連載
» 2008年02月08日 00時00分 公開

魂まで支配されかねない「名前を知られる」という事件セキュリティ対策の「ある視点」(7)(3/4 ページ)

[辻 伸弘(ソフトバンク・テクノロジー株式会社),@IT]

ユーザー名を取得されないためのチェックポイント

 それでは、Windows 2000、Windows Server 2003それぞれにおいて、ユーザー名が取得されないための設定を紹介しよう。対策は、前述した項目を下記のように変更することとなる。

■Windows 2000の場合

 レジストリの設定を変更する、もしくはローカルセキュリティポリシーを使って設定を変更することができる。

  • レジストリでの設定方法

 レジストリエディタを使用し下記のように設定変更を行う。

レジストリキー \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
設定すべき値 RestrictAnonymous 2

図7-1 Windows 2000での対策(レジストリ変更の場合) 図7-1 Windows 2000での対策(レジストリ変更の場合)
  • ローカルセキュリティポリシーでの設定方法

 「セキュリティ設定」→「ローカルポリシー」→「セキュリティ オプション」の「匿名接続の追加を制限する」を「明示的な匿名アクセス権がない場合アクセスを許可しない」に変更する。

設定項目 設定すべき値
匿名接続の追加を制限する 明示的な匿名アクセス権がない場合アクセスを許可しない

図7-2 Windows 2000での対策(ローカルセキュリティポリシーによる対応の場合) 図7-2 Windows 2000での対策(ローカルセキュリティポリシーによる対応の場合)

 上記、いずれかの設定を行い、システムの再起動を行うことで設定の反映が行われる。

 以下に示した図が、上記の設定を施した後のLanSpyの結果である。

図8 対策後に取得できた情報 図8 対策後に取得できた情報

 これを見ると、ユーザー情報をはじめ取得可能だった情報が大幅に取得不可能になったことが分かるだろう。

■Windows Server 2003の場合

  • レジストリでの設定方法

 レジストリエディタを使用し下記のように設定変更を行う。

レジストリキー \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
設定すべき値 EveryoneIncludesAnonymous 0
RestrictAnonymous 1
RestrictAnonymousSAM 1

  • ローカルセキュリティポリシーでの設定方法

 Windows 2000と同じ要領で、下記のような組み合わせへと変更を行う。

設定項目 設定すべき値
Everyoneのアクセス許可を匿名ユーザに適用する 無効
SAMアカウントの匿名の列挙を許可しない 有効
SAMアカウントおよび共有の匿名の列挙を許可しない 有効

図9 Windows Server 2003での対策(ローカルセキュリティポリシーによる対応の場合) 図9 Windows Server 2003での対策(ローカルセキュリティポリシーによる対応の場合)

 上記、いずれかの設定を行い、システムの再起動を行うことで設定の反映が行われる。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。