在运行 Microsoft(R) Windows Server(R) 2008 R2、Windows(R) 7、Windows Server(R) 2008、Windows Vista(R)、Windows Server(R) 2003 和 Windows XP 操作系统的计算机上,默认情况下 Everyone 组不再包括匿名用户。这种更改减少了匿名用户默认状态下可以使用的网络资源数目,并简化了网络管理员控制匿名用户访问的方式。
限制匿名访问的含意
默认拒绝匿名用户访问,管理员能更加容易地配置安全系统。
在较早版本的 Windows 上,默认访问控制列表 (ACL) 授予 Everyone 组访问资源的权限,因此可能使这些资源受到攻击,而在计算机升级到 Windows Server 2008、Windows Vista 或更高版本的 Windows 操作系统后,ACL 将不再授予匿名用户这种访问权限。
匿名用户无法再像过去一样被偶然授予对资源的访问权,在过去管理员可能没有意识到匿名用户包括在 Everyone 组中。
此更改会影响那些尝试访问位于运行 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 的计算机上资源的匿名用户。如果基于 Windows 2000 的系统升级到这些操作系统中的任何一个,则升级后,匿名用户无法再使用具有将访问权限授予 Everyone(未明确授予 Anonymous Logon)的 ACL 的资源。多数情况下,这是对匿名访问的适当限制。
通过将 Anonymous Logon 组添加到保护相应资源的随机访问控制列表 (DACL) 中,仍然可以允许对选定目录或文件的匿名访问。此外,应授予 Anonymous Logon 组绕过遍历检查用户权限。有关详细信息,请参阅匿名用户绕过遍历检查。
某些情况下,要确定哪些资源必须授予匿名访问权限或修改所有必要资源的权限可能很困难。如果这样,可以将 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 配置为允许 Everyone 组匿名访问。有关详细信息,请参阅允许 Everyone 组匿名访问。
匿名用户绕过遍历检查
本部分中的步骤适用于 Windows 7 和 Windows Vista。
匿名用户绕过遍历检查的步骤 |
单击“开始”,在“开始搜索”文本框中键入 gpedit.msc,然后按 Enter。
在“本地组策略编辑器”控制台树中,依次打开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“用户权限分配”。
在细节窗格中,右键单击“绕过遍历检查”,然后单击“属性”。
单击“添加用户或组”。
在“选择用户、计算机或组”对话框的“输入要选择的对象名称”框中,键入“匿名登录”。
单击“检查名称”以验证输入有效,然后单击“确定”。
注意 没有用于实现此过程的命令行方式。
允许 Everyone 组匿名访问
本部分中的步骤适用于 Windows 7 和 Windows Vista。
允许 Everyone 组匿名访问的步骤 |
单击“开始”,在“开始搜索”文本框中键入 gpedit.msc,然后按 Enter。
在“本地组策略编辑器”控制台树中,依次打开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
在细节窗格中,右键单击“网络访问: 让 Everyone 权限应用到匿名用户”,然后单击“属性”。
若要允许应用到 Everyone 组的权限应用到匿名用户,请单击“启用”。
- 或 -
若要禁止应用到 Everyone 组的权限应用到匿名用户,请单击“禁用”。
单击“确定”。
注意 没有用于实现此过程的命令行方式。