|
|
Windows 2000のシステムでは、「NET USE \\servername\IPC$ "" /USER:""」という形で認証なしのログオンが可能な、匿名ユーザー(Anonymous)という特別なアカウントが用意されています。匿名ユーザーは主にシステムが利用するアカウントですが、通常のアカウントのように制御したり無効にしたりすることはできません。Authenticated Usersというグループがありますが、この特別なグループは(Everyone と異なり)匿名ユーザーを含みません。
認証なしのログオンが可能なこの特別なアカウントを利用し、名前付きパイプ共有(IPC$)経由で不正侵入者がシステムに存在するアカウントやグループ、共有資源に関する情報を入手する危険性があります。匿名ユーザーの制限を有効にすることで、不正侵入者に不必要な情報を渡すことを防ぐことができます。
次のいずれかの方法により、匿名ユーザーの制限を有効にすることができます。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa |
| Name | RestrictAnonymous |
| Type | REG_DWORD |
| Value | 1 |
匿名ユーザーの制限を有効にする場合は、値に「1」を設定します。
Windows 2000では、RestrictAnonymousの値として「2」を利用することもできます。「2」を指定した場合、匿名ユーザーのログオンが許可されなくなります。
「ローカルポリシー」の中の「セキュリティオプション」で以下を「有効」にします。
SAMのアカウントと共有の列挙を許可しない
匿名ユーザーによる、ネットワーク経由のレジストリへのアクセスを制限することも可能です。
次のいずれかの方法により、匿名ユーザーのネットワーク経由のレジストリへのアクセスを制限をすることができます。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters |
| Name | NullSessionPipes |
| Type | REG_MULTI_SZ |
| Value | リスト |
匿名ユーザーによるレジストリへのアクセスを制限するには、「NullSessionPipes」のリスト値にアクセスを許可するキーのリストを設定します。
デフォルトでは「NullSessionPipes」には以下のキーが設定されています。
COMNAP
COMNODE
SQL\QUERY
SPOOLSS
LLSRPC
EPMAPPER
LOCATOR
なし