Restric Anonymousレジストリの変更
0.改訂履歴
- 2005.09.05 新規作成
1.はじめに
このドキュメントでは,RestricAnonymousレジストリを設定して,匿名ユーザの接続を制限する手順を説明する. 主目的としては,MBSAにて合格点を貰うための作業となる. この値は,ドメイン環境を構築しているサーバの場合には,慎重に条件について調査した上で適用が必須となっている.
2.説明
- このレジストリは,匿名ユーザに許可されるリストのレベルをコントロールする.
設定値 | 意味 |
---|---|
0
|
制限なし.既定に依存する. |
1
|
セキュリティアカウントマネージャのアカウント等は列挙されない. |
2
|
匿名アクセスできない |
- MBSAの調査結果を確認する.
- ここで無条件に2に設定すれば良いと書かれているが,以下の点について確認が必要である.
- 参考文献
- Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
- 参考文献
- 抜粋すると次のような項目がある.
- 制限される事は次の通り.
- 古いクライアントOSやサーバOS(Windows2000以前)からのNetLogon経由の接続ができなくなる.
- 古いドメインコントローラ(Windows2000以前)からドメイン信頼関係を結ぶ事ができない.
- WindowsNTユーザが期限切れ後,パスワードを変更できない.
- Macユーザは全く変更できない.
- サーバ一覧が取得できないので,ブラウザサービスが使えない.
- 当然マスタサーバでこのレジストリを設定しては行けない.
3.レジストリエディタで修正する
- regedt32を起動する.
- RestrictAnonumousキーを探す.
- 現在は,規定値の0となってる.
- 2に変更する.
- 変更後,OSを再起動する.