ve Microsoft Windows Server 2003, Everyone grubu güvenlik kimliði (SID) içermiyor "Anonim" Bu nedenle, kullanýcýlar veya anonim olarak, bir nesneye eriþilmeye çalýþýldý hizmetlerin listesi (ACL) nesne üzerindeki eriþimlerini denetlemek için access, Everyone grubu içerir verilen deðil. Anonim eriþim, yalnýzca, ACL, açýkça anonim SýD'SI içeren nesneleri için verilir.

Windows çalýþtýran bilgisayarlarda, ACL ve Sýd kaynaklara eriþimi kontrol eder. Her kaynak için tüm kullanýcýlar ve gruplar, verilen veya kaynaða eriþim engellendi, Sýd içeren bir ACL vardýr.

Windows, etkileþimli olarak veya bir að üzerinden çalýþan bir bilgisayarda, kullanýcý oturum açtýðýnda, bunlarýn Sýd'lerini, kullanýcý hesaplarýný ve kullanýcý hesabýnýn üyesi olduðu tüm güvenlik gruplarý içeren bir eriþim belirtecine verilir. Windows, kullanýcý bir kaynaða eriþmeye çalýþtýðýnda, Sýd kullanýcýnýn eriþim simgesindeki kaynaðýn ACL içindeki karþý denetler. Sýd ile eþleþirse, kullanýcý ACL belirtilen kaynaða eriþim izni verilir. Sýd ile eþleþmiyorsa, kullanýcý eriþim engellendi.

Anonim kullanýcýlarýn (kullanýcý veya bir null kullanýcý hesap adý, etki alaný ve parola kullanarak, bir að baðlantýsý üzerinden kaynaklara eriþmelerine Hizmetleri), Anonymous Logon yerleþik güvenlik grubuna otomatik olarak eklenir. Windows'un önceki sürümlerinde, Anonymous Logon güvenlik grubunun üyeleri, kaynaklara eriþmek arayamayacaktýr. Yöneticiler, Anonymous Logon güvenlik grubunun üyeleri Everyone olarak içerdiði algýlamayan, bazý durumlarda, güvenlik grubunun anonim kullanýcýlar yalnýzca hedeflenen kaynaklarýna kimliði doðrulanmýþ kullanýcýlar için eriþim verilmesi.

Windows XP ve sonraki sürümlerinde, Anonymous Logon güvenlik grubunu Everyone kaldýrýlmýþtýr güvenlik grubu. Bu deðiþiklik, varsayýlan olarak anonim kullanýcýlar için kullanýlabilir að kaynaklarýnýn sayýsýný sýnýrlamak için ve að yöneticileri anonim kullanýcý eriþimi denetimi basitleþtirmek için yardýmcý olur. Everyone grubu artýk anonim kullanýcýlar içerdiðinden, aþaðýdaki nedenlerle güvenli bir sistemi yapýlandýrmak, yöneticiler için kolaydýr:

• Windows'un önceki sürümlerinde varsayýlan ACL'lerin (özellikle Windows NT 4.0), Everyone güvenlik kaynaklarýna eriþmek için Grup ve olasý saldýrý için <a0></a0>, sitenin karþý karþýya etkinleþtirmek bilgisayarý Windows XP'ye yükseltildikten sonra anonim kullanýcýlara eriþim izni vermeyin.
• Anonim kullanýcýlar, yönetici, uyumlu olan kaynaklara eriþimi verilir.
• Anonim kullanýcýlarýn açýkça açýkça adlandýrýlmýþ Anonymous Logon güvenlik grubu aracýlýðýyla belirli kaynaklara eriþim hakký verilebilir.

Not Bu güvenlik geliþtirmesi varsa, yalnýzca Windows XP çalýþan bilgisayarlarda veya sonraki bir sürümü var. Bu nedenle, Windows XP çalýþtýran bir bilgisayarda barýndýrýlan ya da daha yeni olan kaynaklara eriþmeye çalýþtýðýnýz yalnýzca anonim kullanýcýlarý etkiler.

Uygulama

Bu güvenlik geliþtirmesi uygulamak için <a0></a0>, anonim kullanýcýlar için oluþturulan eriþim belirteci içeriðini deðiþtirmeniz gerekir. Windows'un önceki sürümlerinde, anonim kullanýcýlarýn eriþim belirteci için Sýd içeriyordu:

• Everyone güvenlik grubu
• Anonymous Logon güvenlik grubunu
• Oturum açma türü (genellikle að)

Windows XP ve sonraki sürümlerinde, Everyone güvenlik grubunun anonim kullanýcýlarýn eriþim belirteci'ndan kaldýrýlmýþtýr. Bu nedenle, anonim kullanýcýlarýn eriþim belirteci için Sýd'leri içerir:

• ANONYMOUS LOGON (ANONÝM OTURUM)
• Oturum açma türü (genellikle að)

Anonim bir kullanýcý, Windows XP çalýþtýran bir bilgisayarda bir kaynaða eriþmeye veya daha sonra anonim kullanýcý izinleri veya Everyone için kullanýlabilen bir grup üyeliklerini atanmadýðý güvenlik grubu. SID için Everyone güvenlik grubunun anonim kullanýcý eriþim belirteci yok.

Windows'un önceki sürümleriyle uyumluluk

Windows 2000 iþletim sisteminin önceki sürümlerinde çalýþan hizmetler için gerekli olan Active Directory nesnelerine bazý anonim kullanýcýlarýn eriþim güvenlik ayarlarý önerilen sýký güvenlik ayarlarýný deðiþtirmek için bir düzenek kullanýlmaya baþlandý. Windows XP'deki güvenlik geliþtirmesi nedeniyle, Windows 2000 mekanizmasý çalýþma biçimini küçük bir deðiþiklik yok.

Windows 2000, Windows NT 4.0 ve önceki bir iþletim sistemi sürümlerinde kullanýlabilir olan güvenlik ayarlarý'den daha katý varsayýlan güvenlik ayarlarý kullanýlmaya baþlandý. Belirli bir etki alaný verileri anonim eriþim gerektiren hizmetleri ile uyumlu için <a0></a0>, Windows 2000 (geriye dönük uyumluluk gerekli olmadýðýnda tercih edilen yapýlandýrma) yüksek güvenlik ayarlarý arasýnda geçiþ yapmak için bir yol saðlanan Windows NT 4.0 ve Windows'un önceki sürümlerini çalýþtýran sistemleri tarafýndan gerekli gibi anonim kullanýcýlarýn eriþim geriye dönük olarak uyumlu güvenlik ayarlarýna.

Windows 2000'de kullanýlmaya baþlanmasýndan, Pre-Windows 2000 Compatible Access güvenlik grubuna, bu güvenlik seçeneði denetler. Geriye dönük uyumluluk Everyone hale getirerek Windows 2000 çalýþtýran bilgisayarlarda elde edilen güvenlik grubunu Pre-Windows 2000 Compatible Access güvenlik grubunun bir üyesi. Pre-Windows 2000 Compatible Access grubuna tüm üyelerini kaldýrarak, yüksek güvenlik ayarlarýný yapýlandýrmak arayamayacaktýr.

Windows Server 2003 etki alaný denetleyicilerinde, Herkes grubu artýk Anonymous Logon içermemektedir. Bu nedenle, geriye dönük uyumlu ayarlarý gerektiren her iki Everyone ve Anonymous Logon güvenlik gruplarýnýn Pre-Windows 2000 Compatible Access grubunun bir üyesidir. Bu gereksinimi karþýlamak için <a0></a0>, aþaðýdaki yöntemlerden birini kullanýn:

• Windows Server 2003 etki alaný denetleyicisine Active Directory Yükseltme Sihirbazý'ný kullanarak çalýþtýran bir bilgisayara yükseltme (Dcpromo.exe), Anonymous Logon ve Everyone eklemek için Windows 2000 sunucularýyla uyumlu izinler ' i güvenlik gruplarýnýn Pre-Windows 2000 Compatible Access güvenlik grubuna.
• Bir Windows 2000 tabanlý etki alaný denetleyicisini Windows Server 2003'e yükseltiyorsanýz, Anonymous Logon güvenlik grubunu, yükseltme sýrasýnda Pre-Windows 2000 Compatible Access güvenlik grubuna eklenir. Böyle, Everyone güvenlik grubu zaten (geriye dönük uyumluluk ayarlarýný gösteren) Pre-Windows 2000 Compatible Access güvenlik grubunun üyesidir.

Active Directory Kullanýcýlarý kullanarak Pre-Windows 2000 Compatible Access güvenlik grubunun üyeliði güncelleþtirme tarafýndan Active Directory nesnelerinde geriye dönük uyumlu ve yüksek güvenlik ayarlarý arasýnda el ile geçiþ yapabilirsiniz ve Bilgisayarlarý ek bileþeni.

Windows 2000 ile çalýþan programlarý ile uyumluluðu

Ne zaman Windows 2000 Kaynak için Everyone grubunun (ve açýkça Anonymous Logon grubu) artýk yükseltmeden sonra anonim kullanýcýlar tarafýndan kullanýlabilir eriþim ACL'lerini Windows XP'ye yükseltme. Çoðu durumda, anonim eriþimi uygun bir kýsýtlama budur. Ancak, önceden varolan programlarý desteklemek için bu kaynak için anonim eriþime izin vermek gereksinim duyabilirsiniz. Bu durumda, Anonymous Logon güvenlik grubunu Belirli kaynaklardaki ACL'lerin için açýkça eklemelisiniz.

Bazý durumlarda, hangi kaynak için anonim eriþimi vermelisiniz bir Windows XP çalýþtýran bilgisayarda belirlemek zor olabilir. Ayrýca tüm gerekli kaynaklar üzerindeki izinleri deðiþtirmek güç olabilir.

Bu durumda, Anonymous Logon güvenlik grubunu Everyone eklemek için Windows XP çalýþtýran bilgisayarda zorlamak gerekebilir güvenlik grubu. Bu iþlevleri desteklemek için <a0></a0>, Windows XP, yeni bir kayýt defteri deðeri Everyoneýncludesanonymous tanýtýr. Bu deðer varsayýlan Windows XP arasýnda geçiþ yapmak için kullanýlan davranýþ (Everyone güvenlik grubuna Anonymous Logon içermemektedir güvenlik grubu) ve Windows 2000 davranýþý (Everyone güvenlik grubuna Anonymous Logon güvenlik grubunu içeren).

Windows XP çalýþtýran bir bilgisayarýn yerel güvenlik yetkilisi (LSA) için bir anonim kullanýcý eriþim belirteci oluþturulduðunda Everyoneýncludesanonymous kayýt deðerini, REG_DWORD 0x0 deðerine ayarlanmýþsa, Everyone SýD'SI içermez güvenlik grubunun anonim kullanýcý eriþim belirteci. Bu, varsayýlan ayardýr.

LSA, Everyoneýncludesanonymous kayýt deðerini, REG_DWORD 0x1 deðerine ayarlý ise, Everyone SýD'SI içeren güvenlik grubunun anonim kullanýcý eriþim belirteci.

Everyoneýncludesanonymous kayýt deðerini ayarlamak için <a0></a0>, aþaðýdaki yöntemlerden birini kullanýn.

Önemli Bu bölüm, yöntem veya görev kayýt defterini nasýl söyleyin adýmlarý içerir. Ancak kayýt defterini hatalý olarak deðiþtirirseniz önemli sorunlar oluþabilir. Bu nedenle, bu adýmlarý dikkatlice uyguladýðýnýzdan emin olun. Ek koruma için, kayýt defterini deðiþtirmeden önce yedeklemeyi unutmayýn. Bir sorun oluþursa kayýt defterini daha sonra geri yükleyebilirsiniz. Kayýt defterini yedekleme ve geri yükleme hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

• Yerel güvenlik ayarlarýný kullanarak Everyoneýncludesanonymous kayýt defteri deðerini ayarlamak için <a0></a0>:
  1. Baþlat ' ý týklatýn, Programlar ' ýn üzerine gelin, Yönetimsel Araçlar ' ýn üzerine gelin ve sonra (yalnýzca etki alaný denetleyicileri üzerinde) veya Yerel güvenlik ilkesi, hem de Etki alaný güvenlik ilkesi ' ni týklatýn.
  2. Güvenlik ayarlarý ' ný týklatýn, Yerel ilkeler ' ý çift týklatýn ve sonra da Güvenlik seçenekleri ' ni týklatýn.
  3. Everyone izinlerinin anonim kullanýcýlara uygulanan ' ý sað týklatýn ve sonra da Properties ' i týklatýn.
  4. Anonim kullanýcýlarýn Everyone üyeleri etkinleþtirmek için güvenlik grubu için Etkin'i týklatýn. Güvenlik grubu SID Everyone girilmesini önlemek için anonim kullanýcý eriþim belirteci (Windows XP varsayýlan), devre dýþý ' ný týklatýn.
• Kayýt Defteri Düzenleyicisi'ni kullanarak Everyoneýncludesanonymous kayýt deðerini ayarlamak için <a0></a0>:
  1. Baþlat ' ý týklatýn, Çalýþtýr ' ý týklatýn, regedit yazýn ve Tamam ' ý týklatýn.
  2. Aþaðýdaki kayýt defteri anahtarýný bulup týklatýn:
     Hkey_local_machýne\system\currentcontrolset\control\lsa
  3. Everyoneýncludesanonymous ' ý sað týklatýn ve sonra Deðiþtir ' i týklatýn.
  4. Anonim kullanýcýlarýn Everyone üyeleri etkinleþtirmek için güvenlik grubuna, Deðer verisi kutusuna 1 yazýn. Everyone girilmesini önlemek için güvenlik Grup SýD'SI anonim kullanýcý eriþim belirteci (Windows XP varsayýlan), Deðer verisi kutusuna türü 0.
  5. Kayýt Defteri Düzenleyicisi'nden çýkýn.

Not Bu deðiþiklik, aþaðýdaki Windows tabanlý teknolojileri etkileyebilir: COM, DCOM, IIS, Message Queuing ve anonim kimlik doðrulamasý sýk kullanýlan diðer teknolojisi.