ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない

適用対象

  • Windows 10

ネットワーク アクセスのベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します 。SAM アカウントの匿名列挙を許可し、セキュリティ ポリシー設定を共有しない。

リファレンス

このポリシー設定は、デバイスへの匿名接続に割り当てられる追加のアクセス許可を決定します。 Windows匿名ユーザーは、ドメイン アカウントやネットワーク共有の名前の列挙など、特定のアクティビティを実行できます。 これは、たとえば、管理者が相互信頼を維持しない信頼されたドメイン内のユーザーにアクセス権を与える場合に便利です。 ただし、このポリシー設定が有効になっている場合でも、匿名ユーザーは、組み込みのグループである ANONYMOUS LOGON を明示的に含むアクセス許可を持つリソースにアクセスできます。

このポリシー設定は、ドメイン コントローラーに影響を与える影響はありません。 このポリシー設定の誤用は、データアクセスやセキュリティに関するデータ損失や問題を引き起こす可能性のある一般的なエラーです。

  • 有効

  • 無効

    管理者は、デバイスへの匿名接続に対して追加のアクセス許可を割り当てできません。 匿名接続は、既定のアクセス許可に依存します。 ただし、承認されていないユーザーは匿名でアカウント名を一覧表示し、この情報を使用してパスワードの推測やソーシャル エンジニアリング攻撃の実行を試みる可能性があります。

  • 未定義

Location

コンピューターの構成\Windows 設定\セキュリティ 設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 未定義
Stand-Alone サーバーの既定の設定 無効
DC 有効な既定の設定 無効
メンバー サーバーの有効な既定の設定 無効
クライアント コンピューターの有効な既定設定 無効

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。

再起動の必要性

なし。 このポリシーに対する変更は、デバイスをローカルに保存したり、グループ ポリシーを通じて配布したりすると、デバイスを再起動せずに有効になります。

ポリシーの競合

このポリシー設定が有効になっている場合でも、匿名ユーザーは、組み込みのグループである ANONYMOUS LOGON (Windows Server 2008 および Windows Vista より前のシステム) を明示的に含むアクセス許可を持つリソースにアクセスできます。

グループ ポリシー

このポリシーは、ドメイン コントローラーに影響を与える影響はありません。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

承認されていないユーザーは、アカウント名と共有リソースを匿名で一覧表示し、この情報を使用してパスワードの推測やソーシャル エンジニアリング攻撃の実行を試みる可能性があります。

対抗策

ネットワーク アクセス を有効にする: SAM アカウントと共有の匿名列挙設定を許可 しない。

潜在的な影響

信頼しているドメインの管理者が他のドメインのアカウントのリストを列挙できないので、一方的な信頼を通じて別のドメインのユーザーにアクセス権を付与することはできません。 ファイル サーバーと印刷サーバーに匿名でアクセスするユーザーは、それらのサーバー上の共有ネットワーク リソースを一覧表示できません。共有フォルダーとプリンターのリストを表示するには、ユーザーを認証する必要があります。

関連トピック