Partage IPC $ et comportement de session NULL dans Windows

Cet article décrit le partage de communication entre processus (IPC $) et le comportement de session NULL dans Windows.

Version du produit d’origine :   Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de la base de connaissances initiale :   3034016

À propos du partage IPC $

Le partage IPC $ est également appelé connexion de session NULL. À l’aide de cette session, Windows permet aux utilisateurs anonymes d’effectuer certaines activités, telles que l’énumération des noms des comptes de domaine et des partages réseau.

Le partage IPC $ est créé par le service Windows Server. Ce partage spécial existe pour permettre les connexions de canal nommé suivantes au serveur. Les canaux nommés du serveur sont créés par les composants de système d’exploitation intégrés et par les applications ou services installés sur le système. Lorsque le canal nommé est créé, le processus spécifie le niveau de sécurité associé au canal, puis garantit que l’accès est accordé uniquement aux utilisateurs ou aux groupes spécifiés.

Configurer l’accès anonyme à l’aide des paramètres de stratégie d’accès réseau

Dans Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2, le partage IPC $ ne peut pas être géré ou restreint. Toutefois, un administrateur a des contrôles sur tous les canaux nommés qui ont été activés afin d’être accessibles de manière anonyme à l’aide du paramètre accès réseau : les canaux nommés qui sont accessibles de manière anonyme. Si le paramètre de stratégie est configuré pour ne pas avoir d’entrée (par exemple, une valeur null), il n’est pas possible d’accéder aux canaux nommés de manière anonyme, et vous devez vous assurer qu’aucune application ou aucun service de l’environnement ne repose sur l’accès anonyme à des canaux nommés sur le serveur.

Bien que Windows Server 2003 n’empêche plus l’accès anonyme au partage IPC $, il existe un paramètre accès réseau : autoriser tout le monde à s’appliquer à des utilisateurs anonymes qui détermine si le groupe tout le monde est ajouté à une session anonyme. Si ce paramètre est désactivé, les seules ressources auxquelles un utilisateur anonyme peut accéder sont celles qui sont accordées au groupe Anonymous Logon.

De plus, dans Windows Server 2012 ou un système d’exploitation Windows Server ultérieur, il existe une fonctionnalité permettant de déterminer si les sessions anonymes doivent être activées sur les serveurs de fichiers. Elle est déterminée en vérifiant si des canaux ou des partages sont marqués pour l’accès à distance.