ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する
[ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、デバイスへの匿名接続に対して与える、追加のアクセス許可の内容を指定します。このポリシー設定を有効にした場合、匿名ユーザーはドメイン アカウントと共有フォルダーの名前を列挙し、他の特定のアクティビティを実行できます。この機能は、たとえば、相互の信頼が維持されていない、信頼されるドメインのユーザーに対して管理者がアクセスを許可する場合に便利です。
既定では、匿名接続用に作成されたトークンには、Everyone の SID は含まれません。そのため、Everyone グループに割り当てられているアクセス許可は匿名ユーザーには適用されません。
設定可能な値
有効
匿名接続用に作成されたトークンに Everyone の SID が追加され、Everyone グループにアクセス許可が割り当てられているリソースであれば、匿名ユーザーはアクセスできます。
無効
Everyone の SID は匿名接続用に作成されたトークンから削除されます。
未定義
ベスト プラクティス
- このポリシーを [無効] に設定します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
承認されていないユーザーが匿名でアカウント名や共有リソースを一覧表示し、その情報を使用して、パスワードを推測したりソーシャル エンジニアリング攻撃や DOS 攻撃を実行したりしようとする可能性があります。
対策
[ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する] 設定を無効にします。
潜在的な影響
なし。これは既定の構成です。