魂まで支配されかねない「名前を知られる」という事件:セキュリティ対策の「ある視点」(7)(3/4 ページ)
» 2008年02月08日 00時00分 公開
[辻 伸弘(ソフトバンク・テクノロジー株式会社),@IT]
ユーザー名を取得されないためのチェックポイント
それでは、Windows 2000、Windows Server 2003それぞれにおいて、ユーザー名が取得されないための設定を紹介しよう。対策は、前述した項目を下記のように変更することとなる。
■Windows 2000の場合
レジストリの設定を変更する、もしくはローカルセキュリティポリシーを使って設定を変更することができる。
- レジストリでの設定方法
レジストリエディタを使用し下記のように設定変更を行う。
| レジストリキー | \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa | |
|---|---|---|
| 設定すべき値 | RestrictAnonymous | 2 |
図7-1 Windows 2000での対策(レジストリ変更の場合)- ローカルセキュリティポリシーでの設定方法
「セキュリティ設定」→「ローカルポリシー」→「セキュリティ オプション」の「匿名接続の追加を制限する」を「明示的な匿名アクセス権がない場合アクセスを許可しない」に変更する。
| 設定項目 | 設定すべき値 |
|---|---|
| 匿名接続の追加を制限する | 明示的な匿名アクセス権がない場合アクセスを許可しない |
上記、いずれかの設定を行い、システムの再起動を行うことで設定の反映が行われる。
以下に示した図が、上記の設定を施した後のLanSpyの結果である。
図8 対策後に取得できた情報これを見ると、ユーザー情報をはじめ取得可能だった情報が大幅に取得不可能になったことが分かるだろう。
■Windows Server 2003の場合
- レジストリでの設定方法
レジストリエディタを使用し下記のように設定変更を行う。
| レジストリキー | \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa | |
|---|---|---|
| 設定すべき値 | EveryoneIncludesAnonymous | 0 |
| RestrictAnonymous | 1 | |
| RestrictAnonymousSAM | 1 | |
- ローカルセキュリティポリシーでの設定方法
Windows 2000と同じ要領で、下記のような組み合わせへと変更を行う。
| 設定項目 | 設定すべき値 |
|---|---|
| Everyoneのアクセス許可を匿名ユーザに適用する | 無効 |
| SAMアカウントの匿名の列挙を許可しない | 有効 |
| SAMアカウントおよび共有の匿名の列挙を許可しない | 有効 |
上記、いずれかの設定を行い、システムの再起動を行うことで設定の反映が行われる。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。