それでは、Windows 2000、Windows Server 2003それぞれにおいて、ユーザー名が取得されないための設定を紹介しよう。対策は、前述した項目を下記のように変更することとなる。
レジストリの設定を変更する、もしくはローカルセキュリティポリシーを使って設定を変更することができる。
レジストリエディタを使用し下記のように設定変更を行う。
レジストリキー | \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa | |
---|---|---|
設定すべき値 | RestrictAnonymous | 2 |
「セキュリティ設定」→「ローカルポリシー」→「セキュリティ オプション」の「匿名接続の追加を制限する」を「明示的な匿名アクセス権がない場合アクセスを許可しない」に変更する。
設定項目 | 設定すべき値 |
---|---|
匿名接続の追加を制限する | 明示的な匿名アクセス権がない場合アクセスを許可しない |
上記、いずれかの設定を行い、システムの再起動を行うことで設定の反映が行われる。
以下に示した図が、上記の設定を施した後のLanSpyの結果である。
これを見ると、ユーザー情報をはじめ取得可能だった情報が大幅に取得不可能になったことが分かるだろう。
レジストリエディタを使用し下記のように設定変更を行う。
レジストリキー | \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa | |
---|---|---|
設定すべき値 | EveryoneIncludesAnonymous | 0 |
RestrictAnonymous | 1 | |
RestrictAnonymousSAM | 1 | |
Windows 2000と同じ要領で、下記のような組み合わせへと変更を行う。
設定項目 | 設定すべき値 |
---|---|
Everyoneのアクセス許可を匿名ユーザに適用する | 無効 |
SAMアカウントの匿名の列挙を許可しない | 有効 |
SAMアカウントおよび共有の匿名の列挙を許可しない | 有効 |
上記、いずれかの設定を行い、システムの再起動を行うことで設定の反映が行われる。
Copyright © ITmedia, Inc. All Rights Reserved.