memo.xight.org

日々のメモ

Baseline Security Analyzer を使用

自動ログオン

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  DefaultPassword にパスワードが公開されている可能性がある.

自動ログオン 対処法

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  AutoAdminLogon が 1 なら 0 にして AutoLogon を Offにする.

  以下を削除
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  DefaultUserName
  DefaultPassword

  自動ログオンで使用するパスワードを LsaStorePrivateData API を使用してプログラムで保存すると
  以下のレジストリキーに暗号化されて保存される.
  HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal
  HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal

匿名ユーザーの制限

RestrictAnonymous 備考
0 制限なし.既定のアクセス許可に依存
1 セキュリティ アカウント マネージャ (SAM) のアカウントおよび名前の列挙は許可されない
2 明示的な匿名のアクセス許可なしではアクセスできません (Windows NT 4.0 では利用不可)
- 匿名ユーザーの制限 対処法
  1. [管理ツール]-[ローカルセキュリティポリシー]を起動
  [セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[匿名接続の追加を制限する]-[ローカルポリシーの設定]-[明示的な匿名アクセス権がない場合アクセスを許可しない]
  2. 再起動.

  1. 変更できない場合はレジストリを操作
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  値 : RestrictAnonymous
  値の種類 : REG_DWORD
  値のデータ : 0x2 (16進数)

  2. 再起動.

RestrictAnonymousを2に設定すると制限されること

・ダウンレベル メンバ ワークステーションまたはサーバーは,Netlogon のセキュリティで保護されたチャネルをセットアップできません.
・信頼する側のドメインのダウンレベル ドメイン コントローラは,Netlogon のセキュリティで保護されたチャネルをセットアップできません.
・Microsoft Windows NT ユーザーは,パスワードの有効期限が切れた後にパスワードを変更できません.また,Macintosh ユーザーはパスワードをまったく変更できません.
・ブラウザ サービスは,レジストリ値 RestrictAnonymous が 2 に設定されているコンピュータで実行されているバックアップ ブラウザ,マスタ ブラウザ,またはドメイン マスタ ブラウザから,ドメインの一覧またはサーバーの一覧を取得できません.この結果,ブラウザ サービスに依存しているすべてのプログラムは正常に機能しません.


Reference

  Windows2000でレジストリ値 RestrictAnonymousを使用する方法
  http://support.microsoft.com/default.aspx?scid=kb;ja;246261