[匿名の制限] チェック

[匿名の制限] SSA チェックでは、RestrictAnonymous レジストリの設定を使用して、スキャンしたコンピュータへの匿名の接続が制限されているかどうかが判断されます。このレジストリ設定は次の場所にあります。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous

匿名ユーザーは、ユーザー名とその詳細、アカウント ポリシー、共有名などの特定の種類のシステム情報を一覧表示できます。このユーザー名と共有名の一覧から、次のような情報が潜在的な攻撃者に知られる可能性があります。

  • 管理者は誰か。
  • アカウント保護が脆弱なコンピュータはどれか。
  • どのコンピュータがネットワークと情報を共有しているか。

セキュリティの強化を希望するユーザーは、この機能を制限して、匿名ユーザーがこれらの情報にアクセスできないようにすることができます。

RestrictAnonymous レジストリの設定は、匿名ユーザーに付与される列挙のレベルを制御します。RestrictAnonymous に設定できる値は次のとおりです。

  • 0 — 制限なし。既定のアクセス許可に従って制限されます。
  • 1 — セキュリティ アカウント マネージャのアカウントおよび名前の列挙を許可しません。
  • 2 — 明示的な匿名アクセス許可がない限り、アクセスできません。

ドメイン コントローラや Microsoft Windows Small Business Server 2003 (Windows SBS) サーバー ソフトウェアを実行しているコンピュータでは、純粋な Windows 2000 Server 環境にあってアプリケーションの互換性がテストされていない限り、RestrictAnonymous を 2 に設定することはお勧めしません。さらに、RestrictAnonymous が 2 に設定されているクライアント コンピュータには、マスタ ブラウザのロールを与えないでください。

Windows XP では、組み込みの Everyone グループに与えられるアクセス許可が匿名ユーザーにも適用されるかどうかは、EveryoneIncludesAnonymous レジストリの設定にによって制御されます。既定では、Everyone グループに付与されるアクセス許可は、Windows XP の匿名ユーザーには適用されません。したがって、匿名ユーザーには、XP 以前の Windows オペレーティング システムにおける RestrictAnonymous の設定と同じレベルの制限が適用されます。

スコアに関連付けられている結果メッセージを確認します。

匿名アクセスを制限することをお勧めします。

Windows XP には EveryoneIncludesAnonymous レジストリの設定が存在するため、Windows XP およびそれ以降のオペレーティング システム では、スコアの付け方が Windows 2000 Server オペレーティング システムとは異なります。

Windows Vista および Windows XP におけるスコアの付け方と結果

次の表は、Windows Vista™ または Windows XP オペレーティング システムを実行しているコンピュータでこのチェックを実行した結果、Client Security がどのようにスコアを判断するかを示しています。また、関連するレポートに表示される結果メッセージも示しています。各スコアに対する結果メッセージを使用して、推奨される解決策を判断することができます。

スコア Everyone グループに匿名ユーザーが含まれる Restrict‌Anonymous 設定 結果メッセージ

はい

0

このコンピュータの RestrictAnonymous には 0 が設定されています。このレベルでは、ユーザー アカウント、アカウント ポリシー、システム情報の基本的な列挙が可能です。セキュリティ レベルを最大にするには、RestrictAnonymous に 2 を設定してください。

  

はい

存在しない

RestrictAnonymous キーがレジストリで設定されていません。このキーはレジストリに存在し、0 より大きい値が設定されている必要があります。

  

はい

0、1、または 2 のいずれでもない

このコンピュータの匿名アクセスの設定で、無効な値が検出されました。このコンピュータの現在の設定は、RestrictAnonymous = です。

はい

1

このコンピュータの RestrictAnonymous には 1 が設定されています。このレベルでは、ユーザー アカウント、アカウント ポリシー、システム情報の基本的な列挙が防止されます。セキュリティ レベルを最大にするには、RestrictAnonymous に 2 を設定してください。

はい

2

このコンピュータでは、匿名アクセスが正しく制限されています。

  

いいえ

任意の設定

このコンピュータでは、匿名アクセスが正しく制限されています。

Windows 2000 Server におけるスコアの付け方と結果

次の表は、 Windows 2000 Server を実行しているコンピュータ上でこのチェックを実行した結果、Client Security がどのようにスコアを判断するかを示しています。また、関連するレポートに表示される結果メッセージも示しています。各スコアに対する結果メッセージを使用して、推奨される解決策を判断することができます。

スコア RestrictAnonymous 設定 RestrictAnonymous 設定がない 結果メッセージ

0

いいえ

このコンピュータの RestrictAnonymous には 0 が設定されています。このレベルでは、ユーザー アカウント、アカウント ポリシー、システム情報の基本的な列挙が可能です。セキュリティ レベルを最大にするには、RestrictAnonymous に 2 を設定してください。

  

該当なし

はい

RestrictAnonymous キーがレジストリで設定されていません。このキーはレジストリに存在し、0 より大きい値が設定されている必要があります。

  

0、1、または 2 のいずれでもない

いいえ

このコンピュータの匿名アクセスの設定で、無効な値が検出されました。このコンピュータの現在の設定は、RestrictAnonymous = です。

1

いいえ

このコンピュータの RestrictAnonymous には 1 が設定されています。このレベルでは、ユーザー アカウント、アカウント ポリシー、システム情報の基本的な列挙が防止されます。セキュリティ レベルを最大にするには、RestrictAnonymous に 2 を設定してください。

2

いいえ

このコンピュータでは、匿名アクセスが正しく制限されています。

表示: