none
ローカルセキュリティポリシーの変更による影響 RRS feed

  • 質問

  • クライアントサーバアプリケーションの開発をしています。

      (サーバ: Windows Server 2008 Standard x86 SP2、  クライアント:Windows 7)

    アプリケーションの中で、クライアントからサーバの共有フォルダに操作ログを出力するために、

    ローカルセキュリティポリシーの「アカウント:Guestアカウントの設定」と

    「ネットワークアクセス:EveryOneのアクセス許可を匿名ユーザに適用する」を有効にしようと考えています。

    (※ アプリケーションの都合で、共有フォルダにアクセスするユーザを限定することができないため)

    この場合、セキュリティ上どのような影響(危険)が考えられるかご教授いただきたく、よろしくお願いいたします。

    2011年5月24日 10:30

回答

  • これはなかなか難しい質問ですね。

    答える人によってさまざまなアドバイスがあるのではないでしょうか?

    一つ言えることは、Guestアカウントを有効にすることによって、そのサーバーに物理的にアクセスできる誰でもがアクセス可能(アクセス権の設定が行われていることを前提)になるということです。

    通常はAuthenticated Users などを使用してADのユーザー誰でもというアクセス権設定を行いますが、EveryoneだとGuestも含むので本当の意味での誰でもということになります。

    これを踏まえて想像するしかないと思われます。

    できるならば、専用アカウントを用意して、そのアカウントでアクセスできるようにしたほうがいいのではないでしょうか?

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月26日 0:14
    モデレータ

すべての返信

  • これはなかなか難しい質問ですね。

    答える人によってさまざまなアドバイスがあるのではないでしょうか?

    一つ言えることは、Guestアカウントを有効にすることによって、そのサーバーに物理的にアクセスできる誰でもがアクセス可能(アクセス権の設定が行われていることを前提)になるということです。

    通常はAuthenticated Users などを使用してADのユーザー誰でもというアクセス権設定を行いますが、EveryoneだとGuestも含むので本当の意味での誰でもということになります。

    これを踏まえて想像するしかないと思われます。

    できるならば、専用アカウントを用意して、そのアカウントでアクセスできるようにしたほうがいいのではないでしょうか?

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月26日 0:14
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    ABE NAOKI さん、ご丁寧なアドバイスありがとうございます。

    案内いただいた内容は想定される問題点の一つとして参考になられたのではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    セキュリティレベルの低下が懸念されますので、その点を踏まえて運用を行っていただければと思います。
    (できれば他の方法を検討される事をお勧めします)


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年5月30日 7:18
    モデレータ
  • お返事ありがとうございました。大変参考になりました。

    ご指摘いただいたことを踏まえて、本当に専用アカウントを用意できないか、検討してみます。

    ありがとうございました。

    2011年6月2日 8:11