Безопасность: к ПК разрешен доступ анонимного пользователя

[Yuretc]

Здрасьте! Сегодня после проверки увидел след пункт: "Безопасность: к ПК разрешен доступ анонимного пользователя". Чтобы это значило? и как отключить анонимный доступ?
Спасибо

[drongo]

да вроде по русски написано - то и значит можно перефразировать : "Доступ к компьютеру для не зарегистрированных пользователей возможен "

Используется анонимный доступ когда есть сеть из компьютеров. Когда компьютеров только несколько, то надёжней будет их всех прописать(друг у друга) и запретить анонимный доступ, когда их сотни- это становиться проблематично
Когда компьютер один- смело закрыть

чтобы отключить эту опцию нужно выполнить скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.

[AlienMan]

Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'? А то я УЖЕ отключил анонимный доступ, поторопился. Теперь хочу вернуть все на место.

Спасибо.

[Numb]

И ещё: какое значение должно быть в оригинале у ключа 'RestrictAnonymous'?

Здесь смотрите, например:
Примерный перевод:
0 - Анонимные пользователи не запрещены.
1 - анонимные пользователи не могут видеть списки доменных пользователей и сетевые ресурсы домена. Так же, эти пользователи не могут использовать Windows explorer, оснастку "Локальные пользователи и группы" и другие программы, которые отображают сетевые ресурсы и имена пользователей.
2 - анонимные пользователи не имеют доступа без явного разрешения.

Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
По умолчанию данный ключ вообще отсутствует.
Второй ваш вопрос не совсем понятен. Нужно явно прописать права для пользователей на общие ресурсы. При этом, в рабочей группе, скорее всего, будет требоваться ввод имени пользователя и пароля для доступа к общему ресурсу. Может быть, вас простой общий доступ смущает?

[PavelA]

Подскажите, а как это сделать: "надёжней будет их всех прописать(друг у друга)". У меня домашняя сеть из 3-х машин с WinXP. Никак не разберусь с настройками доступов и прав (в NT все было проще).
Спасибо.

Просто на всех своих компьютерах прописать пользователей. Есть, например, ВАСЯ на одном, то он должен быть заведен в пользователи со своим паролем на всех остальных, ПЕТЯ на другом, то он тоже прописан в пользователях со своим паролем на остальных.

[AlienMan]

Насколько я понимаю, значение параметра 1 используется для ограничения доступа в смешанных сетях; значение параметра 2 используется в сетях , где нет машин под управлением windows 95-98-ME и машин с Windows NT
По умолчанию данный ключ вообще отсутствует.
?

То есть, если все машины в сети находятся под управлением WinXP, то можно использовать значение 2, но каким-то образом прописать машины и/или пользователей друг у друга? Как прописать пользователей более-менее понятно (на каждой машине создать одинаковый список пользователей с одними и теми же паролями). А вот как стандартными средствами Windows ограничить список компьютеров, входящих в рабочую группу (как это делается в домене)?
А за информацию про отключение "простого общего доступа" - спасибо.

[Numb]

Очень упрощенно: в домене имеется единая база, содержащая информацию о включенных в домен ресурсах (рабочие станции, принтеры, итд), об учетных записях пользователей, и об общих ресурсах. Управление данной информацией может осуществляться централизованно, т.е., с одной стороны, под одной учетной записью возможен доступ к нескольким рабочим станциям, с другой стороны, можно централизованно изменять права доступа пользователей и список машин и/или сетевых ресурсов, к которым данный пользователь имеет доступ.
В случае работы в рабочей группе, каждая из машин рабочей группы сама себе контроллер домена - вся информация о пользователях, доступных ресурсах и ограничениях хранится локально на каждой конкретной машине. Анонимный доступ и используется для того, чтобы в данном случае, без дополнительных телодвижений, получать доступ к сетевым ресурсам. В случае, если вы закрываете анонимный доступ, схема примерно следующая: мы создаем сетевой ресурс, например, общую папку или принтер. Мы удаляем из разрешений группу "Все" и добавляем в разрешения пользователя или группу пользователей. При попытке доступа по сети к данному сетевому ресурсу, будет выдан запрос на ввод имени пользователя и пароля. Если ввели правильно - получаем доступ, если неправильно - ресурс недоступен. Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал PavelA - и задать явные разрешения для общих ресурсов. Это то, что drongo назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать.
Что касается значения ключа 2 - да, вы можете его использовать, если у вас в сети только машины под управлением Windows XP.

[PavelA]

Соответственно, ваша задача - на каждой машине сформировать список пользователей - то, о чем написал PavelA - и задать явные разрешения для общих ресурсов. Это то, что drongo назвал "прописать друг у друга", как я понимаю. Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - я должен сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем смогу на него печатать.

Нельзя ли каким-нибудь способом сделать так чтобы пароль запоминался и при загрузки системы восст. подключение принтера, как и других сетевых ресурсов? Когда все под одним пользователем, тогда таких проблем не наблюдается.
У нас во многих местах все работают под одним пользователем и одним паролем. Доменов нет, т.к. поддерживать доменную структуру нет специалистов.
Сейчас готовлюсь вступить в борьбу с этим. Знаний не хватает, значит буду задавать вопросы, иногда глупые.

[fp_post]

Побочные эффекты от изменения данного ключа реестра
(актуально в случае сетевой машины)

Код:

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

Устранение неполадок, связанных с событиями 8021 и 8032 в основных обозревателях:
http://support.microsoft.com/kb/135404/ru

...
На контроллерах домена под управлением Windows 2000, на которых параметру RestrictAnonymous присвоено значение 2, служба «Обозреватель компьютеров» не может получать список доменов и список серверов от компьютеров, являющихся резервными обозревателями, основными обозревателями и основными обозревателями домена, если на этих компьютерах параметру RestrictAnonymous также присвоено значение 2. В результате приложения, которые используют сведения, предоставляемые службой «Обозреватель компьютеров», могут работать с ошибками...

Несмотря на упоминание DC, чудеснейшим образом относится и к "равным" компьютерам в одноранговой сети.

[copsmith]

чтобы отключить эту опцию нужно выполнить скрипт в AVZ:

А можно это сделать путём изменения настроек в Windows?

[Банщик]

А можно это сделать путём изменения настроек в Windows?

Я полагаю, что найти в реестре вот это HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous' и выставить значение равное 2

[copsmith]

ОК, попробуем, спасибо

[Rene-gad]

А можно это сделать путём изменения настроек в Windows?

А что по Вашему мнению делает АВЗ, как не изменяет настройки Виндовс ?

[copsmith]

Сам по себе AVZ ничего не делает.
Он выполняет написанные человеком команды, не так ли?

[hqcabl]

Предупреждать надо что после скрипта комп сразу в перезагруз уходит!

[ersh.ofa]

Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?

[Гриша]

Отразиться ли отключение доступа анонимного пользователя на моем копьютере на работе программ и в сети интернет?

Нет...

[Owyn]

какую опасность вообще это представляет? и смогут ли её использовать из интернета или только из локальной сети? я к тому, а стоит ли вообще трогать

[Nvidia]

Предупреждать надо что после скрипта комп сразу в перезагруз уходит!

И что сердиться? Вы лечите компьютер! Перезагрузка почти всегда нужна при различных операциях

[lanmanager]

да вроде по русски написано - то и значит можно перефразировать : "Доступ к компьютеру для не зарегистрированных пользователей возможен "

чтобы отключить эту опцию нужно выполнить скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.

отлично работает. Однако каким образом отменить данный скрипт в случае необходимости?