Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями
Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Сетевой доступ: не разрешать анонимное перечисление учетных записей управления лицензиями и общих ресурсов.
Справка
Этот параметр политики определяет, какие дополнительные разрешения будут даны анонимным подключениям к устройству. Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и сетевых папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Однако даже когда этот параметр политики включен, анонимные пользователи получат доступ к ресурсам с разрешениями, явным образом включающими встроенную группу АНОНИМНЫЙ ВХОД.
Этот параметр политики не влияет на контроллеры доменов.
Неправильное использование этого параметра политики является распространенной ошибкой и может привести к потере данных, проблемам с доступом к данным или безопасностью.
Возможные значения
Включено
Отключено
Назначение администратором дополнительных разрешений для анонимных подключений к устройству не допускается. При анонимном подключении применяются разрешения по умолчанию. Тем не менее, неавторизованные пользователи могут анонимно получить доступ к списку имен учетных записей и использовать эти сведения для атаки методами социотехники или попыток угадать пароли.
Не определено
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Конфликты политики
Даже когда этот параметр политики включен, анонимные пользователи получат доступ к ресурсам с разрешениями, явным образом включающими встроенную группу АНОНИМНЫЙ ВХОД (на системах под управлением Windows Server 2008, Windows Vista и более ранних версий).
Групповая политика
Эта политика не влияет на контроллеры доменов.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Неавторизованные пользователи могут анонимно перечислять имена учетных записей и общие ресурсы и использовать эти сведения для атаки методами социотехники или попыток угадать пароли.
Меры противодействия
Включите параметр Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями.
Возможные последствия
Невозможно предоставить доступ пользователям другого домена через одностороннее отношения доверия, так как администраторы не могут перечислять списки учетных записей в другом домене. Пользователи, получающие доступ к файловым серверам и серверам печати анонимно, не могут перечислять общие сетевые ресурсы на этих серверах. Для просмотра списков общих папок и принтеров пользователям необходимо пройти проверку подлинности.