网络访问: 允许匿名 SID/名称转换
介绍了有关“网络访问: 允许匿名 SID/名称转换”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
此策略设置启用或禁用匿名用户请求其他用户的安全标识符 (SID) 属性的功能。
如果已启用此策略设置,用户可能会使用众所周知的管理员 SID 来获取内置管理员帐户的实际名称,即使已重命名该帐户也是如此。然后,该用户可能使用该帐户名启动暴力密码猜测攻击。
误用此策略设置是常见错误,可导致数据丢失或者数据访问或安全性出现问题。
可能值
启用
匿名用户可以请求其他用户的 SID 属性。了解管理员的 SID 的任何匿名用户都可以连接已启用此策略的计算机,并使用该 SID 来获取管理员的名称。此设置会影响 SID 到名称的转换,以及名称到 SID 的转换
禁用
阻止匿名用户请求其他用户的 SID 属性。
未定义
最佳做法
- 将此策略设置为“禁用”。这是成员计算机上的默认值;因此,对它们不会造成任何影响。域控制器的默认值为“已启用”。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
启用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
禁用 |
操作系统版本区别
此设置的默认值在各操作系统之间发生更改,如下所示:
运行 Windows Server 2003 R2 或更早版本的域控制器上的默认值已设置为“已启用”。
运行 Windows Server 2008 和更高版本的域控制器上的默认值设置为“已禁用”。
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
组策略
修改此设置可能影响与客户端计算机、服务和应用程序的兼容性。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
如果已启用此策略设置,具有本地访问权限的用户可能会使用众所周知的管理员 SID 来获取内置管理员帐户的实际名称,即使已重命名该帐户也是如此。然后,该用户可能使用该帐户名启动密码猜测攻击。
对策
禁用“网络访问: 允许匿名 SID/名称转换”****设置。
潜在影响
“已禁用”是此策略设置在成员设备上的默认配置;因此,对它们不会造成任何影响。域控制器的默认配置为“已启用”。