Следует разрешить анонимный доступ к общему ресурсу IPC в Windows 2008 r2

Во время аудита был поднят вопрос об анонимном доступе к общему ресурсу IPC$(нулевые сеансы). Аудит перечисляет следующие факторы риска для файлового сервера Windows 2008r2:

C:\>net use \\fileserver\ipc$ "" /user:"" The command completed successfully.

Я подтвердил, что следующие параметры настроены

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let Everyone permissions apply to anonymous users=disabled Network access: Named Pipes that can be accessed anonymously= <blank> Network access: Shares that can be accessed anonymously= <blank>

и что анонимное перечисление (общие ресурсы, пользователи и т. д.) не работает, но мне сказали, что если вышеуказанная команда завершается успешно, риск остается, и мы должны его исправить. Я в растерянности относительно того, какие другие настройки могут это исправить, и не хочу писать сценарий удаления общего ресурса. Есть ли другие настройки, которые нужно установить? Должны ли эти настройки вызывать сбой анонимного соединения? Есть ли что-то еще, что я мог пропустить?

2 ответа

Измените значение реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    RestrictAnonymous = 2

Или, если вы предпочитаете делать это через групповую политику:

Доступ к сети: ограничить анонимный доступ к именованным каналам и общим ресурсам = включено.

Также вы хотите убедиться, что

Доступ к сети: разрешения "Все" применяются к анонимным пользователям.

установлено на Отключено. Это соответствует записи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    EveryoneIncludesAnonymous = 0

Проверьте последние инструкции в SCM для вашей ОС. В соответствии с базовым уровнем для 2k8r2 SP2, ограничение анонимного доступа к именованным каналам и общий доступ должен быть включен. Вы должны установить это с помощью групповой политики, и, вероятно, следует также проверить базовый уровень безопасности с помощью инструмента.

Другие вопросы по тегам