Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Tất cả mọi người nhóm không bao gồm các định danh bảo mật chưa xác định người

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:278259
TÓM TẮT
Trong Microsoft Windows XP và trong Microsoft Windows Server năm 2003, nhóm Everyone không chứa định danh bảo mật (SID) "Vô danh". Vì vậy, người sử dụng hoặc dịch vụ mà cố gắng truy cập vào một đối tượng nặc danh là không được cấp truy cập nếu truy cập kiểm soát danh sách (ACL) vào các đối tượng bao gồm tất cả các nhóm. Chưa xác định người truy cập chỉ được cấp cho các đối tượng mà ACL rõ ràng chứa SID vô danh.
THÔNG TIN THÊM
Trên máy tính đang chạy Windows, ACLs và SIDs điều khiển truy nhập tài nguyên. Mỗi tài nguyên có một ACL có chứa SIDs của tất cả người dùng và nhóm đã được cấp hoặc bị từ chối truy cập vào các tài nguyên.

Khi người dùng đăng nhập vào một máy tính đang chạy Windows, hoặc là tương tác hoặc qua mạng, họ được cấp quyền truy cập một token mà chứa SIDs tài khoản người dùng của họ, và tất cả bảo mật các nhóm mà trương mục người dùng là thành viên của. Khi người dùng cố gắng truy cập một nguồn lực, Windows sẽ kiểm tra SIDs trong mã thông báo truy cập của người dùng đối với những người trong các tài nguyên của ACL. Nếu SIDs phù hợp, người dùng được cấp quyền truy cập vào tài nguyên đó quy định tại ACL. Nếu SIDs không phù hợp, người dùng sẽ bị từ chối truy cập.

Người dùng vô danh (người sử dụng hoặc các dịch vụ truy nhập tài nguyên trên kết nối mạng bằng cách sử dụng một tên người dùng vô tài khoản, tên miền và mật khẩu) được tự động thêm vào nhóm bảo mật được xây dựng trong đăng nhập vô danh. Trong Phiên bản trước của Windows, thành viên của nhóm bảo mật đăng nhập vô danh là có thể truy cập vào nhiều nguồn lực. Trong một số trường hợp, nếu quản trị viên không nhận thức được các thành viên của nhóm bảo mật đăng nhập vô danh được bao gồm như là thành viên của tất cả mọi người các nhóm bảo mật, người dùng vô danh có thể được cấp quyền truy cập vào tài nguyên đó là chỉ dành cho người dùng xác thực.

Trong Windows XP và sau đó, nhóm bảo mật đăng nhập vô danh đã được gỡ bỏ từ các tất cả mọi người nhóm bảo mật. Việc sửa đổi này giúp để hạn chế số lượng mạng tài nguyên có sẵn theo mặc định để người dùng vô danh, và để đơn giản hóa quản trị mạng kiểm soát truy cập người dùng vô danh. Bởi vì các tất cả mọi người nhóm không còn bao gồm người dùng vô danh, đó là dễ dàng hơn cho quản trị viên để cấu hình hệ thống an toàn cho những lý do sau:
  • ACLs mặc định trên phiên bản trước của Windows (đặc biệt là Windows NT 4.0) mà cho phép tất cả mọi người các nhóm bảo mật để truy cập tài nguyên, và có khả năng phơi bày các trang web để tấn công, không cấp quyền truy cập để người dùng vô danh sau khi máy tính được nâng cấp lên Windows XP.
  • Người dùng vô danh không được cấp quyền truy cập vào tài nguyên mà các quản trị viên là không biết gì về.
  • Người dùng vô danh có thể rõ ràng được cấp quyền truy cập vào tài nguyên cụ thể thông qua bảo mật đăng nhập vô danh tên là rõ ràng nhóm.
Chú ý Nâng cao bảo mật này là hiện nay chỉ trên máy tính chạy Windows XP hoặc sau này. Vì vậy, chỉ có người dùng vô danh có cố gắng truy cập vào tài nguyên được lưu trữ trên máy tính đang chạy Windows XP hoặc sau này bị ảnh hưởng.

Thực hiện

Để thực hiện việc tăng cường bảo mật này, bạn phải thay đổi nội dung của những người truy cập mã thông báo được tạo ra cho người dùng vô danh. Trong phiên bản trước của Windows, mã thông báo truy cập cho người dùng vô danh chứa SIDs cho:
  • Tất cả mọi người các nhóm bảo mật
  • Nhóm bảo mật đăng nhập vô danh
  • Loại đăng nhập (thường là mạng)
Trong Windows XP và sau đó, mọi người đều nhóm bảo mật loại bỏ khỏi mã thông báo truy cập cho người dùng vô danh. Vì vậy, mã thông báo truy cập với người dùng vô danh chứa SIDs cho:
  • Đăng nhập vô danh
  • Loại đăng nhập (thường là mạng)
Khi một thành viên vô danh cố gắng truy cập một nguồn tài nguyên trên máy tính đó chạy Windows XP hoặc sau này, thành viên vô danh không được cấp phép hoặc thành viên nhóm có sẵn cho tất cả mọi người những bảo mật nhóm. SID cho tất cả mọi người các nhóm bảo mật được trình bày trong các vô danh mã thông báo truy cập của người dùng.

Khả năng tương thích với phiên bản trước của Windows

Windows 2000 giới thiệu một cơ chế để thay đổi các khuyến cáo thiết đặt bảo mật nghiêm ngặt để thiết đặt bảo mật mà cấp một số người dùng vô danh truy cập vào các đối tượng Active Directory được yêu cầu của dịch vụ chạy trên phiên bản trước của hệ điều hành. Vì của bảo mật nâng cao trong Windows XP, đó là một thay đổi nhỏ đến cách Windows 2000 cơ chế hoạt động.

Windows 2000 giới thiệu nghiêm ngặt mặc định bảo mật thiết lập hơn các thiết đặt bảo mật mà đã có sẵn trong Windows NT 4.0 và trước đó phiên bản của hệ điều hành. Để tương thích với dịch vụ mà yêu cầu khách truy cập vào dữ liệu tên miền nhất định, Windows 2000 cung cấp một cách để chuyển đổi giữa các thiết đặt bảo mật cao (cấu hình ưa thích khi tương thích ngược là không bắt buộc) bảo mật tương thích ngược thiết đặt cấp quyền truy cập người dùng vô danh như nó cần thiết bởi hệ thống đang chạy Windows NT 4.0 và phiên bản trước của Windows.

Pre-Windows 2000 Tương thích truy nhập bảo mật nhóm, mà đã được giới thiệu trong Windows 2000, điều khiển sự lựa chọn bảo mật này. Tương thích ngược là đạt được trên các máy tính được chạy Windows 2000 bằng cách mọi người bảo mật nhóm thành viên của các Nhóm pre-Windows 2000 tương thích truy nhập bảo mật. Bạn có thể cấu hình thiết đặt bảo mật cao bằng cách loại bỏ tất cả các thành viên từ năm 2000 Pre-Windows Tương thích truy cập nhóm.

Trên bộ kiểm soát miền Windows Server 2003, tất cả các nhóm không còn bao gồm đăng nhập vô danh. Do đó, các lạc hậu thiết đặt tương thích đòi hỏi rằng tất cả các cả và bảo mật đăng nhập vô danh các nhóm có các thành viên của nhóm Pre-Windows 2000 tương thích truy cập. Để đáp ứng yêu cầu này, sử dụng một trong những phương pháp sau đây:
  • Nếu bạn quảng bá một máy tính đang chạy Windows Server 2003 lên bộ kiểm soát miền bằng cách sử dụng thuật sĩ khuyến mãi Active Directory (Dcpromo.exe), nhấp vào Điều khoản tương thích với pre-Windows 2000 các máy chủ thêm đăng nhập vô danh và tất cả mọi người an ninh các nhóm để các Nhóm pre-Windows 2000 tương thích truy nhập bảo mật.
  • Nếu bạn đang nâng cấp bộ kiểm soát miền Windows 2000 dựa trên để Windows Server 2003, nhóm bảo mật đăng nhập vô danh sẽ được thêm vào các Pre-Windows 2000 tương thích truy nhập bảo mật nhóm trong các nâng cấp. Điều này xảy ra nếu mọi người đều nhóm bảo mật đã là một thành viên của các Pre-Windows 2000 tương thích truy cập vào nhóm bảo mật (chỉ ra lạc hậu thiết đặt tương thích).
Bạn có thể tự chuyển đổi giữa tương thích và thiết đặt bảo mật cao trên các đối tượng Active Directory bằng cách cập nhật các thành viên của nhóm bảo mật Pre-Windows 2000 tương thích truy cập bằng cách sử dụng hoạt động Thư mục người dùng và máy tính snap-in.

Khả năng tương thích với các chương trình làm việc với Windows 2000

Khi bạn nâng cấp Windows 2000 lên Windows XP, tài nguyên với ACLs mà cấp quyền truy cập cho tất cả mọi người các nhóm (và không phải một cách rõ ràng để chưa xác định người Đăng nhập nhóm) không còn có sẵn cho người dùng vô danh sau khi n├óng cß║Ñp. Trong hầu hết trường hợp, đây là một hạn chế thích hợp trên chưa xác định người truy cập. Tuy nhiên, bạn có thể cần phải cho phép chưa xác định người truy cập vào các nguồn lực để hỗ trợ các chương trình có sẵn. Trong trường hợp này, bạn nên thêm một cách rõ ràng chưa xác định người Nhóm bảo mật đăng nhập để ACLs về tài nguyên cụ thể.

Trong một số tình huống, nó có thể là khó khăn để xác định tài nguyên trên máy tính đó chạy Windows XP bạn phải cấp quyền truy cập vào vô danh. Nó cũng có thể khó khăn để sửa đổi các cấp phép trên tất cả các cần thiết tài nguyên.

Trong các tình huống này, bạn có thể cần phải ép buộc máy tính đó chạy Windows XP để bao gồm các nhóm bảo mật đăng nhập vô danh trong các Tất cả mọi người nhóm bảo mật. Để hỗ trợ chức năng này, Windows XP giới thiệu một giá trị mới đăng ký, EveryoneIncludesAnonymous. Giá trị này có thể được sử dụng để chuyển đổi giữa các mặc định Windows XP hành vi (tất cả mọi người các nhóm bảo mật không bao gồm đăng nhập vô danh nhóm bảo mật) và hành vi của Windows 2000 (tất cả mọi người các nhóm bảo mật bao gồm nhóm bảo mật đăng nhập vô danh).

Khi truy cập mã thông báo Đối với một thành viên vô danh được xây dựng, nếu các EveryoneIncludesAnonymous giá trị đăng ký được đặt thành giá trị của REG_DWORD 0X0, các cơ quan an ninh địa phương (LSA) của máy tính là chạy Windows XP không bao gồm SID của tất cả mọi người các nhóm bảo mật trong mã thông báo truy cập của người dùng vô danh. Đây là thiết lập mặc định.

Nếu các EveryoneIncludesAnonymous giá trị đăng ký được đặt thành giá trị của REG_DWORD 0X1, bao gồm LSA SID của tất cả mọi người các nhóm bảo mật trong các Chưa xác định người dùng truy cập mã thông báo.

Để thiết lập các EveryoneIncludesAnonymous cơ quan đăng ký có giá trị, sử dụng một trong những phương pháp sau đây.

Quan trọng Phần này, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để chỉnh sửa registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows
  • Để thiết lập các EveryoneIncludesAnonymous giá trị đăng ký bằng cách sử dụng thiết đặt bảo mật địa phương:
    1. Nhấp vào Bắt đầu, điểm đến Chương trình, điểm đến Công cụ quản trị, và sau đó bấm vào một trong hai Chính sách bảo mật cục bộ hoặc Tên miền chính sách bảo mật (về bộ điều khiển tên miền chỉ).
    2. Nhấp vào Thiết đặt bảo mật, bấm đúp vào Chính sách địa phương, và sau đó nhấp vào Tùy chọn bảo mật.
    3. Nhấp chuột phải Hãy để tất cả mọi người quyền áp dụng cho người dùng vô danh, và sau đó nhấp vào Thuộc tính.
    4. Để cho phép người dùng vô danh là thành viên của các tất cả mọi người nhóm bảo mật, bấm Được kích hoạt. Để ngăn chặn sự bao gồm của tất cả mọi người những bảo mật nhóm SID trong mã thông báo truy cập của người dùng vô danh (mặc định Windows XP), nhấp vào Khuyết tật.
  • Để đặt giá trị sổ đăng ký EveryoneIncludesAnonymous bằng cách sử dụng Registry Editor:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại regedit, và sau đó nhấp vào Ok.
    2. Xác định vị trí và bấm vào khóa registry sau đây:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. Nhấp chuột phải EveryoneIncludesAnonymous, và sau đó nhấp vào Sửa đổi.
    4. Để cho phép người dùng vô danh là thành viên của các tất cả mọi người an ninh nhóm, trong các Dữ liệu giá trị hộp, loại 1. Để ngăn chặn sự bao gồm của tất cả mọi người những bảo mật nhóm SID của người sử dụng chưa xác định người truy cập thẻ (các Windows XP mặc định), trong các Dữ liệu giá trị hộp, loại 0.
    5. Thoát khỏi Registry Editor.
Chú ý Sự thay đổi này có thể ảnh hưởng đến Windows dựa trên công nghệ sau đây: Com, Dcom, IIS, thư xếp hàng, và bất kỳ công nghệ khác trong trường hợp vô danh xác thực thường xuyên được sử dụng.
Truy cập từ chối xác thực

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 278259 - Xem lại Lần cuối: 09/01/2011 12:17:00 - Bản sửa đổi: 3.0

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional

  • kbacl kbinfo kbmt KB278259 KbMtvi
Phản hồi
>