Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben
Hier werden bewährte Methoden, Speicherort, Werte und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, welche zusätzlichen Berechtigungen dem Gerät für anonyme Verbindungen zugewiesen werden. Windows ermöglicht anonymen Benutzern die Ausführung bestimmter Aktivitäten, z. B. das Auflisten der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. zweckmäßig, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne ohne gegenseitige Vertrauensstellung Zugriff gewähren möchte.
Diese Richtlinieneinstellung hat keine Auswirkung auf Domänencontroller.
Eine falsche Verwendung dieser Richtlinieneinstellung ist ein häufiger Fehler, der zu Datenverlust oder Problemen in Bezug auf den Datenzugriff oder die Datensicherheit führen kann.
Mögliche Werte
Aktiviert
Deaktiviert
Der Administrator kann dem Gerät keine zusätzlichen Berechtigungen für anonyme Verbindungen zuweisen. Anonyme Verbindungen verwenden Standardberechtigungen.
Nicht definiert
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Aktiviert |
Effektive Standardeinstellungen für DC |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Aktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Aktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Richtlinienkonflikte
Auch wenn diese Richtlinieneinstellung aktiviert ist, haben anonyme Benutzer mit Berechtigungen, die explizit die integrierte Gruppe ANONYME ANMELDUNG (auf Systemen vor Windows Server 2008 und Windows Vista) enthalten, Zugriff auf Ressourcen.
Gruppenrichtlinie
Diese Richtlinie hat keine Auswirkung auf Domänencontroller.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein nicht autorisierter Benutzer könnte anonym Kontonamen auflisten und die Informationen verwenden, um Social-Engineering-Angriffe auszuführen oder Kennwörter zu erraten. Social-Engineering-Angreifer versuchen, die Benutzer in irgendeiner Weise zu täuschen, um an Kennwörter oder andere Sicherheitsinformationen zu gelangen.
Gegenmaßnahme
Aktivieren Sie die Einstellung Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben.
Mögliche Auswirkung
Es ist nicht möglich, Benutzern einer anderen Domäne über eine unidirektionale Vertrauensstellung Zugriff zu gewähren, da Administratoren in der vertrauenswürdigen Domäne keine Listen von Konten in der anderen Domäne aufzählen können. Benutzer, die anonym auf Datei- und Druckserver zugreifen, können die freigegebenen Netzwerkressourcen auf diesen Servern nicht auflisten. Die Benutzer müssen authentifiziert werden, bevor sie die Listen der freigegebenen Ordner und Drucker anzeigen können.