Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen beschrieben.

Referenzen

Mit dieser Richtlinieneinstellung wird die Berechtigung eines anonymen Benutzers, SID-Attribute für einen anderen Benutzer anzufordern, aktiviert oder deaktiviert.

Wenn diese Richtlinieneinstellung aktiviert ist, könnte ein Benutzer die bekannte Administratoren-SID verwenden, um den tatsächlichen Namen des integrierten Administratorkontos abzurufen, auch wenn das Konto umbenannt wurde. Diese Person könnte dann den Kontonamen verwenden, um einen Brute-Force-Angriff zur Ermittlung von Kennwörtern zu initiieren.

Eine falsche Verwendung dieser Richtlinieneinstellung ist ein häufiger Fehler, der zu Datenverlust oder Problemen in Bezug auf den Datenzugriff oder die Datensicherheit führen kann.

Mögliche Werte

• Aktiviert

  Ein anonymer Benutzer kann das SID-Attribut für einen anderen Benutzer anfordern. Ein anonymer Benutzer mit Kenntnis der SID eines Administrators könnte einen Computer kontaktieren, auf dem diese Richtlinie aktiviert ist, und die SID verwenden, um den Namen des Administrators zu erlangen. Diese Einstellung wirkt sich sowohl auf die SID-in-Name-Übersetzung als auch auf die Name-in-SID-Übersetzung aus.

• Deaktiviert

  Verhindert, dass ein anonymer Benutzer das SID-Attribut für einen anderen Benutzer anfordern kann.

• Nicht definiert

Bewährte Methoden

• Legen Sie diese Richtlinie auf „Deaktiviert“ fest. Dies ist der Standardwert auf Mitgliedscomputern. Daher hat er auf diese keine Auswirkung. Der Standardwert für Domänencontroller ist „Aktiviert“.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Unterschiede zwischen Betriebssystemversionen

Der Standardwert dieser Einstellung unterscheidet sich zwischen den Betriebssystemen wie folgt:

• Der Standardwert für Domänencontroller, auf denen Windows Server 2003 R2 oder früher ausgeführt wird, war auf „Aktiviert“ festgelegt.

• Der Standardwert für Domänencontroller, auf denen Windows Server 2008 und höher ausgeführt wird, ist auf „Deaktiviert“ festgelegt.

Richtlinienverwaltung

In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Gruppenrichtlinie

Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clientcomputern, Diensten und Anwendungen auswirken.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Wenn diese Richtlinieneinstellung aktiviert ist, könnte ein Benutzer mit lokalem Zugriff die bekannte Administratoren-SID verwenden, um den tatsächlichen Namen des integrierten Administratorkontos herauszufinden, auch wenn es umbenannt wurde. Diese Person könnte dann den Kontonamen verwenden, um einen Angriff zum Ermitteln von Kennwörtern zu initiieren.

Gegenmaßnahme

Deaktivieren Sie die Einstellung Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen.

Mögliche Auswirkung

„Deaktiviert“ ist die Standardkonfiguration für diese Richtlinieneinstellung auf Mitgliedsgeräten. Daher hat sie auf diese keine Auswirkung. Die Standardkonfiguration für Domänencontroller ist „Aktiviert“.

Verwandte Themen

Sicherheitsoptionen