匿名接続経由のアクセスを制限する方法

| | コメント(0) | トラックバック(1)

日本語版 MBSA 1.2 (このblogより) で引っかかった項目の一つを直しました。

Windows 2000 ベースのコンピュータ上で、匿名接続経由のアクセスを制限する方法です。

・Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
http://support.microsoft.com/default.aspx?scid=kb;ja;246261

「ローカル セキュリティ ポリシー MMC スナップインを使う方法」と、「レジストリを直接いじる方法」が紹介されていました。
結果はどちらでやっても同じです。

レジストリをいじる場合以下のキーのRestrictAnonymousというレジストリ値を設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

レジストリ値 RestrictAnonymous は 以下の設定に対応します。
0 : [なし (既定のアクセス権に依存)]
1 : [SAM のアカウントと共有の列挙を許可しない]
2 : [明示的な匿名アクセス許可がない場合アクセスを許可しない]

今回は、RestrictAnonymous を 0 から 2 に 変更しました。
Everyone グループに匿名ユーザが含まれなくなったと認識してますが、あってるかな?

(2004/09/06 追記 ここから)

Windows XPでは、「RestrictAnonymous」の選択肢は「0」か「1」。

・匿名接続(NULL接続)に関するメモ
http://www.port139.co.jp/ntsec_null.htm
この辺も参考に。

Windows XP には、ビルトイン Everyone グループに与えられたアクセス許可を匿名ユーザーに適用するかどうかを制御する新しい EveryoneIncludesAnonymous レジストリ設定があります。Windows XP の既定では、Everyone グループに付与されているアクセス許可は匿名ユーザーに適用されません。従来の Windows オペレーティング システムの RestrictAnonymous 設定と同じレベルの匿名ユーザーの制限が適用されます。
Microsoft Baseline Security Analyzerのヘルプ 「匿名ユーザーの制限」

って書いてありました。

「EveryoneIncludesAnonymous」を「0」にすると、ローカルEveryoneグループは匿名ユーザを含まなくて、「1」にすると、ローカルEveryoneグループは匿名ユーザを含むという認識でいいかな?
てことは?
制限をきつくするには「0」にしておけばいいかな?(デフォルトは「0」らしい)

(2004/09/06 追記 ここまで)

リンク

(2004/02/25 追記)
・IPC$(Inter-Process Communication、プロセス間通信)への匿名ユーザーによる接続
http://members.at.infoseek.co.jp/tef_tef/tips/ipc.html
この中にあるリンクも参照のこと。

トラックバック(1)

このブログ記事を参照しているブログ一覧: 匿名接続経由のアクセスを制限する方法

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/170

» [Windows][Registry]restrictanonymousキー。(りっくでぃあすの日記)~のトラックバック

って、喜んでみたのですが、この[restrictanonymous]、名前的にちょっと危ない気がします。 なので、このキーについてもう少し調べてみました。 How to use the RestrictAnonymous registry value in Windows 2000 コンピュータ系blog: 匿名接続経由のアクセスを制限する方 続きを読む

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年2月 6日 01:53に書いたブログ記事です。

ひとつ前のブログ記事は「日本語版 MBSA 1.2」です。

次のブログ記事は「Protected Storage PassView」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261