memo.xight.org

- 自動ログオン
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  DefaultPassword にパスワードが公開されている可能性がある．

- 自動ログオン 対処法
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  AutoAdminLogon が 1 なら 0 にして AutoLogon を Offにする．

  以下を削除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  DefaultUserName
  DefaultPassword

  自動ログオンで使用するパスワードを LsaStorePrivateData API を使用してプログラムで保存すると
  以下のレジストリキーに暗号化されて保存される．
  HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal
  HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal

- 匿名ユーザーの制限

RestrictAnonymous	備考
0	制限なし．既定のアクセス許可に依存
1	セキュリティ アカウント マネージャ (SAM) のアカウントおよび名前の列挙は許可されない
2	明示的な匿名のアクセス許可なしではアクセスできません (Windows NT 4.0 では利用不可)

- 匿名ユーザーの制限 対処法
  1. [管理ツール]-[ローカルセキュリティポリシー]を起動
  [セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[匿名接続の追加を制限する]-[ローカルポリシーの設定]-[明示的な匿名アクセス権がない場合アクセスを許可しない]
  2. 再起動．

  1. 変更できない場合はレジストリを操作
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  値 : RestrictAnonymous
  値の種類 : REG_DWORD
  値のデータ : 0x2 (16進数)

  2. 再起動．
- RestrictAnonymousを2に設定すると制限されること

・ダウンレベル メンバ ワークステーションまたはサーバーは，Netlogon のセキュリティで保護されたチャネルをセットアップできません．
・信頼する側のドメインのダウンレベル ドメイン コントローラは，Netlogon のセキュリティで保護されたチャネルをセットアップできません．
・Microsoft Windows NT ユーザーは，パスワードの有効期限が切れた後にパスワードを変更できません．また，Macintosh ユーザーはパスワードをまったく変更できません．
・ブラウザ サービスは，レジストリ値 RestrictAnonymous が 2 に設定されているコンピュータで実行されているバックアップ ブラウザ，マスタ ブラウザ，またはドメイン マスタ ブラウザから，ドメインの一覧またはサーバーの一覧を取得できません．この結果，ブラウザ サービスに依存しているすべてのプログラムは正常に機能しません．

- Reference
  Windows2000でレジストリ値 RestrictAnonymousを使用する方法
  http://support.microsoft.com/default.aspx?scid=kb;ja;246261