网络访问: 将 Everyone 权限应用于匿名用户
介绍了有关“网络访问: 将 Everyone 权限应用于匿名用户”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
此策略设置确定哪些其他权限将授予给到设备的匿名连接。如果你启用此策略设置,匿名用户可以枚举域帐户和共享文件夹的名称,并执行某些其他活动。例如,当管理员想要将访问权限授予给不维护相互信任的受信任域中的用户时,此功能非常方便。
默认情况下,为匿名连接创建的令牌不包括 Everyone SID。因此,分配给 Everyone 组的权限不会应用于匿名用户。
可能值
启用
Everyone SID 将添加到为匿名连接创建的令牌,并且匿名用户可以访问已向 Everyone 组分配权限的任何资源。
禁用
Everyone SID 会从为匿名连接创建的令牌中删除。
未定义
最佳做法
- 将此策略设置为“禁用”****。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
已禁用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
未经授权的用户可以匿名列出帐户名和共享资源,并使用该信息来尝试猜测密码、执行社交工程攻击或启动 DoS 攻击。
对策
禁用“网络访问: 将 Everyone 权限应用于匿名用户”设置。
潜在影响
无。这是默认配置。