Τρόπος χρήσης της τιμής μητρώου RestrictAnonymous στα Windows 2000

Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες σχετικά με την τροποποίηση του μητρώου. Βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Βεβαιωθείτε ότι γνωρίζετε τους τρόπους επαναφοράς του μητρώου εάν παρουσιαστεί κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, επαναφοράς και τροποποίησης του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
256986 Περιγραφή του μητρώου των Microsoft Windows

Περίληψη

Αυτό το άρθρο περιγράφει τον τρόπο χρήσης της τιμής μητρώου RestrictAnonymous από τους διαχειριστές, σε υπολογιστή που βασίζεται στα Windows 2000, για τον περιορισμό της πρόσβασης μέσω ανώνυμων συνδέσεων.

Περισσότερες πληροφορίες

Προειδοποίηση Ενδέχεται να προκύψουν σοβαρά ζητήματα σε περίπτωση λανθασμένης τροποποίησης του μητρώου με χρήση του Επεξεργαστή Μητρώου (Registry Editor) ή άλλης μεθόδου. Λόγω αυτών των ζητημάτων, ενδέχεται να χρειαστεί εκ νέου εγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα ζητήματα αυτά είναι δυνατό να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.

Ένας διαχειριστής μπορεί να ρυθμίσει τις παραμέτρους ενός υπολογιστή που βασίζεται στα Windows 2000 για να αποτρέψει την ανώνυμη πρόσβαση σε όλους τους πόρους, με την εξαίρεση των πόρων στους οποίους έχει παραχωρηθεί ρητά πρόσβαση στους ανώνυμους χρήστες. Για να ελέγξετε αυτήν τη συμπεριφορά, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.

Σημείωση Εάν η υπηρεσία Terminal Server Licensing εκτελείται σε υπολογιστή με Windows 2000, οι υπόλοιποι διακομιστές που έχουν ενεργοποιημένες τις υπηρεσίες Terminal Services δεν θα έχουν τη δυνατότητα να ζητήσουν άδειες από αυτήν.

Συμπληρωματικό πρόγραμμα τοπικής πολιτικής ασφαλείας (Local Security Policy) της Κονσόλας διαχείρισης της Microsoft (MMC)

  1. Κάντε κλικ στο κουμπί Έναρξη (Start), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Προγράμματα (Programs), έπειτα τοποθετήστε το δείκτη του ποντικιού στην επιλογή Εργαλεία διαχείρισης (Administrative Tools) και κατόπιν κάντε κλικ στην επιλογή Τοπική πολιτική ασφαλείας (Local Security Policy).

    Σημείωση Αν δεν μπορείτε να εκτελέσετε αυτό το βήμα επειδή τα Εργαλεία διαχείρισης (Administrative Tools) δεν εμφανίζονται στη λίστα προγραμμάτων, κάντε κλικ στο μενού Έναρξη (Start), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Ρυθμίσεις (Settings), τοποθετήστε το δείκτη του ποντικιού στην επιλογή Πίνακας Ελέγχου (Control Panel), κάντε κλικ στο εικονίδιο Εργαλεία διαχείρισης (Administrative Tools) και, στη συνέχεια, κάντε κλικ στην επιλογή Τοπική πολιτική ασφαλείας (Local Security Policy). Στη συνέχεια, προχωρήστε στο βήμα δύο.
  2. Στην περιοχή Security Settings, κάντε διπλό κλικ στο στοιχείο Local Policies και, στη συνέχεια, κάντε κλικ στην επιλογή Security Options.
  3. Κάντε διπλό κλικ στο στοιχείο Additional restrictions for anonymous connections και, στη συνέχεια, κάντε κλικ στην επιλογή No access without explicit anonymous permissionsστην περιοχή Local policy setting.
  4. Κάντε επανεκκίνηση του υπολογιστή-μέλους ή του ελεγκτή τομέα για να ισχύσει η αλλαγή.

Τιμή μητρώου RestrictAnonymous

Χρησιμοποιήστε τον Επεξεργαστή μητρώου (Registry Editor) για να προβάλετε το ακόλουθο κλειδί μητρώου και, στη συνέχεια, προσθέστε την ακόλουθη τιμή σε αυτό το κλειδί ή τροποποιήστε την, αν υπάρχει ήδη:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Τιμή: RestrictAnonymous
Τύπος τιμής: REG_DWORD
Δεδομένα τιμής: 0x2 (Hex)

Κάντε επανεκκίνηση του υπολογιστή έπειτα από κάθε αλλαγή στο κλειδί RestrictAnonymous του μητρώου.

Όταν η τιμή μητρώου RestrictAnonymous έχει οριστεί σε 2, ο κωδικός (token) πρόσβασης που δημιουργήθηκε για τους μη εξουσιοδοτημένους χρήστες δεν περιλαμβάνει την ομάδα Everyone και, επομένως, ο κωδικός (token) πρόσβασης δεν παρέχει πλέον πρόσβαση στους πόρους που εκχωρούν δικαιώματα στην ομάδα Everyone. Αυτό θα μπορούσε να προκαλέσει ανεπιθύμητη συμπεριφορά, επειδή πολλές από τις υπηρεσίες των Windows 2000, όπως τα προγράμματα άλλων κατασκευαστών, βασίζονται σε δυνατότητες ανώνυμης πρόσβασης για την εκτέλεση νόμιμων εργασιών.

Για παράδειγμα, όταν ένας διαχειριστής αξιόπιστου τομέα θέλει να παραχωρήσει τοπική πρόσβαση σε ένα χρήστη αξιόπιστου τομέα, μπορεί να παρουσιαστεί ανάγκη απαρίθμησης των χρηστών του αξιόπιστου τομέα. Επειδή ο αξιόπιστος τομέας δεν έχει δυνατότητα ελέγχου ταυτότητας του διαχειριστή στον αξιόπιστο τομέα, μπορεί να χρησιμοποιηθεί μια ανώνυμη απαρίθμηση. Τα πλεονεκτήματα περιορισμού των δυνατοτήτων των ανώνυμων χρηστών από πλευράς ασφαλείας πρέπει να σταθμιστούν έναντι των αντίστοιχων απαιτήσεων των υπηρεσιών και των προγραμμάτων που βασίζονται στην ανώνυμη πρόσβαση για να έχουν πλήρη λειτουργικότητα.

Οι παρακάτω εργασίες περιορίζονται όταν η τιμή μητρώου RestrictAnonymous έχει οριστεί σε 2 σε έναν ελεγκτή τομέα που βασίζεται στα Windows 2000:
  • Οι σταθμοί εργασίας-μέλη ή οι διακομιστές-μέλη προηγούμενων εκδόσεων δεν έχουν τη δυνατότητα εγκατάστασης ενός καναλιού ασφαλείας netlogon.
  • Οι ελεγκτές τομέα προηγούμενων εκδόσεων που βρίσκονται σε αξιόπιστους τομείς δεν έχουν τη δυνατότητα εγκατάστασης ενός καναλιού ασφαλείας netlogon.
  • Οι χρήστες των Microsoft Windows NT δεν έχουν τη δυνατότητα αλλαγής των κωδικών πρόσβασής τους μετά τη λήξη τους. Επίσης, οι χρήστες Macintosh δεν έχουν καμία δυνατότητα αλλαγής των κωδικών πρόσβασής τους.
  • Η υπηρεσία αναζήτησης (Browser) δεν έχει τη δυνατότητα ανάκτησης καμίας λίστας τομέων ή διακομιστών από προγράμματα αναζήτησης αντιγράφων ασφαλείας, κύρια προγράμματα αναζήτησης ή κύρια προγράμματα αναζήτησης τομέα τα οποία εκτελούνται σε υπολογιστές στους οποίους η τιμή μητρώου RestrictAnonymous έχει οριστεί σε 2. Για αυτόν το λόγο, όλα τα προγράμματα που βασίζονται στην υπηρεσία αναζήτησης (Browser) δεν λειτουργούν σωστά.
Λόγω αυτών των αποτελεσμάτων, δεν συνιστάται ο ορισμός της τιμής μητρώου RestrictAnonymous σε 2, σε περιβάλλοντα μικτής κατάστασης λειτουργίας τα οποία περιλαμβάνουν προγράμματα-πελάτες προηγούμενων εκδόσεων. Ο ορισμός της τιμής μητρώου RestrictAnonymous σε 2 πρέπει να πραγματοποιείται μόνο σε περιβάλλοντα με Windows 2000 και μετά την εκτέλεση ικανοποιητικών δοκιμών εξασφάλισης ποιότητας με τις οποίες επιβεβαιώνεται ότι διατηρούνται τα κατάλληλα επίπεδα υπηρεσιών και η λειτουργικότητα των προγραμμάτων.

Σημείωση Τα προκαθορισμένα πρότυπα ασφαλείας High Secure ορίζουν την τιμή μητρώου RestrictAnonymous σε 2 και, επομένως, τα πρότυπα αυτά πρέπει να χρησιμοποιούνται με προσοχή. Για περισσότερες πληροφορίες σχετικά με την τιμή μητρώου RestrictAnonymous, κάντε κλικ στον ακόλουθο αριθμό άρθρου, για να προβάλετε το άρθρο στη Γνωσιακή Βάση της Microsoft (Knowledge Base):
178640 Δεν είναι δυνατή η εύρεση ελεγκτή τομέα κατά τη δημιουργία μιας σχέσης αξιοπιστίας

Η τιμή RestrictAnonymous ορίζεται αλλάζοντας την τιμή μητρώου σε 0 ή 1 για τα Windows NT 4.0 και σε 0, 1 ή 2 για τα Windows 2000. Οι αριθμοί αυτοί αντιστοιχούν στις παρακάτω ρυθμίσεις:

0 None. Rely on default permissions

1 Do not allow enumeration of SAM accounts and names

2 No access without explicit anonymous permissions
Ιδιότητες

Αναγνωριστικό άρθρου: 246261 - Τελευταία αναθεώρηση: 22 Δεκ 2005 - Αναθεώρηση: 1

Σχόλια