Сетевой доступ: разрешить трансляцию анонимного SID в имя
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевой доступ: разрешить анонимное преобразование идентификатора безопасности в имя.
Справка
С помощью этого параметра политики можно разрешить или запретить анонимным пользователям запрашивать атрибуты идентификатора безопасности (SID) другого пользователя.
Если этот параметр политики включен, пользователь, зная идентификатор безопасности администратора, может получить настоящее имя встроенной учетной записи администратора, даже если она была переименована. После этого возможно использование имени учетной записи для осуществления атаки методом подбора пароля.
Неправильное использование этого параметра политики является распространенной ошибкой и может привести к потере данных, проблемам с доступом к данным или безопасностью.
Возможные значения
Включено
Анонимный пользователь может запросить идентификатор безопасности другого пользователя. Анонимный пользователь, зная идентификатор безопасности администратора, может связаться с компьютером, на котором действует данная политика, и получить имя администратора по этому идентификатору. Данный параметр влияет как на преобразование идентификатора безопасности в имя, так и на обратное преобразование (имя в идентификатор безопасности).
Отключено
Анонимный пользователь не может запрашивать идентификатор безопасности другого пользователя.
Не определено
Рекомендации
- Отключите эту политику. Это значение используется на рядовых компьютерах по умолчанию, поэтому не оказывает на них никакого влияния. Значение по умолчанию для контроллеров домена — "Включено".
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Различия версий операционных систем
Значение этого параметра по умолчанию менялось в зависимости от операционной системы следующим образом:
Значение по умолчанию на контроллерах домена, работающих под управлением ОС Windows Server 2003 R2 или более ранней версии: включено
Значение по умолчанию на контроллерах домена под управлением Windows Server 2008 или более поздней версии — "Отключено".
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Изменение этого параметра может повлиять на совместимость с клиентскими компьютерами, службами и приложениями.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если этот параметр политики включен, пользователь с локальным доступом, зная идентификатор безопасности администратора, может получить настоящее имя встроенной учетной записи администратора, даже если она была переименована. После этого возможно использование имени учетной записи для осуществления атаки методом подбора пароля.
Меры противодействия
Отключите параметр Сетевой доступ: разрешить трансляцию анонимного SID в имя.
Возможные последствия
На рядовых устройствах этот параметр политики по умолчанию отключен, поэтому не оказывает на них никакого влияния. Значение по умолчанию для контроллеров — "Включено".