自動ログオン
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDefaultPassword にパスワードが公開されている可能性がある.
自動ログオン 対処法
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonAutoAdminLogon が 1 なら 0 にして AutoLogon を Offにする.
以下を削除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultUserName
DefaultPassword
自動ログオンで使用するパスワードを LsaStorePrivateData API を使用してプログラムで保存すると
以下のレジストリキーに暗号化されて保存される.
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal
匿名ユーザーの制限
RestrictAnonymous | 備考 |
0 | 制限なし.既定のアクセス許可に依存 |
1 | セキュリティ アカウント マネージャ (SAM) のアカウントおよび名前の列挙は許可されない |
2 | 明示的な匿名のアクセス許可なしではアクセスできません (Windows NT 4.0 では利用不可) |
1. [管理ツール]-[ローカルセキュリティポリシー]を起動
[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]-[匿名接続の追加を制限する]-[ローカルポリシーの設定]-[明示的な匿名アクセス権がない場合アクセスを許可しない]
2. 再起動.
1. 変更できない場合はレジストリを操作
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値 : RestrictAnonymous
値の種類 : REG_DWORD
値のデータ : 0x2 (16進数)
2. 再起動.
RestrictAnonymousを2に設定すると制限されること
・ダウンレベル メンバ ワークステーションまたはサーバーは,Netlogon のセキュリティで保護されたチャネルをセットアップできません.
・信頼する側のドメインのダウンレベル ドメイン コントローラは,Netlogon のセキュリティで保護されたチャネルをセットアップできません.
・Microsoft Windows NT ユーザーは,パスワードの有効期限が切れた後にパスワードを変更できません.また,Macintosh ユーザーはパスワードをまったく変更できません.
・ブラウザ サービスは,レジストリ値 RestrictAnonymous が 2 に設定されているコンピュータで実行されているバックアップ ブラウザ,マスタ ブラウザ,またはドメイン マスタ ブラウザから,ドメインの一覧またはサーバーの一覧を取得できません.この結果,ブラウザ サービスに依存しているすべてのプログラムは正常に機能しません.
Reference
Windows2000でレジストリ値 RestrictAnonymousを使用する方法http://support.microsoft.com/default.aspx?scid=kb;ja;246261