Как ограничить доступ к реестру на удаленном компьютере

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 153183
Внимание
Данная статья относится к Windows 2000. Поддержка для Windows 2000 заканчивается 13 июля 2010 г. В Центр решений для завершения технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Дополнительные сведения см. Политики жизненного цикла поддержки Майкрософт.
Thisarticle версии Microsoft Windows XP см.314837.
Внимание
Данная статья относится к Windows 2000. Поддержка для Windows 2000 заканчивается 13 июля 2010 г. В Центр решений для завершения технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Дополнительные сведения см. Политики жизненного цикла поддержки Майкрософт.
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
Редактор реестра обеспечивает удаленный доступ к реестру Windows; Тем не менее можно ограничить доступ.
Дополнительная информация
По умолчанию в системе Windows NT 3.51 любой пользователь может получить доступ к реестра, при подключении по сети. В системе Windows NT 4.0 и более поздних версий по умолчанию только члены группы «Администраторы» обеспечивает доступ к реестру по сети.

Пользователи домена могут удаленно подключаться к реестра контроллера домена с помощью Regedit.exe. Затем они могут просматривать значения в записи HKEY_CLASSES_ROOT и в записи HKEY_USERS. Тем не менее они будут иметь доступ только для чтения. Данное поведение является особенностью операционной системы.

Примечание Некоторые службы необходим доступ к системному реестру для надлежащей. Например если добавить этот раздел в систему 3.51, на котором выполняется репликация каталогов, необходимо предоставить доступ учетной записи репликации в реестр, как описано далее в этой статье.

Ограничение доступа к сети в реестр

Важно Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому точно выполняйте следующие действия. Для дополнительной защиты создайте резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для дополнительных сведений о способах создания резервной копии и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как провести резервное копирование и восстановление реестра Windows
Примечание В Windows 2000 и более поздних версий только администраторы и операторы архива имеют доступ к сети по умолчанию в реестре. В некоторых случаях данный раздел не относится. Чтобы ограничить доступ к сети в реестр, выполните действия, перечисленные ниже, для создания раздела реестра.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Имя: описание
Тип: REG_SZ
Значение: Сервер реестра
Разрешения безопасности для этого ключа определяют, какие пользователи или группы могут подключиться к системе для удаленного доступа к реестру. Установки Windows по умолчанию этот ключ определяет и устанавливает список управления доступом для ограничения удаленного доступа к реестру следующим образом:
Администраторы имеют полный доступ
Конфигурации по умолчанию для Windows позволяет использовать только администраторы удаленного доступа к реестру. Изменения в этот раздел, чтобы разрешить пользователям удаленный доступ к реестру требуют перезагрузки системы вступили в силу.

Чтобы создать раздел реестра для ограничения доступа к реестру:
  1. Запустите редактор реестра (Regedt32.exe) и перейдите к подразделу экран:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  2. В меню Правка выберите команду Добавить раздел.
  3. Введите следующие значения:
    Имя ключа: SecurePipeServers
    Класс: REG_SZ
  4. Перейти к следующему подразделу:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  5. В меню Правка выберите команду Добавить раздел.
  6. Введите следующие значения:
    Имя ключа: winreg
    Класс: REG_SZ
  7. Перейти к следующему подразделу:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  8. В меню Правка выберите пункт Добавить значение.
  9. Введите следующие значения:
    Значение имени: описание
    Тип данных: REG_SZ
    Строка: Сервер реестра
  10. Перейдите к следующему подразделу.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
  11. Выберите «winreg». Перейдите на вкладку Безопасность и нажмите кнопку разрешения. Добавьте пользователей или группы, для которых будет grantaccess.
  12. Закройте редактор реестра и перезапустите систему Windows.
  13. Если в дальнейшем требуется изменить в списке usersthat доступ к реестру, повторите действия 10-12.

Обход ограничений доступа

Некоторые службы требуют удаленный доступ к системному реестру для надлежащей. Например службу репликации каталогов и служба диспетчера очереди печати при подключении к принтеру по сети требуется доступ к удаленному реестру.

Можно либо добавить имя учетной записи, что служба выполняется под список доступа раздела «winreg» или можно настроить Windows на обход ограничений доступа к определенным разделам, перечислив их в значении компьютера или пользователей в разделе AllowedPaths.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
   Value:        Machine   Value Type:   REG_MULTI_SZ - Multi string   Default Data: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                 System\CurrentControlSet\Services\Replicator   Valid Range:  A valid path to a location in the registry.   Description:  Allow machines access to listed locations in the                 registry provided that no explicit access                 restrictions exists for that location.   Value:        Users   Value Type:   REG_MULTI_SZ - Multi string   Default Data: (None)   Valid Range:  A valid path to a location in the registry.   Description:  Allow Users access to listed locations in the                 registry provided that no explicit access                 restrictions exists for that location. 
Слегка меняется в Windows 2000 и более поздних версий:
   Value:        Machine   Value Type:   REG_MULTI_SZ - Multi string   Default Data: System\CurrentControlSet\Control\ProductOptions                 System\CurrentControlSet\Control\Print\Printers                 system\CurrentControlSet\control\Server Applications                 System\CurrentControlSet\Services\Eventlog                 Software\Microsoft\Windows NT\CurrentVersion                    Value:  Users - Does not exist by default. 
Дополнительные сведения о том, как программно получить доступ к реестру Windows и применить защиту к разделу реестра щелкните следующий номер статьи базы знаний Майкрософт:
146906 Как защитить данные о производительности в Windows 2000, Windows NT, Windows XP


Примечание Это может быть удаленный доступ к реестру после выполните действия, описанные в данной статье, если значение реестра RestrictNullSessAccess был создан и имеет значение 0. Это значение позволяет удаленный доступ к реестру с помощью нулевого сеанса. Значение перекрывает другие явные ограничения.
prodnt

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 153183 — последний просмотр: 12/04/2015 15:00:35 — редакция: 5.0

операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, операционная система Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Workstation 4.0 Developer Edition, операционная система Microsoft Windows NT Server 3.51, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbnetwork kbmt KB153183 KbMtru
Отзывы и предложения