A beállításjegyzék (rendszerleíró adatbázis) távoli számítógépről történő elérésének korlátozása

Ezt a cikket korábban a következõ néven tették közzé: HU153183
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
A cikk Microsoft Windows XP rendszerre vonatkozó változata a következő: 314837 (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.).
Fontos! A cikk a beállításjegyzék módosításával is foglalkozik. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
256986 A Microsoft Windows rendszerleíró adatbázisának ismertetése
Összefoglaló
A beállításszerkesztő eszköz (Rendszerleíróadatbázis-szerkesztő) támogatja a Windows beállításjegyzékének távoli elérését, ugyanakkor korlátozható is ez a hozzáférés.
További információ
Alapértelmezés szerint Windows NT 3.51 rendszerben bármely hálózaton keresztül kapcsolódó felhasználó hozzáférhet a beállításjegyzékhez. Windows NT 4.0 vagy újabb rendszerben alapértelmezés szerint csak a Rendszergazdák csoport érheti el hálózaton keresztül a beállításjegyzéket.

A tartományi felhasználók a Regedit.exe segédprogram segítségével kapcsolódhatnak távolról az adott tartomány beállításjegyzékéhez. A HKEY_CLASSES_ROOT és a HKEY_USERS bejegyzés értékeit tekinthetik meg, és csak olvasási hozzáféréssel rendelkeznek. Ez szándékosan van így.

Megjegyzés: Bizonyos szolgáltatásoknak a megfelelő működés érdekében hozzáférésre van szükségük a beállításjegyzékhez. Ha például hozzáadja az alábbi kulcsot egy címtár-replikációs szolgáltatást futtató NT 3.51 rendszerhez, a replikáló fiók számára hozzáférést kell biztosítani a beállításjegyzékhez. Ennek módját a cikk egy későbbi része ismerteti.

A beállításjegyzék hálózati elérésének korlátozása

Figyelem: A beállításszerkesztő (Rendszerleíróadatbázis-szerkesztő) helytelen használata az operációs rendszer újratelepítését is szükségessé tehető, komoly problémákhoz vezethet. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, A beállításszerkesztőt csak saját felelősségére használhatja.
Megjegyzés: Windows 2000 vagy újabb rendszerben alapértelmezés szerint csak a rendszergazdák és a biztonságimásolat-felelősök érhetik el hálózaton keresztül a beállításjegyzéket. Előfordulhat, hogy az ebben a részben szereplő információk bizonyos esetekre nem érvényesek. A beállításjegyzék hálózati elérésének korlátozásához hozza létre az alábbi beállításkulcsot (korábbi nevén rendszerleíró kulcs) a következőképpen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Név: Description
Típus: REG_SZ
Érték: Beállításjegyzék-kiszolgáló
Az ennél a kulcsnál beállított biztonsági engedélyek határozzák meg, hogy mely felhasználók és csoportok kapcsolódhatnak a rendszerhez a beállításjegyzék távoli eléréséhez. Az alapértelmezett Windows-telepítés létrehozza ezt a kulcsot, és a következőképpen állítja be a hozzáférés-szabályozási listát a beállításjegyzék távoli elérésének korlátozására:
A rendszergazdák jogköre teljes
A Windows alapértelmezett konfigurációja csak a rendszergazdák számára engedélyezi a beállításjegyzék távoli elérését. A beállításjegyzék távoli elérésének engedélyezését célzó kulcsmódosítások csak a rendszer újraindítása után lépnek érvénybe.

A beállításjegyzék elérését korlátozó beállításkulcs létrehozása:
  1. Indítsa el a Rendszerleíróadatbázis-szerkesztőt (Regedt32.exe), keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. Kattintson a Szerkesztés menü Kulcs hozzáadása parancsára.
  3. Adja meg a következő értékeket:
    Kulcsnév: SecurePipeServers
    Osztály: REG_SZ
  4. Keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. Kattintson a Szerkesztés menü Kulcs hozzáadása parancsára.
  6. Adja meg a következő értékeket:
    Kulcsnév: winreg
    Osztály: REG_SZ
  7. Keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. Kattintson a Szerkesztés menü Azonosító hozzáadása parancsára.
  9. Adja meg a következő értékeket:
    Azonosítónév: Description
    Adattípus: REG_SZ
    Érték: Beállításjegyzék-kiszolgáló
  10. Keresse meg és jelölje ki a következő alkulcsot:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Kattintson a Biztonság, majd az Engedélyek elemre. Adja hozzá azokat a felhasználókat és csoportokat, amelyek számára engedélyezni kívánja a hozzáférést.
  12. Lépjen ki a Rendszerleíróadatbázis-szerkesztőből, és indítsa újra a Windows rendszert.
  13. Ha később módosítani szeretné a beállításjegyzékhez hozzáférési engedéllyel rendelkező felhasználók listáját, ismételje meg a 10–12. lépést.

A hozzáférési korlátozás megkerülése

Bizonyos szolgáltatásoknak a megfelelő működés érdekében hozzáférésre van szükségük a beállításjegyzékhez. Ha például a címtár-replikációs szolgáltatás és a nyomtatásisor-kezelő szolgáltatás hálózaton keresztül kapcsolódik egy nyomtatóhoz, el kell érniük a távoli beállításjegyzéket.

Ezt kétféleképpen biztosíthatja: adja hozzá a szolgáltatást futtató fiók nevét a „winreg” kulcs hozzáférési listájához, vagy konfigurálja úgy a Windows rendszert, hogy kerülje meg azoknak a kulcsoknak a hozzáférési korlátozását, amelyeket hozzáad az AllowedPaths kulcs Machine (Számítógép) vagy Users (Felhasználók) értékeihez.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Azonosítónév:     Machine   Azonosítótípus:   REG_MULTI_SZ (karakterláncsor)   Alapértelmezett értékek: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                 System\CurrentControlSet\Services\Replicator   Az érvényes értékek tartománya: A beállításjegyzékben érvényes elérési utak.   Az azonosító funkciója: Az értéklistában felsorolt beállításbejegyzések számítógépek általi elérése,                 hacsak külön korlátozás nem vonatkozik egy adott bejegyzése.   Azonosítónév:     Users   Azonosítótípus:   REG_MULTI_SZ (karakterláncsor)   Alapértelmezett értékek: (Nincs alapértelmezett érték)   Az érvényes értékek tartománya: A beállításjegyzékben érvényes elérési utak.   Az azonosító funkciója: Az értéklistában felsorolt beállításbejegyzések felhasználók általi elérése,                 hacsak külön korlátozás nem vonatkozik egy adott bejegyzése. 
A Windows 2000 és az ennél újabb rendszerekben mindez némileg módosul:
   Azonosítónév:     Machine   Azonosítótípus:   REG_MULTI_SZ (karakterláncsor)   Alapértelmezett értékek: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 system\CurrentControlSet\control\Server Applications                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                    Azonosítónév:  Users (alapértelmezés szerint nem létezik az azonosító) 
Windows beállításjegyzékének programozott módosításáról és a beállításkulcsok biztonságossá tételéről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
146906 A teljesítményadatok védelme Windows 2000, Windows NT és Windows XP rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)


Megjegyzés: Az ebben a cikkben ismertetett lépések végrehajtása után a beállításjegyzék továbbra is elérhető távolról, ha létezik a RestrictNullSessAccess rendszerbeállítási bejegyzés, és annak értéke 0. Ez az érték lehetővé teszi a beállításjegyzék távoli elérését üres munkamenetekkel, és felülír minden egyéb explicit korlátozó beállítást.
prodnt
Tulajdonságok

Cikkazonosító: 153183 - Utolsó ellenőrzés: 12/04/2015 15:00:31 - Verziószám: 8.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbnetwork KB153183
Visszajelzés