|
|
Windows NTのシステムでは、「NET USE \\servername\IPC$ "" /USER:""」という形で認証なしのログオンが可能な、匿名ユーザー(Anonymous)という特別なアカウントが用意されています。匿名ユーザーは主にシステムが利用するアカウントですが、通常のアカウントのように制御したり無効にしたりすることはできません。サービスパック3以降では、Authenticated Usersというグループが新たに作られましたが、この特別なグループは(Everyone と異なり)匿名ユーザーを含みません。
認証なしのログオンが可能なこの特別なアカウントを利用し、名前付きパイプ共有(IPC$)経由で不正侵入者がシステムに存在するアカウントやグループ、共有資源に関する情報を入手する危険性があります。匿名ユーザーの制限を有効にすることで、不正侵入者に不必要な情報を渡すことを防ぐことができます。
次のいずれかの方法により、匿名ユーザーの制限を有効にすることができます。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa |
| Name | RestrictAnonymous |
| Type | REG_DWORD |
| Value | 1 |
匿名ユーザーの制限を有効にする場合は、値に「1」を設定します。
「ローカルポリシー」の中の「セキュリティオプション」で以下を「有効」にします。
匿名ユーザーがアカウント名と共有の列挙を不可能にする
匿名ユーザーによる、ネットワーク経由のレジストリへのアクセスを制限することも可能です。
次のいずれかの方法により、匿名ユーザーのネットワーク経由のレジストリへのアクセスを制限をすることができます。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters |
| Name | NullSessionPipes |
| Type | REG_MULTI_SZ |
| Value | リスト |
匿名ユーザーによるレジストリへのアクセスを制限するには、「NullSessionPipes」のリスト値にアクセスを許可するキーのリストを設定します。
デフォルトでは「NullSessionPipes」には以下のキーが設定されています。
COMNAP
COMNODE
SQL\QUERY
SPOOLSS
LLSRPC
EPMAPPER
LOCATOR
なし