アカウント: Guest アカウントの状態
[アカウント: Guest アカウントの状態] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
[アカウント: Guest アカウントの状態] ポリシー設定は、Guest アカウントを有効にするか無効にするかを決定します。
このアカウントは、パスワードの無い Guest としてログオンすることで、ユーザーが認証されていないネットワークでシステムにアクセスできるようにします。承認されていないユーザーは、ネットワーク経由で、Guest アカウントがアクセスできるすべてのリソースにアクセスできます。これは、Guest アカウント、Guests グループ、または Everyone グループへのアクセスを可能にするアクセス許可を持つすべてのネットワーク共有フォルダーにネットワーク経由でアクセス可能になることを意味します。これは、データの漏えいや破損につながる可能性があります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
ビルトイン Guest アカウントを使用できなくするため [アカウント: Guest アカウントの状態] を無効に設定します。すべてのネットワーク ユーザーは、システム上の共有リソースにアクセスする前に認証が必要になります。Guest アカウントを無効にして、[ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル] を [Guest のみ] に設定した場合、SMB サーバーによって実行されている物などのネットワーク ログオンは失敗します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
既定の Guest アカウントを使うと、ユーザーは認証されていないネットワークでパスワードの無い Guest としてログオンできます。これらの承認されていないユーザーは、ネットワーク経由で、Guest アカウントがアクセスできるすべてのリソースにアクセスできます。この機能は、Guest アカウント、Guests グループ、または Everyone グループへのアクセスを可能にするアクセス許可を持つすべての共有フォルダーにネットワーク経由でアクセス可能になることを意味し、これはデータの漏えいや破損につながる可能性があります。
対策
ビルトイン Guest アカウントを使用できないように [アカウント: Guest アカウントの状態] 設定を無効にします。
考えられる影響
すべてのネットワーク ユーザーは、共有リソースにアクセスする前に認証が必要です。Guest アカウントを無効にして、[ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル] オプションを [Guest のみ] に設定した場合、Microsoft ネットワーク サーバーによって実行されている物など (SMB サービス) のネットワーク ログオンは失敗します。このポリシー設定は Windows Vista および Windows Server 2003 以降では既定の設定であるため、多くの組織ではほとんど影響はありません。