# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  Безопасность: к ПК разрешен доступ анонимного пользователя

## Yuretc

Здрасьте! Сегодня после проверки увидел след пункт: "Безопасность: к ПК разрешен доступ анонимного пользователя". Чтобы это значило? и как отключить анонимный доступ?
Спасибо

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drongo

да вроде по русски написано - то и значит  :Wink: можно перефразировать : "Доступ к компьютеру для не зарегистрированных пользователей возможен "

Используется  анонимный доступ когда есть сеть из  компьютеров.  Когда  компьютеров  только несколько, то надёжней будет их всех прописать(друг у друга)  и запретить   анонимный доступ, когда их сотни- это становиться проблематично  :Wink:  
Когда компьютер один- смело закрыть  :Wink: 

чтобы отключить эту опцию нужно выполнить скрипт в AVZ:


```
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
```

----------


## AlienMan

Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'? А то я УЖЕ отключил анонимный доступ, поторопился. Теперь хочу вернуть все на место.

Спасибо.

----------


## Numb

> И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'?


Здесь смотрите, например: 
Примерный перевод:
0 - Анонимные пользователи не запрещены.
1 - анонимные пользователи не могут видеть списки доменных пользователей и сетевые ресурсы домена. Так же, эти пользователи не могут использовать Windows explorer, оснастку "Локальные пользователи и группы" и другие программы, которые отображают сетевые ресурсы и имена пользователей. 
2 - анонимные пользователи не имеют доступа без явного разрешения. 

Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
По умолчанию данный ключ вообще отсутствует.
Второй ваш вопрос не совсем понятен. Нужно явно прописать права для пользователей на общие ресурсы. При этом, в рабочей группе, скорее всего, будет требоваться ввод имени пользователя и пароля для доступа к общему ресурсу. Может быть, вас простой общий доступ смущает?

----------


## PavelA

> Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
> Спасибо.


Просто на всех своих компьютерах прописать пользователей. Есть, например, ВАСЯ на одном, то он должен быть заведен в пользователи со своим паролем на всех остальных, ПЕТЯ на другом, то он тоже прописан в пользователях со своим паролем на остальных.

----------


## AlienMan

> Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
> По умолчанию данный ключ вообще отсутствует.
> ?


То есть, если все машины в сети находятся под управлением WinXP, то можно использовать значение 2, но каким-то образом прописать машины и/или пользователей друг у друга? Как прописать пользователей более-менее понятно (на каждой машине создать одинаковый список пользователей с одними и теми же паролями). А вот как стандартными средствами Windows ограничить список компьютеров, входящих в рабочую группу (как это делается в домене)?
А за информацию про отключение "простого общего доступа" - спасибо.

----------


## Numb

*Очень упрощенно*: в домене имеется единая база, содержащая информацию о включенных в домен ресурсах (рабочие станции, принтеры, итд), об учетных записях пользователей, и  об общих ресурсах. Управление данной информацией может осуществляться централизованно, т.е., с одной стороны, под одной учетной записью возможен доступ к нескольким рабочим станциям, с другой стороны, можно централизованно изменять права доступа пользователей и список машин и/или сетевых ресурсов, к которым данный пользователь имеет доступ.
В случае работы в рабочей группе, каждая из машин рабочей группы сама себе контроллер домена - вся информация о пользователях, доступных ресурсах и ограничениях хранится локально на каждой конкретной машине. Анонимный доступ и используется для того, чтобы в данном случае, без дополнительных телодвижений, получать доступ к сетевым ресурсам. В случае, если вы закрываете анонимный доступ, схема примерно следующая: мы создаем сетевой ресурс, например, общую папку или принтер. Мы удаляем из разрешений группу "Все" и добавляем в разрешения пользователя или группу пользователей. При попытке доступа по сети к данному сетевому ресурсу, будет выдан запрос на ввод имени пользователя и пароля. Если ввели правильно - получаем доступ, если неправильно - ресурс недоступен. Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал *PavelA* - и задать явные разрешения для общих ресурсов. Это то, что *drongo* назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать. 
Что касается значения ключа 2 - да, вы можете его использовать, если у вас в сети только машины под управлением Windows XP.

----------


## PavelA

> Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал *PavelA* - и задать явные разрешения для общих ресурсов. Это то, что *drongo* назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать.


Нельзя ли каким-нибудь способом сделать так чтобы пароль запоминался и при загрузки системы восст. подключение принтера, как и других сетевых ресурсов? Когда все под одним пользователем, тогда таких проблем не наблюдается.
У нас во многих местах все работают под одним пользователем и одним паролем. Доменов нет, т.к. поддерживать доменную структуру нет специалистов.
Сейчас готовлюсь вступить в борьбу с этим. Знаний не хватает, значит буду задавать вопросы, иногда глупые.

----------


## fp_post

Побочные эффекты от изменения данного ключа реестра
(актуально в случае сетевой машины)


```
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
```

Устранение неполадок, связанных с событиями 8021 и 8032 в основных обозревателях:
http://support.microsoft.com/kb/135404/ru




> ...
> На контроллерах домена под управлением Windows 2000, на которых параметру RestrictAnonymous присвоено значение 2, служба «Обозреватель компьютеров» не может получать список доменов и список серверов от компьютеров, являющихся резервными обозревателями, основными обозревателями и основными обозревателями домена, если на этих компьютерах параметру RestrictAnonymous также присвоено значение 2. В результате приложения, которые используют сведения, предоставляемые службой «Обозреватель компьютеров», могут работать с ошибками...


Несмотря на упоминание DC, чудеснейшим образом относится и к "равным" компьютерам в одноранговой сети.

----------


## copsmith

> чтобы отключить эту опцию нужно выполнить скрипт в AVZ:


А можно это сделать путём изменения настроек в Windows?

----------


## Банщик

> А можно это сделать путём изменения настроек в Windows?


Я полагаю, что найти в реестре вот это HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn  onymous' и выставить значение равное 2

----------


## copsmith

ОК, попробуем, спасибо

----------


## Rene-gad

> А можно это сделать путём изменения настроек в Windows?


А что по Вашему мнению делает АВЗ, как не изменяет настройки Виндовс ?  :Shocked:

----------


## copsmith

Сам по себе AVZ ничего не делает. 
Он выполняет написанные человеком команды, не так ли?

----------


## hqcabl

Предупреждать надо что после скрипта комп сразу в перезагруз уходит! :Angry:

----------


## ersh.ofa

Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?

----------


## Гриша

> Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?


Нет...

----------


## Owyn

какую опасность вообще это представляет? и смогут ли её использовать из интернета или только из локальной сети? я к тому, а стоит ли вообще трогать

----------


## Nvidia

> Предупреждать надо что после скрипта комп сразу в перезагруз уходит!


И что сердиться? :Cheesy:  Вы лечите компьютер! Перезагрузка почти всегда нужна при различных операциях

----------


## lanmanager

> да вроде по русски написано - то и значит можно перефразировать : "Доступ к компьютеру для не зарегистрированных пользователей возможен "
> 
> чтобы отключить эту опцию нужно выполнить скрипт в AVZ:
> 
> 
> ```
> begin
> RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
> RebootWindows(true);
> ...


отлично работает. Однако каким образом отменить данный скрипт в случае необходимости?

----------


## WinbowsXP

Конфигурация становится рискованной при отлючении данного параметра (хотя если ты работаешь в Windows с правами администратора - это уже совершенно неважно).

Это оснастка MMC "Локальная политика безопасности", "Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями"

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Seebar

Для 7-ки что-нибудь изменилось с этим моментом? Скрипт *drongo* актуален?

----------

