ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない
[ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、デバイスへの匿名接続に対して割り当てる、追加のアクセス許可を指定します。Windows では、ドメイン アカウントやネットワーク共有の名前の列挙など、一定の操作が匿名ユーザーに許可されます。これは、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可する場合に便利です。
このポリシー設定は、ドメイン コントローラーには影響を与えません。
このポリシー設定は正しく使用しないと、データの喪失やデータ アクセスまたはセキュリティの問題を引き起こすエラーの原因となります。
設定可能な値
有効
無効
管理者は、デバイスへの匿名接続のために追加のアクセス許可を割り当てることはできません。匿名接続は既定のアクセス許可に依存します。
未定義
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合
このポリシー設定を有効にしても、匿名ユーザーは、組み込みの ANONYMOUS LOGON グループが明示的に含まれるアクセス許可が与えられているリソースにアクセスできます (Windows Server 2008 および Windows Vista より前のシステムの場合)。
グループ ポリシー
このポリシーは、ドメイン コントローラーには影響を与えません。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
承認されていないユーザーが匿名でアカウント名を一覧表示し、その情報を使用して、ソーシャル エンジニアリング攻撃を実行したりパスワードを推測したりしようとする可能性があります。ソーシャル エンジニアリング攻撃とは、何らかの方法でユーザーを騙してパスワードや特定の形式のセキュリティ情報を入手しようとすることです。
対策
[ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない] 設定を有効にします。
潜在的な影響
一方向の信頼では別のドメインのユーザーにアクセスを許可することはできません。信頼する側のドメインの管理者が相手側ドメインのアカウントの一覧を列挙できないためです。ファイル サーバーおよびプリント サーバーに匿名でアクセスしているユーザーは、それらのサーバー上の共有ネットワーク リソースを一覧表示できません。共有フォルダーとプリンターの一覧を表示するには、ユーザーを認証する必要があります。