Hạn chế thông tin có sẵn cho người dùng đăng nhập vô danh

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:143474
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Windows NT có một tính năng mà người dùng đăng nhập vô danh có thể danh sách tên người dùng tên miền và liệt kê tên chia sẻ. Khách hàng muốn nâng cao bảo mật đã yêu cầu khả năng tùy chọn hạn chế chức năng này. Windows NT 4.0 Service Pack 3 và một hotfix cho Windows NT 3.51 cung cấp một cơ chế cho quản trị viên để hạn chế khả năng cho người dùng đăng nhập vô danh (cũng được gọi là NULL phiên) để kết nối tài khoản tên có danh sách và kê khai chia sẻ tên. Liệt kê tài khoản tên từ bộ kiểm soát miền là yêu cầu để các Windows NT ACL editor, ví dụ, để có được danh sách của người dùng và nhóm để chọn những người một người sử dụng muốn để cấp quyền truy cập. Liệt kê tài khoản tên là cũng được sử dụng bởi Windows NT Explorer để chọn từ danh sách các nhóm và người dùng cấp truy cập vào một cặp.
THÔNG TIN THÊM
Windows NT mạng dựa trên một tên miền Windows NT duy sẽ luôn luôn có thể để xác thực các kết nối đến danh sách trương mục vùng thông tin. Các mạng Windows NT sử dụng nhiều tên miền có thể yêu cầu Chưa xác định người dùng đăng nhập danh sách thông tin tài khoản. A giới thiệu tóm tắt cho thấy ví dụ như thế nào Chưa xác định người kết nối được sử dụng. Hãy xem xét hai tên miền Windows NT, một tài khoản tên miền và một tên miền tài nguyên. Các nguồn tài nguyên tên miền có một sự tin tưởng một cách mối quan hệ với vùng trương mục. Có nghĩa là, tài nguyên miền "tín thác" các vùng trương mục, nhưng vùng trương mục không tin tưởng các tên miền tài nguyên. Người dùng từ vùng trương mục có thể xác thực và truy nhập tài nguyên trong các nguồn tài nguyên tên miền dựa trên sự tin tưởng một cách. Giả sử người quản trị trong các tài nguyên miền muốn để cấp quyền truy cập vào một tập tin để một người sử dụng từ các tài khoản tên miền. Họ sẽ muốn có được danh sách của người dùng và nhóm từ tài khoản tên miền để chọn một người dùng/nhóm để cấp quyền truy cập. Kể từ khi vùng trương mục không tin cậy nguồn tài nguyên tên miền, yêu cầu người quản trị để có được các danh sách các nhóm từ nguồn tài nguyên tên miền và người dùng không thể được xác thực. Các kết nối được thực hiện bằng cách sử dụng một phiên NULL để có được danh sách các vùng trương mục người sử dụng.

Có những tình huống tương tự trong trường hợp việc thu thập tài khoản tên sử dụng kết nối chưa xác định người cho phép người sử dụng công cụ giao diện, bao gồm Windows NT Explorer, quản lý người dùng, và ACL biên tập, quản lý và quản lý thông tin điều khiển truy cập qua nhiều tên miền Windows NT. Một ví dụ khác sử dụng người sử dụng quản lý trong lĩnh vực tài nguyên để thêm người dùng từ sự tin cậy vùng trương mục cho một nhóm địa phương. Một cách để thêm tài khoản tên miền dùng một địa phương nhóm trong lĩnh vực tài nguyên là để nhập thủ công một được biết đến vùng\tên_người_dùng để thêm truy cập mà không nhận được danh sách đầy đủ của tên từ tài khoản tên miền. Cách tiếp cận khác là để đăng nhập vào hệ thống tên miền tài nguyên sử dụng một tài khoản trong vùng trương mục tin cậy.

Môi trường Windows NT mà muốn để hạn chế các kết nối vô danh từ danh sách có thể tên tài khoản kiểm soát này hoạt động sau khi cài đặt Windows NT 4.0 Service Pack 3 hoặc các Windows NT 3.51 hotfix.

Sau khi cài đặt của Windows NT 4.0 dịch vụ Gói 3 hoặc Windows NT 3.51 hotfix, quản trị viên muốn yêu cầu chỉ người dùng xác thực để danh sách tài khoản tên, và loại trừ các kết nối vô danh từ khi làm điều đó, cần phải thực hiện thay đổi sau đây để đăng ký:

Cảnh báo: Bằng cách sử dụng Registry Editor không đúng có thể gây ra nghiêm trọng, toàn hệ thống các vấn đề mà có thể yêu cầu bạn phải cài đặt lại Windows NT để sửa chữa chúng. Microsoft không thể đảm bảo rằng bất kỳ vấn đề phát sinh từ việc sử dụng Registry Biên tập viên có thể được giải quyết. Sử dụng công cụ này nguy cơ của riêng bạn.
  1. Chạy Registry Editor (Regedt32.exe).
  2. Đi đến chìa khóa sau trong registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. Trên Edit menu, bấm thêm giá trị và sử dụng sau đây mục:

    Giá trị tên: RestrictAnonymous
    Data Type: REG_DWORD
    Giá trị: 1
  4. Thoát khỏi Registry Editor và khởi động lại máy tính cho các thay đổi có hiệu lực.


Chú ý Bạn truy cập từ xa để đăng ký vẫn có thể sau khi bạn thực hiện theo các bước trong bài viết này nếu các RestrictNullSessAccess giá trị đăng ký đã được tạo ra và được đặt thành 0. Giá trị này cho phép truy nhập từ xa để đăng ký bằng cách sử dụng một phiên trống. Giá trị việc ghi đè các thiết lập rõ ràng hạn chế.

Mục đích của giá trị đăng ký là cấu hình chính sách hệ thống địa phương cho việc xác thực cần thiết để thực hiện phổ biến đếm chức năng. Yêu cầu xác thực để có được danh sách tên tài khoản là một tính năng tùy chọn. Khi giá trị RestrictAnonymous được thiết lập để 1, vô danh các kết nối từ các công cụ giao diện người dùng đồ họa cho quản lý an ninh sẽ nhận được một truy cập bị từ chối lỗi khi cố gắng để có được danh sách các tài khoản tên. Khi giá trị RestrictAnonymous được đặt thành 0, hoặc giá trị không các kết nối được xác định, chưa xác định người sẽ có thể liệt kê tên tài khoản và liệt kê chia sẻ tên. Cần lưu ý rằng ngay cả với giá trị của RestrictAnonymous thiết lập để 1, mặc dù các công cụ giao diện người dùng với hệ thống sẽ không có danh sách tài khoản của tên, không có giao diện lập trình Win32 để hỗ trợ cá nhân tra cứu tên không hạn chế các kết nối vô danh.

Windows NT mạng bằng cách sử dụng một mô hình nhiều tên miền có thể hạn chế các kết nối vô danh mà không làm mất chức năng. Ban đầu bước trong việc quy hoạch để vô hiệu hoá kết nối vô danh là dành cho quản trị viên trong lĩnh vực tài nguyên để thêm thành viên tên miền tài khoản tin cậy cho các nhóm địa phương cụ thể như cần thiết trước khi thay đổi giá trị cho các mục nhập registry LSA RestrictAnonymous. Người dùng đăng nhập dùng tài khoản từ tài khoản tin cậy tên miền sẽ tiếp tục sử dụng chứng thực các kết nối để lấy danh sách các tài khoản tên để quản lý điều khiển truy nhập an ninh.

Hạn chế các danh sách chưa xác định người chia sẻ tên

Dịch vụ máy chủ cung cấp truy cập từ xa file để chia sẻ nguồn lực cũng sẽ sử dụng giá LSA trị đăng ký, RestrictAnonymous, để kiểm soát cho dù các kết nối chưa xác định người có thể có được một danh sách các tên chia sẻ. Do đó, quản trị viên có thể thiết lập giá trị của một mục nhập cấu hình đơn registry để xác định như thế nào hệ thống đáp ứng yêu cầu đếm bởi vô danh logons.

Hạn chế truy nhập sổ đăng ký vô danh từ xa

Cài đặt của Windows NT 4.0 Service Pack 3 hoặc Windows NT 3.51 hotfix loại bỏ khả năng cho người dùng vô danh để kết nối với registry từ xa. Người dùng vô danh không thể kết nối với cơ quan đăng ký và không thể đọc hay viết bất kỳ dữ liệu đăng ký. Xin nhắc lại, Windows NT 4.0 hạn chế truy nhập từ xa để đăng ký bởi người sử dụng tên miền bằng cách sử dụng danh sách điều khiển truy cập vào sổ đăng ký khóa:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
ACL vào phím này xác định những người sử dụng xác thực được phép từ xa kết nối với registry. Windows NT Server 4.0, theo mặc định, chỉ cho phép quản trị viên truy cập đăng ký từ xa. Winreg\AllowedPaths subkey xác định phần cụ thể của registry xác thực người dùng không rõ ràng được cấp quyền truy cập bởi winreg ACL có thể sử dụng để truy cập máy in và các hoạt động khác của hệ thống. Điều quan trọng winreg có thể được định nghĩa trên Windows NT 4.0 Máy trạm để hạn chế truy cập từ xa đăng ký để những hệ thống. Để thêm thông tin về các winreg khóa, bấm vào số bài viết dưới đây để xem bài viết trong Microsoft Kiến thức cơ bản:
153183 Làm thế nào để hạn chế truy cập để NT Registry từ một máy tính từ xa

Xác thực người dùng Built-in Group

Một nhóm được xây dựng trong mới được tạo ra khi cài đặt Windows NT 4.0 Service Pack 3 hoặc Windows NT 3.51 hotfix được gọi là "Người dùng Authenticated." Nhóm người dùng xác thực là tương tự như "Tất cả mọi người" nhóm, ngoại trừ cho một khác biệt quan trọng: người dùng đăng nhập vô danh (hoặc NULL phiên kết nối) không bao giờ thành viên của nhóm người dùng xác thực. Built-in bảo mật Định danh cho người sử dụng xác thực là S-1-5-11. Xác thực mạng các kết nối từ bất kỳ tài khoản trong tên miền của máy chủ Windows NT, hoặc bất kỳ tên miền tin cậy bởi các máy chủ tên miền, được xác định là một xác thực người dùng. Các Nhóm người dùng xác thực là có sẵn để cấp quyền truy cập vào tài nguyên trong trình soạn thảo bảo mật ACL. Windows NT 4.0 Service Pack 3 và Windows NT 3.51 hotfix không chỉnh sửa bất kỳ danh sách điều khiển truy cập để thay đổi quyền truy cập cấp cho tất cả mọi người sử dụng xác thực người dùng.

Windows NT 3.51 Hotfix

Windows NT 3.51 hotfix đã được đăng sau đây Vị trí Internet:


4,00 3.51 sp3 sid

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 143474 - Xem lại Lần cuối: 12/04/2015 13:11:41 - Bản sửa đổi: 2.0

Microsoft Windows NT Workstation 3.51, Microsoft Windows NT Server 3.51

  • kbnosurvey kbarchive kbenv kbinfo kbnetwork kbmt KB143474 KbMtvi
Phản hồi