Anonymous Logon

什么是 Anonymous Logon 权限？

• 定义: Anonymous Logon 是一个特殊的 SID（S-1-5-7），表示通过匿名方式访问系统的用户或服务。它不要求提供用户名或密码。

• 作用: 用于处理未登录或未验证身份的访问请求，通常出现在网络共享、服务访问或远程连接场景中。

• 典型来源:

  • 网络上未提供凭据的访问者。

  • 某些服务或进程以匿名身份运行。

---

Anonymous Logon 权限的具体能力

Anonymous Logon 的权限非常有限，默认包括：

1. 文件和文件夹管理:

   • 默认权限:

     • 默认情况下，对本地文件系统几乎没有权限。

     • 在网络共享中，可能被授予读取权限（取决于共享设置）。

   • 限制:

     • 无法访问用户私有文件夹或系统文件夹（如 C:\Windows）。

     • 无写入或修改权限，除非明确配置。

2. 系统配置:

   • 无权修改系统设置或注册表。

3. 网络访问:

   • 可以访问明确配置为允许匿名访问的资源（如公开的网络共享文件夹）。

4. 软件和进程:

   • 无权运行程序或控制系统进程，除非通过特定服务间接实现。

---

与 Everyone、Authenticated Users 和其他组的关系

• 与 Everyone 的对比:

  • Everyone: 包括所有用户（经过验证的和匿名的），因此包含 Anonymous Logon。

  • Anonymous Logon: 仅代表未验证身份的用户，范围更窄。

• 与 Authenticated Users 的对比:

  • Authenticated Users: 仅包括经过身份验证的用户，不包含 Anonymous Logon。

  • Anonymous Logon: 专指未验证身份的访问。

• 与 Users 的对比:

  • Users: 标准本地用户账户，默认经过身份验证。

  • Anonymous Logon: 不涉及本地账户，权限远低于 Users。

• 与 Administrators 的对比:

  • Administrators 拥有完全控制权，而 Anonymous Logon 几乎无权限。

• 与 TrustedInstaller 的关系:

  • 无权修改受 TrustedInstaller 保护的系统文件。

---

Anonymous Logon 权限的特点

• 默认限制: 在现代 Windows（如 Windows 10 和 11）中，匿名访问受到严格限制，默认几乎无权限。

• 网络相关性: 主要在网络环境中出现，例如通过 SMB（文件共享协议）访问共享资源。

• 安全性: 由于无需身份验证，匿名访问被视为高风险，现代系统倾向于禁用或限制。

---

如何管理 Anonymous Logon 权限？

1. 查看权限:

   • 右键文件/文件夹 → 属性 → 安全选项卡 → 查看 Anonymous Logon 的权限（通常默认不存在，除非手动添加）。

2. 调整权限:

   • 管理员可以为 Anonymous Logon 分配特定资源的权限。

   • 示例：在网络共享中，右键共享文件夹 → 属性 → 共享 → 权限 → 添加 Everyone（包括 Anonymous Logon）并设置读取权限。

3. 配置匿名访问:

   • 本地安全策略（secpol.msc）→ 本地策略 → 安全选项：

     • “网络访问: 允许匿名 SID/名称转换”：控制匿名用户是否能枚举资源。

     • “网络访问: 让 Everyone 权限应用于匿名用户”：决定 Everyone 的权限是否包括 Anonymous Logon。

   • 默认情况下，这些选项在现代 Windows 中禁用。

4. 检查网络共享:

   • 运行 net share 查看共享配置，确认是否允许匿名访问。

---

实际应用场景

• 公开共享: 设置一个网络共享文件夹，允许任何人（包括 Anonymous Logon）读取（如公共下载目录）。

• 旧系统兼容性: 早期应用程序或设备可能依赖匿名访问与 Windows 系统交互。

• 测试环境: 在开发或测试中，临时启用匿名访问以简化连接。

---

注意事项

• 安全风险: 授予 Anonymous Logon 过多权限（如写入权）可能导致未经授权的访问或数据泄露，尤其在网络环境中。

• 默认禁用: 在 Windows XP 之后，匿名访问默认受到限制（如 Everyone 不再包括 Anonymous Logon，除非手动启用）。

• 替代方案: 建议使用经过身份验证的账户（如 Guest 或特定用户）替代匿名访问。

---

总结

Anonymous Logon 权限是为未经过身份验证的访问者设计的权限状态，默认情况下权限极低，仅限于特定配置的资源（如网络共享的读取权限）。它被包含在 Everyone 组中，但与 Authenticated Users、Users 和 Administrators 形成对比，远低于 TrustedInstaller 的系统保护级别。由于安全考虑，现代 Windows 严格限制其使用，推荐使用身份验证机制替代。