Os efeitos da remoção de sessões nulas do ambiente Microsoft Windows 2000 e Microsoft Windows NT

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 890161
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se que você sabe como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986Descrição do registro do Microsoft Windows
INTRODUÇÃO
Este artigo descreve os efeitos da remoção de sessões nulas dos ambientes Microsoft Windows 2000 e Microsoft Windows NT. Especificamente, este artigo aborda os seguintes tópicos:
  • Enumeração nos ambientes Windows 2000 e Windows NT
  • Sessões nulas e enumeração
  • Usando o valor do Registro RestrictAnonymous para controlar sessões nulas
  • Os efeitos da remoção de sessões nulas dos ambientes Windows 2000 e Windows NT
Mais Informações

Enumeração nos ambientes Windows 2000 e Windows NT

Em ambientes Windows 2000 e Windows NT, enumeração é uma técnica de coleta de informações que pode ser usada por usuários mal-intencionados. Enumeração envolve estabelecer uma conexão ativa com um computador e, em seguida, direcionando consultas a esse computador. Porque a enumeração envolve a estabelecer uma conexão ativa, os usuários devem fazer a conexão através da auditoria. Usuários mal-intencionados tentam coletar informações específicas do computador por meio de uma conexão anônima que pode ser usada em um ataque.

Para evitar ataques de enumeração em suas redes internas, a maioria das organizações usar firewalls externos para bloquear as portas e os serviços que são usados para ataques de enumeração de Windows NT e Windows 2000. Isso impede que usuários mal-intencionados em redes externas conduzir ataques de enumeração. Portanto, as seguintes condições são verdadeiras para que a maioria dos ataques de enumeração:
  • Eles são executados no ambiente de rede local (LAN) de uma organização.
  • Um invasor requer acesso à rede interna da organização.

Sessões nulas e enumeração

Por padrão, Windows 2000 e Windows NT dependem CIFS (Common Internet File System) e blocos de mensagem do servidor (SMB). SMBs incluem APIs que retornam informações sobre um computador através de portas 139 e 445. Essas informações são fornecidas mesmo para um usuário não autenticado. Uma sessão nula é uma conexão não autenticada um Windows 2000 ou em um computador baseado no Windows NT. Uma sessão nula, em seguida, pode ser usada para acessar remotamente as APIs de SMB. Sessões nulas também são conhecidas como conexões de sessão nula, logon anônimo e conexões anônimas. Em ambientes Windows 2000 e Windows NT, as sessões nulas são usadas para coletar informações sobre o seguinte:
  • Informações de rede
  • Compartilhamentos
  • Usuários e grupos
  • Chaves do registro
Redes do Windows que usam vários domínios podem exigir que logons de usuário anônimo lista informações de conta. O exemplo a seguir mostra como anônimos conexões são usados. Considere os dois domínios do Windows NT: um domínio de conta e um domínio de recurso. O domínio de recurso tem uma relação de confiança unidirecional com o domínio de conta. O domínio de recurso confia o domínio de conta, mas o domínio de conta não confia o domínio de recurso. Os usuários do domínio de conta podem autenticar e acessar recursos no domínio de recursos com base na relação de confiança unidirecional. Se um administrador no domínio de recursos deseja conceder acesso ao arquivo a um usuário do domínio de conta, o administrador terá que obter a lista de usuários e grupos do domínio de conta. O administrador seleciona, em seguida, um usuário ou grupo para conceder permissões de acesso para. Porque o domínio de conta não confia o domínio de recurso, a solicitação de administrador para obter a lista de usuários e grupos do domínio de recurso não pode ser autenticada. Portanto, uma sessão nula é usada para fazer a conexão que, por sua vez, é usada para obter a lista de usuários de domínio de conta.

Usando o valor do Registro RestrictAnonymous para controlar sessões nulas

Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir que você reinstale seu sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro por sua própria conta e risco.

A maneira mais comum para controlar sessões nulas em ambientes Windows 2000 e Windows NT é usar o valor do Registro RestrictAnonymous. O valor do Registro RestrictAnonymous permite evitar a enumeração de informações confidenciais sobre as sessões nulas. O valor do Registro RestrictAnonymous foi introduzido no Microsoft Windows NT 4.0 Service Pack 3 (SP3) e agora está incluído no Windows 2000. O valor do Registro RestrictAnonymous é adicionado à seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
O valor do Registro RestrictAnonymous permite que você configurar a diretiva computador local para determinar se a autenticação é necessária para executar funções comuns de enumeração. Há valores de registro RestrictAnonymous diferentes para Windows NT 4.0 e Windows 2000.

Em um ambiente Windows 2000, você pode definir o valor do Registro RestrictAnonymous como 0, 1 ou 2. Quando você definir esse valor do Registro como 0, conexões anônimas podem listar nomes de conta e enumerar nomes de compartilhamento. Quando você definir esse valor do Registro como 1, enumeração anônima de contas e nomes de compartilhamento não são permitidos.

Observação Mesmo com o valor de registro RestrictAnonymous definido como 1, existem interfaces de programação do Win32 que não restringem conexões anônimas. Portanto, ferramentas que usam essas interfaces ainda podem enumerar informações por meio de uma sessão nula, mesmo quando o valor do Registro RestrictAnonymous está definido como 1.

Finalmente, quando esse valor do registro é definido como 2, nenhum acesso será concedido sem permissões anônimas explícitas. Portanto, não sessões nulas são possíveis, não mesmo por meio de interfaces de programação do Win32. Em geral, não recomendamos que você definir o valor de registro RestrictAnonymous como 2 em ambientes de modo misto que incluem os computadores cliente de nível inferior, como Windows NT 4.0, Microsoft Windows 95 e Microsoft Windows 98.

Em um ambiente Windows NT 4.0, você pode definir o valor do Registro RestrictAnonymous como 0, 1 ou não definido. Quando você define esse valor como 0, ou quando esse valor não for definido, conexões anônimas podem listar nomes de conta e enumerar nomes de compartilhamento. Quando você define esse valor como 1, conexões anônimas das ferramentas de interface gráfica do usuário para o gerenciamento de segurança mensagem de erro "acesso negado" ao tentar obter a lista de nomes de conta.

Observação Mesmo quando o valor do Registro RestrictAnonymous definido como 1, não há interfaces de programação do Win32 que não restringem conexões anônimas. Portanto, ferramentas que usam essas interfaces ainda podem enumerar informações por meio de uma sessão nula, mesmo quando esse valor do registro é definido como 1.

Os seguintes recursos foram introduzidos com o valor do Registro RestrictAnonymous:
  • Grupo de usuários autenticados
  • Restringir anônima lista de nomes de compartilhamento
  • Restringindo o acesso anônimo registro remoto

Grupo de usuários autenticados

O grupo Usuários autenticados é semelhante a todos grupo, exceto para uma diferença importante: os usuários logon anônimo ou conexões de sessão nula nunca são membros do grupo Usuários autenticados. Uma conexão de rede autenticado partir de qualquer conta no domínio do servidor ou de qualquer domínio que é confiável para o domínio do servidor, é identificada como um usuário autenticado. O grupo Usuários autenticados pode conceder permissões de acesso a recursos. O recurso de grupo de usuários autenticados não modifica qualquer existente listas de controle de acesso (ACLs). Isso impede que qualquer alteração no acesso permissões que foram concedidas a esse grupo para usar o grupo Usuários autenticados.

Restringir anônima lista de nomes de compartilhamento

O serviço de servidor que fornece acesso ao arquivo remoto para compartilhar recursos também usa o valor do Registro RestrictAnonymous para controlar se conexões anônimas podem obter uma lista de nomes de compartilhamento. Portanto, você pode definir o valor da entrada de configuração de um único registro para definir como o computador responde às solicitações de enumeração por logons anônimos.

Restringindo o acesso anônimo registro remoto

O valor do Registro RestrictAnonymous também permite que você restrinja o acesso anônimo remoto ao registro. Esse recurso impede que usuários anônimos se conectem ao registro remotamente. Ele também impede os usuários anônimos de leitura ou de gravar os dados do Registro. Acesso remoto para o registro é controlado por meio a ACL na chave winreg do Registro. A ACL na chave do Registro winreg identifica os usuários autenticados que remotamente podem se conectar ao registro.

O efeito da remoção de sessões nulas de ambientes Windows 2000 e Windows NT

Habilitando o valor do Registro RestrictAnonymous no Windows 2000 e no Windows NT, você pode remover as sessões nulas de seus ambientes Windows 2000 e Windows NT. No entanto, isso afeta a funcionalidade do Windows 2000 e Windows NT e aplicativos.

Quando você define o valor do Registro RestrictAnonymous como 2 em um ambiente do Windows 2000, o token de acesso que é criado para usuários não autenticados não incluirá o todos de grupo. Portanto, esse token de acesso não tem acesso aos recursos que concedem permissões a esse grupo. Quando você define esse valor como 2 em um controlador de domínio baseados no Windows 2000, os seguintes sintomas pode aparecer:
  • Estações de trabalho membro de nível inferior ou servidores não é possível configurar um canal de segurança netlogon.
  • Domínio de nível inferior controladores em domínios confiantes não podem configurar um canal de segurança netlogon.
  • Usuários do Windows NT não é possível alterar suas senhas depois que suas senhas expiram. Além disso, os usuários de Macintosh não podem alterar suas senhas em todos os.
  • O serviço Pesquisador não é possível recuperar listas de domínio ou servidor de listas de localizadores de backup, de localizadores mestre ou de domínio mestre navegadores que estão sendo executados em computadores onde o valor de registro RestrictAnonymous é definido como 2. Portanto, qualquer programa que depende o serviço de localizador não funciona corretamente.
Em resumo, recomendamos que você definir o valor do Registro RestrictAnonymous como 0 em ambientes de modo misto que incluem os computadores cliente de nível inferior. Considere definir o valor do Registro RestrictAnonymous como 2 somente em ambientes Windows 2000. No entanto, considere fazer isso somente depois de testes de garantia de qualidade suficientes verificou que os níveis de serviço apropriado e funcionalidade do programa são mantidos.
Referências
Para obter mais informações sobre a configuração restringir anônimo para 0, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
823659Cliente, serviço e incompatibilidades do programa que podem ocorrer quando você modificar as configurações de segurança e atribuições de direitos do usuário
Para obter mais informações sobre o efeito da remoção de sessões nulas domínios e relações de confiança, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
178640Não encontrou o controlador de domínio ao estabelecer uma relação de confiança
296405O valor do Registro "RestrictAnonymous" pode quebrar a relação de confiança a um domínio do Windows 2000
135060Acesso negado ao tentar alterar a senha de domínio do cliente
293127O serviço NET logon de um BDC do Windows NT 4.0 não funciona em um domínio do Windows 2000
129457Acesso RestrictAnonymous habilitado permite conexões anônimas obter a diretiva de senha
198941Os usuários não é possível alterar a senha ao fazer logon
196289Clientes SP3 não é possível alterar senhas - erro C00000BE
192126Adicionar estação de trabalho falha com RestrictAnonymous
Para obter mais informações sobre o efeito da remoção de sessões nulas no SMS, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
311257Recursos não são descobertos se conexões anônimas estiverem desativados
312512Se a descoberta de rede não é possível conectar anonimamente a cliente após a instalação de cliente remoto
Para obter mais informações sobre o efeito da remoção de sessões nulas no Exchange Server, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
319879Clientes MAPI não é possível exibir a lista de endereços global e resolver nomes
309622Os clientes não é possível navegar a lista de endereços global após aplicar o hotfix de segurança Q299687 Windows 2000
272726Os administradores são capazes de Procurar usuário lista de domínios não confiáveis
260870Restringir anônimo impede que a descoberta de domínio do Windows NT 4.0
Para obter mais informações sobre como restringir as informações disponíveis para usuários de logon anônimo, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
143474Restringindo informações disponíveis para usuários de logon anônimo
246261Como usar o valor do Registro RestrictAnonymous no Windows 2000
Consulte também Hacking expostos Windows 2000: segredos de segurança de rede e soluções Joel Scambray e Stuart McClure.

Os produtos de terceiros mencionados neste artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 890161 - Última Revisão: 12/09/2015 01:56:22 - Revisão: 3.1

Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT 4.0 Service Pack 3, Microsoft Windows NT Server, Enterprise Edition, Microsoft Windows NT Server 4.0, Terminal Server Edition, Microsoft Windows NT Server 3.51, Microsoft Windows NT Workstation 3.51

  • kbnosurvey kbarchive kbmt kbhowto KB890161 KbMtpt
Comentários