出版
匿名ユーザーによるログオンからネットワークを保護する方法を学習します。
マイク・マリンズ
匿名ユーザーは、パスワードを入力せずに Web ページを表示する場合も、ヌル セッションを通じて Windows 共有に接続する場合も、
ネットワーク リソースの
ログイン資格情報を入力する必要はありません。
ただし、Windows 2000 または XP にアップグレードしても、
Windows NT
固有のこの Null セッション脆弱性は解消されません。この脆弱性
が許容できるものなのか、不要なのかは、ご自身で判断する必要があります。
例えば、
特定のマシンではユーザーに匿名でのログインとログオフを許可したい場合があります。これは、
すべての公開WebサーバーやFTPサーバーに当てはまります。しかし、ネットワークの残りの部分では
、匿名ログインを許可することはセキュリティリスクとなるため、
ロックダウンする必要があります。
あなたは脆弱ですか?
最初のステップは、
組織に脆弱性があるかどうかを把握し、誰かが
この脆弱性を悪用しているかどうかを判断することです。
Webサーバーをご利用の場合、
イベントビューアのセキュリティログに、
NT Authority/AnonymousイベントID 538(ログオフ)および540(ログオン)のエントリが多数記録されているはずです。これらのエントリは正常です。Webユーザーアカウントが
、ユーザーからのWebページ閲覧
要求をプロキシしている状態です。
ただし、
ファイルサーバーやワークステーションでは、NT Authority/Anonymous イベント ID 528 (ログオン) タイプ 3 は表示されないはずです
。これらのイベントは、匿名
ユーザーがネットワーク共有の閲覧または接続に成功したことを示します。
この脆弱性を解消するのは簡単です。グループポリシーまたは
マシンの
ローカルセキュリティポリシーを使用して、ネットワークを保護できます。
匿名ログオンを阻止する
Windows 2000 ServerおよびWindows Server 2003では、
Active Directoryとグループ
ポリシーを使用して匿名ログオンを無効にすることができます。以下の手順に従ってください。
- グループ ポリシーで、[コンピューターの
構成]、[Windows の設定]、[セキュリティの設定]
、[ローカル ポリシー] の順に展開します。 - セキュリティ オプションを選択します。
- 「匿名接続に対する追加の制限」をダブルクリックします
。 - 設定を
「SAM アカウントと共有の列挙を許可しない」に変更します。
または、グループポリシーを使用せずに、ローカルマシン上で変更を行うこともできます。以下の手順に従ってください。
- [スタート] | [実行] に移動します
。 - 「開く」テキストボックスに「secpol.msc」と入力し
、「OK」をクリックします。
ローカルセキュリティ設定アプレットが開きます。 - [ローカル ポリシー] を展開し、[セキュリティ
オプション] を選択します。 - Windows 2000 では、[匿名接続に対する追加の制限] をダブルクリックし
、設定を
[SAM アカウントと共有の列挙を許可しない] に変更します。
Windows XP では、[ネットワーク アクセス: SAM アカウントと共有の匿名の列挙を許可しない] をダブルクリックし、[有効] を選択して
[OK] をクリックします。
これで、ワークステーションと
サーバーを匿名ユーザーによるログオンから保護できるようになりました。
最後に
この脆弱性を解消できない状況がいくつかあり、その場合、
ユーザーへのネットワーク サービスやサーバー間の接続が失敗する可能性があることに注意してください。
こうした状況の一つとして、
ドメインをまだ混在モードで運用している場合が挙げられます。セキュリティの観点から言えば、
これはNT 4マシンを廃止し、
Windows 2000/XP/2003にネイティブ移行する理由の一つに過ぎません。
この脆弱性に関する詳細情報と
、このセキュリティ修正プログラムを実装できる場合と実装できない場合の制限については、
Microsoft サポート技術情報の記事 823659 を
参照してください。
マイク・マリンズは、米国シークレット・サービスでデータベース管理者およびネットワーク管理者補佐を務めた経験があります。また、国防情報システム局ではネットワークセキュリティ管理者を務めています。
ゲスト寄稿者
