Программы:

Информация в этой статье относится к:

• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server

ВАЖНО: Эта статья содержит информацию о редактировании системного реестра. Прежде, чем Вы начнете редактировать системный реестр, удостоверитесь, что Вы знаете, как восстановить его в случае возникновения проблемы. Чтобы узнать, как это сделать, прочтите раздел справки "Восстановление системного реестра" в Regedit.exe, или раздел справки "Восстановление ключа системного реестра" в Regedt32.exe.

Эта статья описывает, как администраторы могут использовать значение системного реестра RestrictAnonymous на компьютере с установленным Windows 2000, чтобы ограничить доступ по анонимным подключениям.

ИНФОРМАЦИЯ

ПРЕДУПРЕЖДЕНИЕ: Неправильное использование редактора системного реестра может причинить серьезные проблемы, из-за которых может потребоваться переустановка операционной системы. Редактор системного реестра Вы используете на свой риск.

Для информации о том, как редактировать системный реестр, прочтите раздел справки "Изменение ключей и значений" в Regedit.exe или разделы справки "Добавление и удаление информации в системном реестре" и "Редактирование данных системного реестра" в Regedt32.exe. Не забудьте сделать архивную копию системного реестра прежде, чем начнете его редактировать. Если Вы работаете в Windows NT или Windows 2000, не забудьте также обновить ваш диск аварийного восстановления (ERD).

Администратор может сконфигурировать компьютер с Windows 2000 так, чтобы предотвратить анонимные регистрации на доступ ко всем ресурсам, за исключением ресурсов, анонимный пользователь может получить доступ к данным. Чтобы настроить это, используйте любой из следующих методов:

Оснастка MMC Локальная политика безопасности

1. Нажмите Пуск (Start), переведите курсор на Программы (Programs), затем на Администрирование (Administrative Tools), и нажмите на Локальная политика безопасности (Local Security Policy).
2. Под Параметры безопасности (Security Settings) , дважды щелкните Локальные политики (Local Policies), и затем нажмите Параметры безопасности (Security Options).
3. Дважды щелкнете Дополнительные ограничения для анонимных подключений (Additional restrictions for anonymous connections), и выберите Нет доступа без явного разрешения анонимного доступа (No access without explicit anonymous permissions) под Параметр локальной политики (Local policy setting).

Значение системного реестра RestrictAnonymous

Используя редактор системного реестра, найдите следующий ключ, и затем добавьте следующее значение к этому ключу, или измените его, если значение уже существует:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

Имя: RestrictAnonymous
Тип: REG_DWORD
Значение: 0x2 (Шестнадцатеричный)

Когда значение системного реестра RestrictAnonymous установлено в 2, маркер доступа для непроверенных пользователей, не включает их в группу Все (Everyone), и поэтому они не имеют доступ к тем ресурсам, которые предоставляют разрешения группе Все. Но это может причинить нежелательные проблемы, так как много сервисов Windows 2000, а также сторонние программы, полагаются на анонимный доступ при выполнении законных задач.

Например, когда администратор хочет предоставить локальный доступ пользователю из домена, с которым установлены доверительные отношения, возможно будет необходимо зарегистрировать пользователя в доверяющем домене. Поскольку администратор в доверяющем домене не может быть заверен доверенным доменом, может быть использовано анонимное перечисление. Выгоды от ограничения анонимных пользователей для перспектив защиты должны быть взвешены против соответствующих требований сервисов и программ, которые полагаются на анонимный доступ для своей работы.

Следующие задачи ограничены, когда значение системного реестра RestrictAnonymous установлено в 2 на контроллере домена Windows 2000:

• Рабочие станции или сервера, члены нижнего уровня не способны установить соединение с каналом безопасности.
• Контроллеры домена нижнего уровня в доверяющих доменах не могут установить соединение с каналом безопасности.
• Microsoft Windows NT пользователи не могут изменить свои пароли после того, как закончилось их время действия. Также, пользователи Macintosh вообще не могут изменить свои пароли.
• Служба обозревателя не может восстановить списки домена или список серверов с резервных, главных обозревателей или главных обозревателей домена, которые выполняются на компьютерах с установленным значения системного реестра RestrictAnonymous в 2. Из-за этого, любая программа, которая использует службу обозревателя не функционирует.

Из-за возникновения выше перечисленных проблем, не рекомендуется устанавливать значение системного реестра RestrictAnonymous в 2 в средах смешенного режима, которые включают клиентов низкого уровня. Установка значения системного реестра RestrictAnonymous в 2 должна быть рассмотрена только в средах Windows 2000, и после того, как были проведены достаточно качественные испытания, что соответствующие сервисные уровни и функциональные возможности программ поддерживаются.

ОБРАТИТЕ ВНИМАНИЕ: Предопределенный шаблоны защиты "Высокая безопасность" устанавливают значение системного реестра RestrictAnonymous в 2, поэтому будьте внимательны при использовании этого шаблона.

Для дополнительной информации о значении системного реестра RestrictAnonymous, прочтите статью ниже:

Q178640 Не возможно найти контроллер домена при установке доверительных отношений

Ключ RestrictAnonymous может быть установлен в 0 или 1 для Windows NT 4.0 или в 0, 1, или 2 для Windows 2000. Эти числа соответствуют следующим параметрам настройки:

0 Пусто. Положитесь на разрешения заданные по умолчанию

1 Не разрешает перечисление учетных записей SAM и общих ресурсов

2 Нет доступа без явного разрешения анонимного доступа

Partners WorldWide:

http://www.printlogger.com/ - Printer accounting software;
http://www.sys-monitoring.com/ - System monitoring software;
http://www.hs-lab.com/ - Software for Business and Home.
http://download.nauu.kiev.ua Freeware and Shareware Downloads
http://freeware.nauu.kiev.ua Only Free Software
http://info.nauu.kiev.ua Windows® System Software Information
http://freeware.hs-lab.com.ua/ Absolutely Free Software Downloads
http://info.hs-lab.com.ua/ Windows® System Software Information
http://www.systemandsecurity.com/ System and Security Software Downloads
http://itsoftpr.com/ IT Software Press Release and News
http://hs-lab.com.ua/ Software for Eastern Europe Customers
Windows Printing Software Collection
Windows Printing Press Release
Windows Printing Articles