PDA

Просмотр полной версии : Безопасность: к ПК разрешен доступ анонимного пользователя



Yuretc
23.09.2007, 12:21
Здрасьте! Сегодня после проверки увидел след пункт: "Безопасность: к ПК разрешен доступ анонимного пользователя". Чтобы это значило? и как отключить анонимный доступ?
Спасибо

drongo
23.09.2007, 12:30
да вроде по русски написано - то и значит ;)можно перефразировать : "Доступ к компьютеру для не зарегистрированных пользователей возможен "

Используется анонимный доступ когда есть сеть из компьютеров. Когда компьютеров только несколько, то надёжней будет их всех прописать(друг у друга) и запретить анонимный доступ, когда их сотни- это становиться проблематично ;)
Когда компьютер один- смело закрыть ;)

чтобы отключить эту опцию нужно выполнить скрипт в AVZ:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
RebootWindows(true);
end.

AlienMan
09.11.2007, 05:33
Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'? А то я УЖЕ отключил анонимный доступ, поторопился. Теперь хочу вернуть все на место.

Спасибо.

Numb
09.11.2007, 10:09
И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'?

Здесь (http://technet2.microsoft.com/WindowsServer/en/library/bfba3c82-b2c2-49e2-a5eb-92a3cd620afc1033.mspx?mfr=true)смотрите, например:
Примерный перевод:
0 - Анонимные пользователи не запрещены.
1 - анонимные пользователи не могут видеть списки доменных пользователей и сетевые ресурсы домена. Так же, эти пользователи не могут использовать Windows explorer, оснастку "Локальные пользователи и группы" и другие программы, которые отображают сетевые ресурсы и имена пользователей.
2 - анонимные пользователи не имеют доступа без явного разрешения.

Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
По умолчанию данный ключ вообще отсутствует.
Второй ваш вопрос не совсем понятен. Нужно явно прописать права для пользователей на общие ресурсы. При этом, в рабочей группе, скорее всего, будет требоваться ввод имени пользователя и пароля для доступа к общему ресурсу. Может быть, вас простой общий доступ смущает (http://support.microsoft.com/kb/307874/ru)?

PavelA
10.11.2007, 12:07
Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
Спасибо.

Просто на всех своих компьютерах прописать пользователей. Есть, например, ВАСЯ на одном, то он должен быть заведен в пользователи со своим паролем на всех остальных, ПЕТЯ на другом, то он тоже прописан в пользователях со своим паролем на остальных.

AlienMan
10.11.2007, 13:59
Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
По умолчанию данный ключ вообще отсутствует.
?
То есть, если все машины в сети находятся под управлением WinXP, то можно использовать значение 2, но каким-то образом прописать машины и/или пользователей друг у друга? Как прописать пользователей более-менее понятно (на каждой машине создать одинаковый список пользователей с одними и теми же паролями). А вот как стандартными средствами Windows ограничить список компьютеров, входящих в рабочую группу (как это делается в домене)?
А за информацию про отключение "простого общего доступа" - спасибо.

Numb
10.11.2007, 19:54
Очень упрощенно: в домене имеется единая база, содержащая информацию о включенных в домен ресурсах (рабочие станции, принтеры, итд), об учетных записях пользователей, и об общих ресурсах. Управление данной информацией может осуществляться централизованно, т.е., с одной стороны, под одной учетной записью возможен доступ к нескольким рабочим станциям, с другой стороны, можно централизованно изменять права доступа пользователей и список машин и/или сетевых ресурсов, к которым данный пользователь имеет доступ.
В случае работы в рабочей группе, каждая из машин рабочей группы сама себе контроллер домена - вся информация о пользователях, доступных ресурсах и ограничениях хранится локально на каждой конкретной машине. Анонимный доступ и используется для того, чтобы в данном случае, без дополнительных телодвижений, получать доступ к сетевым ресурсам. В случае, если вы закрываете анонимный доступ, схема примерно следующая: мы создаем сетевой ресурс, например, общую папку или принтер. Мы удаляем из разрешений группу "Все" и добавляем в разрешения пользователя или группу пользователей. При попытке доступа по сети к данному сетевому ресурсу, будет выдан запрос на ввод имени пользователя и пароля. Если ввели правильно - получаем доступ, если неправильно - ресурс недоступен. Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал PavelA - и задать явные разрешения для общих ресурсов. Это то, что drongo назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать.
Что касается значения ключа 2 - да, вы можете его использовать, если у вас в сети только машины под управлением Windows XP.

PavelA
12.11.2007, 10:23
Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал PavelA - и задать явные разрешения для общих ресурсов. Это то, что drongo назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать.


Нельзя ли каким-нибудь способом сделать так чтобы пароль запоминался и при загрузки системы восст. подключение принтера, как и других сетевых ресурсов? Когда все под одним пользователем, тогда таких проблем не наблюдается.
У нас во многих местах все работают под одним пользователем и одним паролем. Доменов нет, т.к. поддерживать доменную структуру нет специалистов.
Сейчас готовлюсь вступить в борьбу с этим. Знаний не хватает, значит буду задавать вопросы, иногда глупые.

fp_post
12.11.2007, 14:45
Побочные эффекты от изменения данного ключа реестра
(актуально в случае сетевой машины)


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);

Устранение неполадок, связанных с событиями 8021 и 8032 в основных обозревателях:
http://support.microsoft.com/kb/135404/ru



...
На контроллерах домена под управлением Windows 2000, на которых параметру RestrictAnonymous присвоено значение 2, служба «Обозреватель компьютеров» не может получать список доменов и список серверов от компьютеров, являющихся резервными обозревателями, основными обозревателями и основными обозревателями домена, если на этих компьютерах параметру RestrictAnonymous также присвоено значение 2. В результате приложения, которые используют сведения, предоставляемые службой «Обозреватель компьютеров», могут работать с ошибками...

Несмотря на упоминание DC, чудеснейшим образом относится и к "равным" компьютерам в одноранговой сети.

copsmith
04.04.2009, 17:03
чтобы отключить эту опцию нужно выполнить скрипт в AVZ:
А можно это сделать путём изменения настроек в Windows?

Банщик
05.04.2009, 13:49
А можно это сделать путём изменения настроек в Windows?
Я полагаю, что найти в реестре вот это HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous' и выставить значение равное 2

copsmith
05.04.2009, 13:58
ОК, попробуем, спасибо

Rene-gad
05.04.2009, 14:23
А можно это сделать путём изменения настроек в Windows?
А что по Вашему мнению делает АВЗ, как не изменяет настройки Виндовс ? :O

copsmith
05.04.2009, 15:02
Сам по себе AVZ ничего не делает.
Он выполняет написанные человеком команды, не так ли?

hqcabl
28.09.2009, 20:42
Предупреждать надо что после скрипта комп сразу в перезагруз уходит!>:(

ersh.ofa
30.09.2009, 00:33
Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?

Гриша
30.09.2009, 06:44
Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?

Нет...

Owyn
01.12.2009, 13:19
какую опасность вообще это представляет? и смогут ли её использовать из интернета или только из локальной сети? я к тому, а стоит ли вообще трогать

Nvidia
07.12.2009, 13:57
Предупреждать надо что после скрипта комп сразу в перезагруз уходит!>:(
И что сердиться?:D Вы лечите компьютер! Перезагрузка почти всегда нужна при различных операциях

lanmanager
29.01.2010, 08:05
да вроде по русски написано - то и значит ;)можно перефразировать : "Доступ к компьютеру для не зарегистрированных пользователей возможен "

чтобы отключить эту опцию нужно выполнить скрипт в AVZ:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
RebootWindows(true);
end.
отлично работает. Однако каким образом отменить данный скрипт в случае необходимости?

WinbowsXP
29.01.2010, 20:17
Конфигурация становится рискованной при отлючении данного параметра (хотя если ты работаешь в Windows с правами администратора - это уже совершенно неважно).

Это оснастка MMC "Локальная политика безопасности", "Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями"

Seebar
02.05.2012, 23:38
Для 7-ки что-нибудь изменилось с этим моментом? Скрипт drongo актуален?