匿名ログオン ユーザーがアクセスできる情報の制限

文書翻訳 文書翻訳
文書番号: 143474 - 対象製品
この記事は、以前は次の ID で公開されていました: JP143474
すべて展開する | すべて折りたたむ

目次

概要

Windows NT には、匿名ログオン ユーザーがドメイン ユーザー名や共有名の一覧を取得する機能があります。しかし、セキュリティの強化を希望するユーザーからはこの機能を任意に制限するための機能が求められていました。Windows NT 4.0 Service Pack 3 と Windows NT 3.51 のホットフィックスには、匿名ログオン ユーザー (NULL セッション接続とも呼ばれる) がアカウント名や共有名の一覧を取得する機能を制限できる機構が用意されています。ドメイン コントローラからアカウント名の一覧を取得するプロセスは、Windows NT ACL エディタで必要になります。たとえば、アクセス権を与えるためにユーザーやグループの一覧を取得する場合などです。アカウント名の一覧表示は、共有へのアクセス権を与えるユーザーやグループを一覧から選択する際に、Windows NT エクスプローラでも使用されています。

詳細

単一の Windows NT ドメインに基づく Windows NT ネットワークでは常に、接続を認証してドメインのアカウント情報を一覧表示することができます。複数のドメインを使用した Windows NT ネットワークでは、アカウント情報を一覧表示するために匿名ユーザーのログオンが必要になる場合があります。匿名接続がどのように使用されるのか、簡単な例を使って示します。アカウント ドメインとリソース ドメインという 2 つの Windows NT ドメインを考えます。リソース ドメインには、アカウント ドメインと一方向の信頼関係があります。つまり、リソース ドメインはアカウント ドメインを信頼していますが、アカウント ドメインはリソース ドメインを信頼していません。アカウント ドメインのユーザーは、この一方向の信頼関係に基づいて認証を受け、リソース ドメインのリソースにアクセスすることができます。リソース ドメインの管理者が、あるファイルへのアクセス権をアカウント ドメインのユーザーに与える必要があるとします。この管理者は、アクセス権を与えるユーザーやグループを選択するためにアカウント ドメインからユーザーとグループの一覧を取得しなければなりません。しかし、アカウント ドメインがリソース ドメインを信頼していないため、リソース ドメインからの、ユーザーとグループの一覧を取得するという管理者による要求は、認証を受けることができません。こうして、アカウント ドメイン ユーザーの一覧を取得するために、NULL セッションを使用して接続が行われます。

似たような状況として、GUI ツールによって匿名接続でアカウント名を取得し、複数の Windows NT ドメイン間でアクセス制御情報を管理、保守する場合があります。GUI ツールには、Windows NT エクスプローラ、ユーザー マネージャ、および ACL エディタがあります。別の例としては、リソース ドメインでユーザー マネージャを使用して信頼されるアカウント ドメインのユーザーをローカル グループに追加する場合が考えられます。リソース ドメインのローカル グループにアカウント ドメインのユーザーを追加する 1 つの方法は、アカウント ドメインから名前の完全な一覧を取得せずに、わかっている "ドメイン\ユーザー名" を手作業で入力することです。もう 1 つの方法は、信頼されるアカウント ドメインのアカウントを使用して、リソース ドメイン内のシステムにログオンすることです。

Windows NT 環境で、匿名接続によるアカウント名の一覧表示を制限する必要がある場合は、Windows NT 4.0 Service Pack 3 または Windows NT 3.51 ホットフィックスをインストールすれば、この動作を制御することができます。

認証を受けたユーザーにのみアカウント名の一覧表示を許可し、匿名接続には禁止したい場合は、Windows NT 4.0 Service Pack 3 または Windows NT 3.51 ホットフィックスをインストールした後で、次のようにレジストリを変更する必要があります。

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要です。Microsoft は、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。
  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. レジストリの以下のキーに移動します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. [編集] メニューの [値の追加] をクリックします。次のように追加します。

    値の名前 : RestrictAnonymous
    データ型 : REG_DWORD
    値 : 1
  4. レジストリ エディタを終了し、変更を反映するためにコンピュータを再起動します。


このレジストリ値は、ローカル システム ポリシーを設定して、一覧取得機能を実行するときに認証が必要かどうかを設定します。アカウント名の一覧を取得する際の認証要求はオプションです。RestrictAnonymous の値を 1 に設定すると、セキュリティ管理用のGUI ツールで匿名接続を試みると、アカウント名の一覧を取得しようとした時点でアクセス拒否のエラーを受け取ります。RestrictAnonymous の値が 0 に設定されている、または定義されていない場合、匿名接続でアカウント名や共有名の一覧を取得することができます。RestrictAnonymous の値を 1 に設定した場合は、システムに付属の GUI ツールからはアカウント名の一覧を取得できませんが、個別のアカウント名を照会するための、匿名接続を制限しない Win32 APIが存在することに注意してください。

複数ドメイン モデルを採用している Windows NT ネットワークでは、機能的な制約を受けずに匿名接続を制限することができます。匿名接続を無効にする最初の手順は、リソース ドメインに信頼されるアカウント ドメインのメンバを必要に応じて特定のローカル グループに追加してから LSA RestrictAnonymous レジストリ エントリの値を変更することです。信頼されるアカウント ドメインのアカウントを使用してログオンしたユーザーは、認証を受けた接続を使用してアカウント名の一覧を取得し、セキュリティ アクセス制御を管理することができます。

匿名接続による共有名一覧の制限

リソースを共有するためにリモート ファイル アクセスを提供する Server サービスでも、LSA レジストリ値 (RestrictAnonymous) により、匿名接続が共有名の一覧を取得できるかどうかを制御します。したがって、管理者は 1 つのレジストリ エントリの値を設定するだけで、匿名ログオンによる一覧の取得要求に、システムがどのように応答するのかを定義できます。

匿名接続によるリモート レジストリ アクセスの制限

Windows NT 4.0 Service Pack 3 または Windows NT 3.51 ホットフィックスをインストールすると、匿名ユーザーはレジストリにリモート接続できなくなります。匿名ユーザーはレジストリに接続できず、レジストリ データの読み込みも書き込みもできなくなります。なお、Windows NT 4.0 では、次のレジストリ キーにあるアクセス制御リストを使用してドメイン ユーザーによるレジストリへのリモート アクセスを制限しています。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
このキーにある ACL は、レジストリへのリモート接続を許可する認証済みユーザーを指定します。Windows NT 4.0 Server の場合、デフォルトでは Administrators だけがレジストリにリモート アクセスできます。winreg\AllowedPaths サブキーは、winreg の ACL によって明示的にアクセス権を与えられていない認証済みユーザーが、プリンタ アクセスやその他のシステム操作に使用するレジストリの部分を指定します。Windows NT 4.0 Workstation コンピュータで、システムへのリモート レジストリ アクセスを制限するために winreg キーが定義される場合があります。

認証済みユーザーのビルトイン グループ

Windows NT 4.0 Service Pack 3 または Windows NT 3.51 ホットフィックスをインストールすると、Authenticated Users と呼ばれる新しいビルトイン グループが作成されます。Authenticated Users グループは、1 つの重要な点を除いて Everyone と同じです。この違いは、匿名ログオン ユーザー (または NULL セッション接続) は、Authenticated Users グループのメンバではないという点です。Authenticated Users のビルトイン セキュリティ ID は S-1-5-11 です。サーバーの Windows NT ドメイン、またはサーバーのドメインによって信頼されるドメインのアカウントによる認証済み接続は、Authenticated User として識別されます。Authenticated Users グループは、セキュリティ ACL エディタでリソースへのアクセスを与える際に利用できます。Windows NT 4.0 Service Pack 3 および Windows NT 3.51 ホットフィックスをインストールしても、Authenticated Users を使用するように Everyone に与えられたアクセス権が変更されるよう、アクセス制御リストを修正することはありません。

Windows NT 3.51 ホットフィックスについて

Windows NT 3.51 ホットフィックスは、以下から入手できます。
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/sec-fix

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 143474 (最終更新日 2000-03-28) を基に作成したものです。

プロパティ

文書番号: 143474 - 最終更新日: 2004年4月6日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Server 3.51
キーワード:?
kbinfo ntsrvwkst kbenv kbnetwork ntsecurity KB143474
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com