Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями

Содержит описание рекомендаций, расположения, значений и вопросов безопасности для параметра политики безопасности Сетевой доступ: не разрешать анонимное перечисление учетных записей управления лицензиями и общих ресурсов.

Справка

Этот параметр политики определяет, какие дополнительные разрешения будут даны анонимным подключениям к устройству. Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и сетевых папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Однако даже когда этот параметр политики включен, анонимные пользователи получат доступ к ресурсам с разрешениями, явным образом включающими встроенную группу АНОНИМНЫЙ ВХОД.

Этот параметр политики не влияет на контроллеры доменов.

Неправильное использование этого параметра политики является распространенной ошибкой и может привести к потере данных, проблемам с доступом к данным или безопасностью.

Возможные значения

  • Включено

  • Отключено

    Назначение администратором дополнительных разрешений для анонимных подключений к устройству не допускается. При анонимном подключении применяются разрешения по умолчанию. Тем не менее, неавторизованные пользователи могут анонимно получить доступ к списку имен учетных записей и использовать эти сведения для атаки методами социотехники или попыток угадать пароли.

  • Не определено

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Отключено

Действующие параметры контроллера домена по умолчанию

Отключено

Действующие параметры рядового сервера по умолчанию

Отключено

Действующие параметры клиентского компьютера по умолчанию

Отключено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Конфликты политики

Даже когда этот параметр политики включен, анонимные пользователи получат доступ к ресурсам с разрешениями, явным образом включающими встроенную группу АНОНИМНЫЙ ВХОД (на системах под управлением Windows Server 2008, Windows Vista и более ранних версий).

Групповая политика

Эта политика не влияет на контроллеры доменов.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Неавторизованные пользователи могут анонимно перечислять имена учетных записей и общие ресурсы и использовать эти сведения для атаки методами социотехники или попыток угадать пароли.

Меры противодействия

Включите параметр Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями.

Возможные последствия

Невозможно предоставить доступ пользователям другого домена через одностороннее отношения доверия, так как администраторы не могут перечислять списки учетных записей в другом домене. Пользователи, получающие доступ к файловым серверам и серверам печати анонимно, не могут перечислять общие сетевые ресурсы на этих серверах. Для просмотра списков общих папок и принтеров пользователям необходимо пройти проверку подлинности.

Связанные разделы

Параметры безопасности

 

 

Показ: