ネットワーク アクセス: 匿名の SID と名前の変換を許可する
[ネットワーク アクセス: 匿名の SID と名前の変換を許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、匿名ユーザーが別のユーザーのセキュリティ識別子 (SID) 属性を要求する機能を有効または無効にします。
このポリシー設定を有効にした場合、ユーザーは、よく知られている Administrator SID を使用して、アカウントの名前が変更されている場合でも、ビルトイン Administrator アカウントの実際の名前を取得できます。さらに、そのアカウント名を使用してブルート フォース パスワード推測攻撃を開始することができます。
このポリシー設定は正しく使用しないと、データの喪失やデータ アクセスまたはセキュリティの問題を引き起こすエラーの原因となります。
設定可能な値
有効
匿名ユーザーは、別のユーザーの SID 属性を要求できます。管理者の SID を知っている匿名ユーザーは、このポリシーが有効になっているコンピューターにアクセスし、SID を使用して管理者の名前を取得することができます。この設定は、SID から名前への変換にも、名前から SID への変換にも影響します。
無効
匿名ユーザーが別のユーザーの SID 属性を要求できないようにします。
未定義
ベスト プラクティス
- このポリシーを [無効] に設定します。これは、メンバー コンピューターでの既定値です。そのため、メンバー コンピューターには影響はありません。ドメイン コントローラーの既定値は [有効] です。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
オペレーティング システムのバージョンの違い
この設定の既定値は、オペレーティング システム間で次のような違いがあります。
Windows Server 2003 R2 以前を実行するドメイン コントローラーの既定値は、[有効] に設定されていました。
Windows Server 2008 以降を実行するドメイン コントローラーの既定値は、[無効] に設定されていました。
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
この設定を変更すると、クライアント コンピューター、サービス、アプリケーションとの互換性に影響が生じる可能性があります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定を有効にした場合、ローカル アクセス権限を持つユーザーは、よく知られている Administrator SID を使用して、アカウントの名前が変更されている場合でも、ビルトイン Administrator アカウントの実際の名前を取得できます。さらに、そのアカウント名を使用してパスワード推測攻撃を開始することができます。
対策
[ネットワーク アクセス: 匿名の SID と名前の変換を許可する] 設定を無効にします。
潜在的な影響
メンバー デバイスでは、このポリシー設定の既定の構成は [無効] になっています。そのため、メンバー デバイスには影響はありません。ドメイン コントローラーの既定の構成は [有効] です。