Netzwerkzugriff: Die Verwendung von ‚Jeder‘-Berechtigungen für anonyme Benutzer ermöglichen
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Die Verwendung von " Jeder"-Berechtigungen für anonyme Benutzer ermöglichen beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Gerät gewährt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können anonyme Benutzer die Namen von Domänenkonten und freigegebenen Ordnern auflisten und bestimmte andere Aktivitäten ausführen. Diese Funktion ist z. B. zweckmäßig, wenn ein Administrator Benutzern in einer vertrauenswürdigen Domäne ohne gegenseitige Vertrauensstellung Zugriff gewähren möchte.
Standardmäßig ist in dem Token, das für anonyme Verbindungen erstellt wird, die SID von ‚Jeder‘ nicht enthalten. Aus diesem Grund gelten Berechtigungen, die der Gruppe von ‚Jeder‘ zugewiesen werden, nicht für anonyme Benutzer.
Mögliche Werte
Aktiviert
Die ‚Jeder‘-SID wird dem Token, das für anonyme Verbindungen erstellt wird, hinzugefügt, und anonyme Benutzer können auf alle Ressourcen zugreifen, für die der ‚Jeder‘-Gruppe Berechtigungen zugewiesen wurden.
Deaktiviert
Die ‚Jeder‘-SID wird aus dem Token entfernt, das für anonyme Verbindungen erstellt wird.
Nicht definiert
Bewährte Methoden
- Legen Sie diese Richtlinie auf Deaktiviert fest.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Funktionen und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Ein nicht autorisierter Benutzer könnte anonym Kontonamen und freigegebene Ressourcen auflisten und die Informationen verwenden, um Kennwörter zu erraten oder um Social-Engineering-Angriffe oder DoS-Angriffe auszuführen.
Gegenmaßnahme
Deaktivieren Sie die Einstellung Netzwerkzugriff: Die Verwendung von ‚Jeder‘-Berechtigungen für anonyme Benutzer ermöglichen.
Mögliche Auswirkung
Keine. Dies ist die Standardkonfiguration.