Microsoft® Windows Server® 2008 R2、Windows® 7、Windows Server® 2008、Windows Vista®、Windows Server® 2003、および Windows XP オペレーティング システムを実行しているコンピューターの場合、既定では Everyone グループに匿名ユーザーが含まれなくなりました。この変更により、既定で匿名ユーザーが利用可能なネットワーク リソースの数が減り、ネットワーク管理者は匿名ユーザーによるアクセスをより簡単に制御できるようになりました。
匿名アクセスを制限する意味
匿名ユーザーによるアクセスを既定で拒否することによって、管理者はセキュリティで保護されたシステムをより簡単に構成できるようになります。
以前のバージョンの Windows における既定のアクセス制御リスト (ACL) では、Everyone グループにリソースへのアクセスを許可していたため、リソースが攻撃にさらされる可能性がありましたが、コンピューターを Windows Server 2008、Windows Vista、またはそれ以降の Windows オペレーティング システムにアップグレードすると、匿名ユーザーにはこのアクセスが許可されなくなります。
以前は、Everyone グループに匿名ユーザーが含まれることを管理者が認識していない場合に、リソースへのアクセスが誤って匿名ユーザーに許可される可能性がありましたが、そのようなことはなくなりました。
この変更は、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003、および Windows XP を実行しているコンピューター上にホストされているリソースへのアクセスを試みる匿名ユーザーに影響します。Windows 2000 ベースのシステムを、これらのオペレーティング システムのいずれかにアップグレードすると、ACL ですべてのユーザー (Everyone) にアクセスを許可しているリソースを匿名ユーザーが利用することはできなくなります (Anonymous Logon に対して明示的に許可を設定している場合を除く)。ほとんどの場合、これは匿名アクセスの適切な制限です。
ただし、選択した共有ディレクトリや共有ファイルについて匿名アクセスを許可することができます。それには、アクセスを許可するリソースを保護している随意アクセス制御リスト (DACL) に Anonymous Logon グループを追加します。さらに、走査チェックのバイパスのユーザー権利を Anonymous Logon グループに付与する必要があります。詳細については、「匿名ユーザーの走査チェックのバイパス」を参照してください。
状況によっては、匿名アクセスを許可する必要があるリソースを特定することや、すべての必要なリソースについてアクセス許可を変更することが困難な場合があります。そのような場合は、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003、および Windows XP の構成を変更することで、Everyone グループに匿名アクセスの許可を含めることができます。詳細については、「Everyone グループによる匿名アクセスの許可」を参照してください。
匿名ユーザーの走査チェックのバイパス
このセクションで示す手順は、Windows 7 および Windows Vista に適用されます。
匿名ユーザーの走査チェックをバイパスするには |
[スタート] ボタンをクリックし、[検索の開始] ボックスに「gpedit.msc」と入力して、Enter キーを押します。
[ローカル グループ ポリシー エディター] コンソール ツリーで、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] を順に開き、[ユーザー権利の割り当て] をクリックします。
詳細ペインで、[走査チェックのバイパス] を右クリックし、[プロパティ] をクリックします。
[ユーザーまたはグループの追加] をクリックします。
[ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスの [選択するオブジェクト名を入力してください] ボックスに「Anonymous Logon」と入力します。
[名前の確認] をクリックして入力が有効であることを確認し、[OK] をクリックします。
注 この手順には、コマンド ラインの操作はありません。
Everyone グループによる匿名アクセスの許可
このセクションで示す手順は、Windows 7 および Windows Vista に適用されます。
Everyone グループによる匿名アクセスを許可するには |
[スタート] ボタンをクリックし、[検索の開始] ボックスに「gpedit.msc」と入力して、Enter キーを押します。
[ローカル グループ ポリシー エディター] コンソール ツリーで、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] を順に開き、[セキュリティ オプション] をクリックします。
詳細ペインで、[ネットワーク アクセス : Everyone のアクセス許可を匿名ユーザーに適用する] を右クリックし、[プロパティ] をクリックします。
Everyone グループに適用されているアクセス許可を匿名ユーザーに適用する場合は、[有効] をクリックします。
または
Everyone グループに適用されているアクセス許可を匿名ユーザーに適用しない場合は、[無効] をクリックします。
[OK] をクリックします。
注 この手順には、コマンド ラインの操作はありません。