ドメインコントローラ ADサーバのNetBIOS経由でアカウント情報をのぞける匿名接続を禁止するレジストリ設定に関して、知らない情報だったのでシェアします。
いつも参考にしているtechnetにありました。
こちら
Windowsサーバ(ドメインコントローラーサーバ)匿名接続を禁止したい
質問の抜粋です。
脆弱性診断でWindowsサーバ(ドメインコントローラーサーバ)がNetBIOS経由でアカウント情報が確認できてしまうと指摘を受けました。
調べてみるとWindowsでデフォルトで許可されている匿名接続を禁止することで対応できることが分かりました。
具体的には以下レジストリDWORD値を、[0]から[1]にします。
**************************
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsaにある[RestrictAnonymous]というDWORD値を変更します
**************************
【相談】
上記のレジストリを変更することで、ネットワークが使えなくなるような悪影響は発生しますでしょうか。
知見のある方がいらっしゃいましたら、教えて頂けると幸いです。
宜しくお願いします。
回答です。
ポリシーでは「ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない」に相当するので
ネットワーク アクセス 匿名列挙を許可しない (Windows 10) - Windows security | Microsoft Docs
Client, service, and program issues can occur if you change security settings and user rights assignments (microsoft.com) (ちょっと古いですが)
を参照してください。現在サポートされているバージョンの Windows に関して言えば、この設定で問題が起きることは無いと思います。古いバージョン(Windows 2000 やそれ以前の NT 系)の Windows や古めの SAMBA などは影響を受ける場合があります。
ちゃんとサーバをリプレースしていれば影響はなさそうですが、セキュリティ的に問題のものがデフォルトで有効ということはチェックが必要ですね。
こちらにこのレジストリのわかりやすい情報がありました。
セキュリティを高めるためにWindowsの匿名接続を無効にしたい | 日経クロステック(xTECH)
 |
|
ロジクール ワイヤレスキーボード K295GP 静音 防水 キーボード 無線 Unifying K295 windows chrome グラファイト 国内正規品 |
