Следует разрешить анонимный доступ к общему ресурсу IPC в Windows 2008 r2

Question

Следует разрешить анонимный доступ к общему ресурсу IPC в Windows 2008 r2

Во время аудита был поднят вопрос об анонимном доступе к общему ресурсу IPC$(нулевые сеансы). Аудит перечисляет следующие факторы риска для файлового сервера Windows 2008r2:

C:\>net use \\fileserver\ipc$ "" /user:"" The command completed successfully.

Я подтвердил, что следующие параметры настроены

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let Everyone permissions apply to anonymous users=disabled Network access: Named Pipes that can be accessed anonymously= <blank> Network access: Shares that can be accessed anonymously= <blank>

и что анонимное перечисление (общие ресурсы, пользователи и т. д.) не работает, но мне сказали, что если вышеуказанная команда завершается успешно, риск остается, и мы должны его исправить. Я в растерянности относительно того, какие другие настройки могут это исправить, и не хочу писать сценарий удаления общего ресурса. Есть ли другие настройки, которые нужно установить? Должны ли эти настройки вызывать сбой анонимного соединения? Есть ли что-то еще, что я мог пропустить?

5

security windows-server-2008-r2 server-message-block

Источник

user3287819 29 мар '15 в 19:17

2 ответа

Другие вопросы по тегам security windows-server-2008-r2 server-message-block

Ryan Ries 30 мар '15 в 03:02 2015-03-30 03:02 · Answer 1 · 2015-03-30 03:02

Измените значение реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    RestrictAnonymous = 2

Или, если вы предпочитаете делать это через групповую политику:

Доступ к сети: ограничить анонимный доступ к именованным каналам и общим ресурсам = включено.

Также вы хотите убедиться, что

Доступ к сети: разрешения "Все" применяются к анонимным пользователям.

установлено на Отключено. Это соответствует записи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    EveryoneIncludesAnonymous = 0

Jim B 30 мар '15 в 17:20 2015-03-30 17:20 · Answer 2 · 2015-03-30 17:20

Проверьте последние инструкции в SCM для вашей ОС. В соответствии с базовым уровнем для 2k8r2 SP2, ограничение анонимного доступа к именованным каналам и общий доступ должен быть включен. Вы должны установить это с помощью групповой политики, и, вероятно, следует также проверить базовый уровень безопасности с помощью инструмента.