Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen beschrieben.
Referenzen
Mit dieser Richtlinieneinstellung wird die Berechtigung eines anonymen Benutzers, SID-Attribute für einen anderen Benutzer anzufordern, aktiviert oder deaktiviert.
Wenn diese Richtlinieneinstellung aktiviert ist, könnte ein Benutzer die bekannte Administratoren-SID verwenden, um den tatsächlichen Namen des integrierten Administratorkontos abzurufen, auch wenn das Konto umbenannt wurde. Diese Person könnte dann den Kontonamen verwenden, um einen Brute-Force-Angriff zur Ermittlung von Kennwörtern zu initiieren.
Eine falsche Verwendung dieser Richtlinieneinstellung ist ein häufiger Fehler, der zu Datenverlust oder Problemen in Bezug auf den Datenzugriff oder die Datensicherheit führen kann.
Mögliche Werte
Aktiviert
Ein anonymer Benutzer kann das SID-Attribut für einen anderen Benutzer anfordern. Ein anonymer Benutzer mit Kenntnis der SID eines Administrators könnte einen Computer kontaktieren, auf dem diese Richtlinie aktiviert ist, und die SID verwenden, um den Namen des Administrators zu erlangen. Diese Einstellung wirkt sich sowohl auf die SID-in-Name-Übersetzung als auch auf die Name-in-SID-Übersetzung aus.
Deaktiviert
Verhindert, dass ein anonymer Benutzer das SID-Attribut für einen anderen Benutzer anfordern kann.
Nicht definiert
Bewährte Methoden
- Legen Sie diese Richtlinie auf „Deaktiviert“ fest. Dies ist der Standardwert auf Mitgliedscomputern. Daher hat er auf diese keine Auswirkung. Der Standardwert für Domänencontroller ist „Aktiviert“.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Unterschiede zwischen Betriebssystemversionen
Der Standardwert dieser Einstellung unterscheidet sich zwischen den Betriebssystemen wie folgt:
Der Standardwert für Domänencontroller, auf denen Windows Server 2003 R2 oder früher ausgeführt wird, war auf „Aktiviert“ festgelegt.
Der Standardwert für Domänencontroller, auf denen Windows Server 2008 und höher ausgeführt wird, ist auf „Deaktiviert“ festgelegt.
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clientcomputern, Diensten und Anwendungen auswirken.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn diese Richtlinieneinstellung aktiviert ist, könnte ein Benutzer mit lokalem Zugriff die bekannte Administratoren-SID verwenden, um den tatsächlichen Namen des integrierten Administratorkontos herauszufinden, auch wenn es umbenannt wurde. Diese Person könnte dann den Kontonamen verwenden, um einen Angriff zum Ermitteln von Kennwörtern zu initiieren.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen.
Mögliche Auswirkung
„Deaktiviert“ ist die Standardkonfiguration für diese Richtlinieneinstellung auf Mitgliedsgeräten. Daher hat sie auf diese keine Auswirkung. Die Standardkonfiguration für Domänencontroller ist „Aktiviert“.