Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Network access: Do not allow anonymous enumeration of SAM accounts and shares

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для сетевого доступа: не разрешайте анонимное нумерацию учетных записей SAM и параметров политики безопасности для доступа к ресурсам. Describes the best practices, location, values, and security considerations for the Network access: Do not allow anonymous enumeration of SAM accounts and shares security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие дополнительные разрешения будут назначены для анонимных подключений к устройству. This policy setting determines which additional permissions will be assigned for anonymous connections to the device. Windows позволяет анонимным пользователям выполнять определенные действия, такие как enumerating the names of domain accounts and network shares. Windows allows anonymous users to perform certain activities, such as enumerating the names of domain accounts and network shares. Это удобно, например, если администратор хочет предоставить доступ пользователям в доверенном домене, который не поддерживает взаимное доверие. This is convenient, for example, when an administrator wants to give access to users in a trusted domain that does not maintain a reciprocal trust. Однако даже если этот параметр политики включен, анонимные пользователи будут иметь доступ к ресурсам с разрешениями, которые явно включают встроенную группу ANONYMOUS LOGON. However, even with this policy setting enabled, anonymous users will have access to resources with permissions that explicitly include the built-in group, ANONYMOUS LOGON.

Этот параметр политики не влияет на контроллеры домена. This policy setting has no impact on domain controllers. Неправильное использование этого параметра политики — распространенная ошибка, которая может привести к потере данных или проблемам с доступом к данным или безопасностью. Misuse of this policy setting is a common error that can cause data loss or problems with data access or security.

Возможные значения Possible values

Администратор не может на назначены дополнительные разрешения для анонимных подключений к устройству. No additional permissions can be assigned by the administrator for anonymous connections to the device. Анонимные подключения будут зависеть от разрешений по умолчанию. Anonymous connections will rely on default permissions. Однако неавторизованный пользователь может анонимно перечислить имена учетных записей и использовать эти сведения для попытки угадать пароли или выполнить атаки со службой социальной инженерии. However, an unauthorized user could anonymously list account names and use the information to attempt to guess passwords or perform social-engineering attacks.

Не определено Not defined

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Конфликты политик Policy conflicts

Даже если этот параметр политики включен, анонимные пользователи будут иметь доступ к ресурсам с разрешениями, которые явно включают встроенную группу ANONYMOUS LOGON (в системах до Windows Server 2008 и Windows Vista). Even with this policy setting enabled, anonymous users will have access to resources with permissions that explicitly include the built-in group, ANONYMOUS LOGON (on systems earlier than Windows Server 2008 and Windows Vista).

Групповая политика Group Policy

Эта политика не влияет на контроллеры домена. This policy has no impact on domain controllers.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Неавторизованный пользователь может анонимно перечислять имена учетных записей и общие ресурсы, а также использовать эти сведения для попытки угадать пароли или выполнить атаки с использованием социальных сетей. An unauthorized user could anonymously list account names and shared resources and use the information to attempt to guess passwords or perform social-engineering attacks.

Противодействие Countermeasure

В разрешается сетевой доступ: не разрешайте анонимное нумерацию учетных записей SAM и параметров для доступа к ресурсам. Enable the Network access: Do not allow anonymous enumeration of SAM accounts and shares setting.

Возможное влияние Potential impact

Невозможно предоставить доступ пользователям другого домена через однонаправленное доверие, так как администраторы доверяемого домена не могут перечислять списки учетных записей в другом домене. It is impossible to grant access to users of another domain across a one-way trust because administrators in the trusting domain are unable to enumerate lists of accounts in the other domain. Пользователи, которые анонимно имеют доступ к файловым серверам и серверам печати, не могут перечислить общие сетевые ресурсы на этих серверах; для просмотра списков общих папок и принтеров пользователям необходимо пройти проверку подлинности. Users who access file and print servers anonymously are unable to list the shared network resources on those servers; the users must be authenticated before they can view the lists of shared folders and printers.

Сетевой доступ: разрешить трансляцию анонимного SID в имя Network access: Allow anonymous SID/Name translation

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для сетевого доступа: разрешить параметр политики безопасности для анонимного перевода имени и SID. Describes the best practices, location, values, policy management and security considerations for the Network access: Allow anonymous SID/Name translation security policy setting.

Справочные материалы Reference

Этот параметр политики включает или отключает возможность анонимного пользователя запрашивать атрибуты идентификатора безопасности (SID) для другого пользователя. This policy setting enables or disables the ability of an anonymous user to request security identifier (SID) attributes for another user.

Если этот параметр политики включен, пользователь может использовать ИД безопасности известных администраторов, чтобы получить реальное имя встроенной учетной записи администратора, даже если она была переименована. If this policy setting is enabled, a user might use the well-known Administrators SID to get the real name of the built-in Administrator account, even if the account has been renamed. Затем этот человек может использовать имя учетной записи, чтобы инициировать атаку по угадать пароль с помощью атак с использованием That person might then use the account name to initiate a brute-force password-guessing attack.

Неправильное использование этого параметра политики — распространенная ошибка, которая может привести к потере данных или проблемам с доступом к данным или безопасностью. Misuse of this policy setting is a common error that can cause data loss or problems with data access or security.

Возможные значения Possible values

Анонимный пользователь может запросить атрибут SID для другого пользователя. An anonymous user can request the SID attribute for another user. Анонимный пользователь, зная ИД безопасности администратора, может связаться с компьютером, на который включена эта политика, и использовать sid для получения имени администратора. An anonymous user with knowledge of an administrator’s SID could contact a computer that has this policy enabled and use the SID to get the administrator’s name. Этот параметр влияет на перевод sid-to-name, а также на перевод имени на SID. This setting affects the SID-to-name translation as well as the name-to-SID translation.

Предотвращает запрос атрибута SID для другого пользователя анонимным пользователем. Prevents an anonymous user from requesting the SID attribute for another user.

Не определено Not defined

Рекомендации Best practices

• Установите для этой политики «Отключено». Set this policy to Disabled. Это значение по умолчанию на компьютерах-членах; таким образом, они не будут влиять на них. This is the default value on member computers; therefore, it will have no impact on them. Значение по умолчанию для контроллеров домена включено. The default value for domain controllers is Enabled.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Включено Enabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Отключено Disabled

Различия версий операционной системы Operating system version differences

Значение по умолчанию для этого параметра изменилось между операционными системами следующим образом: The default value of this setting has changed between operating systems as follows:

• По умолчанию на контроллерах домена под управлением Windows Server 2003 R2 или более ранних версиях установлено значение Enabled. The default on domain controllers running Windows Server 2003 R2 or earlier was set to Enabled.
• По умолчанию на контроллерах домена под управлением Windows Server 2008 и более поздних версиях установлено значение Disabled. The default on domain controllers running Windows Server 2008 and later is set to Disabled.

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Групповая политика Group Policy

Изменение этого параметра может повлиять на совместимость с клиентские компьютеры, службы и приложения. Modifying this setting may affect compatibility with client computers, services, and applications.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Если этот параметр политики включен, пользователь с локальным доступом может использовать ИД безопасности известного администратора, чтобы узнать реальное имя встроенной учетной записи администратора, даже если она была переименована. If this policy setting is enabled, a user with local access could use the well-known Administrator’s SID to learn the real name of the built-in Administrator account, even if it has been renamed. Затем этот человек может использовать имя учетной записи для инициировать атаку с угадать пароль. That person could then use the account name to initiate a password-guessing attack.

Противодействие Countermeasure

Отключать сетевой доступ: разрешить анонимный параметр sid/Name translation. Disable the Network access: Allow anonymous SID/Name translation setting.

Возможное влияние Potential impact

Отключенная конфигурация по умолчанию для этого параметра политики на устройствах-членах; таким образом, это не влияет на них. Disabled is the default configuration for this policy setting on member devices; therefore, it has no impact on them. Конфигурация по умолчанию для контроллеров домена включена. The default configuration for domain controllers is Enabled.