[port139:01633] Re: Windows に潜むデフォルト設定の落とし穴

[Makoto Shiotsuki <shio@xxxxxxxxxxxx>]

伊原さん、復活おめでとうございます。:)

>で、RestrictAnonymous=2 が Windows 2000 では取れるので(1) NULL
>ログオンを完全に拒否できますが、XP ではこれが有効ではなくなった。
>このさい、アカウント情報が漏れるのは仕方がないとあきらめる:p

少し試してみました。

Null接続による情報取得に関係するXP Proのデフォルト設定は以下の通りです。

ネットワークアクセス: 匿名の SID と名前の変換を許可する               無効
ネットワークアクセス: SAM アカウントの匿名の列挙を許可しない          有効
ネットワークアクセス: SAMアカウントおよび共有の匿名の列挙を許可しない 無効
ネットワークアクセス: Everyone のアクセス許可を匿名ユーザーに適用する 無効

この場合、Null接続自体はできますが、

   アカウント列挙    ... できない
   共有列挙          ... できる
   user2sid/sid2user ... できない

となります。つまり、デフォルトではNULL接続でアカウント情報を
取得することができないようです。

「SAMアカウントおよび共有の匿名の列挙を許可しない」を有効にすると
共有の列挙もできなくなります。

一方、「匿名の SID と名前の変換を許可する」を有効にすると
user2sid/sid2user等によりSIDからユーザ名を入手できるようになります。

ちなみに「匿名の SID と名前の変換を許可する」は、どうもレジストリ
の設定ではないみたい。(よくわからないけど)

XP ProでNULL接続自体を拒否する方法は良くわかりません。

塩月