Jak używać wartości rejestru RestrictAnonymous w systemie Windows 2000

Ważne: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis Rejestru systemu Microsoft Windows

Streszczenie

W tym artykule opisano sposób, w jaki administratorzy mogą używać wartości rejestru RestrictAnonymous na komputerach z systemem Windows 2000 w celu ograniczenia dostępu przez połączenia anonimowe.

Więcej informacji

OSTRZEŻENIE: Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.

Administrator może skonfigurować komputer z systemem Windows 2000, tak aby uniemożliwić dostęp logowania anonimowego do wszystkich zasobów, z wyjątkiem tych, do których użytkownikowi anonimowemu jawnie przyzna dostęp. Do sterowania tym zachowaniem można zastosować jedną z następujących metod:

Przystawka programu MMC Zasady zabezpieczeń lokalnych

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zasady zabezpieczeń lokalnych.

    Uwaga: Jeśli nie możesz wykonać tego kroku, ponieważ menu Programy nie zawiera polecenia „Narzędzia administracyjne”, kliknij przycisk Start, wskaż polecenie Ustawienia, wskaż polecenie Panel sterowania, kliknij polecenie Narzędzia administracyjne, a następnie kliknij ikonę Zasady zabezpieczeń lokalnych. Przejdź do kroku drugiego.
  2. W folderze Ustawienia zabezpieczeń kliknij dwukrotnie pozycję Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
  3. Kliknij dwukrotnie pozycję Dodatkowe ograniczenia dla połączeń anonimowych, a następnie kliknij opcję Brak dostępu bez wyraźnych zezwoleń anonimowych w obszarze Ustawienie zasad lokalnych.
  4. Uruchom ponownie komputer członkowski lub kontroler domeny, aby zmiany zaczęły obowiązywać.

Wartość rejestru RestrictAnonymous

Użyj Edytora rejestru, aby wyświetlić następujący klucz rejestru, a następnie dodaj następującą wartość do tego klucza lub zmodyfikuj ją, jeśli ta wartość już istnieje:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Wartość: RestrictAnonymous
Typ wartości: REG_DWORD
Dane wartości: 0x2 (Hex)

Uruchom ponownie komputer po wprowadzeniu każdej zmiany w kluczu RestrictAnonymous w rejestrze.

Jeśli wartość rejestru RestrictAnonymous jest ustawiona na 2, token dostępu zbudowany dla użytkowników nieuwierzytelnionych nie zawiera grupy Wszyscy i z tego powodu nie ma on już dostępu do tych zasobów, do których przyznano uprawnienia grupie Wszyscy. Może to spowodować niepożądane zachowanie, ponieważ wiele usług systemu Windows 2000 (również programy innych firm) korzysta z możliwości dostępu anonimowego w celu wykonania właściwych zadań.

Jeśli na przykład administrator w domenie ufającej chce przyznać dostęp użytkownikowi w domenie zaufanej, może zaistnieć potrzeba wyliczenia użytkowników w domenie zaufanej. Ponieważ administrator w domenie ufającej nie może być uwierzytelniony przez domenę zaufaną, może być użyte wyliczenie anonimowe. Rozważając korzyści wynikające z ograniczenia możliwości użytkowników anonimowych ze względów bezpieczeństwa, należy wziąć również pod uwagę odpowiednie wymagania usług i programów, których funkcje muszą korzystać z dostępu anonimowego.

Możliwość wykonywania następujących zadań jest ograniczona, jeśli na kontrolerze domeny systemu Windows 2000 wartość rejestru RestrictAnonymous jest ustawiona na 2:

  • Stacje robocze lub serwery członkowskie niższego poziomu nie mogą ustanowić bezpiecznego kanału usługi Netlogon.
  • Kontrolery domeny niższego poziomu w domenach ufających nie mogą ustanowić bezpiecznego kanału usługi Netlogon.
  • Użytkownicy systemu Microsoft Windows NT nie mogą zmienić swoich haseł po ich wygaśnięciu. Ponadto użytkownicy komputerów Macintosh nie mogą zmienić swoich haseł.
  • Usługa przeglądarki nie może pobierać list domen ani list serwerów z przeglądarek zapasowych, przeglądarek głównych ani przeglądarek głównych domen, które działają na komputerach, w których wartość rejestru RestrictAnonymous ustawiono na 2. Z tego powodu żaden program korzystający z usługi przeglądarki nie będzie działał poprawnie.
W związku z tym nie zaleca się ustawiania wartości rejestru RestrictAnonymous na 2 w środowiskach w trybie mieszanym obejmujących klientów niższego poziomu. Ustawienie wartości rejestru RestrictAnonymous na 2 należy brać pod uwagę jedynie w środowiskach systemu Windows 2000 i tylko po upewnieniu się, że odpowiednie poziomy usług i funkcje programów zostaną zachowane.

Uwaga: Wstępnie zdefiniowane szablony zabezpieczeń o wysokim stopniu bezpieczeństwa ustawiają wartość rejestru RestrictAnonymous na 2 i dlatego używając ich należy zachować ostrożność.

Aby uzyskać dodatkowe informacje dotyczące wartości rejestru RestrictAnonymous, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
178640 Could Not Find Domain Controller When Establishing a Trust
Wartość rejestru RestrictAnonymous można ustawić, zmieniając ją na 0 lub 1 w przypadku systemu Windows NT 4.0 albo na 0, 1 lub 2 w przypadku systemu Windows 2000. Te cyfry odpowiadają następującym ustawieniom:

0 Brak. Polegaj na zezwoleniach domyślnych

1 Nie zezwalaj na wyliczanie kont i udziałów SAM

2 Brak dostępu bez wyraźnych zezwoleń anonimowych
Właściwości

Identyfikator artykułu: 246261 — ostatni przegląd: 11.02.2004 — zmiana: 1

Opinia