IPC$ share and null session behavior in Windows

In dit artikel wordt het gedrag van de communicatie tussen processen (IPC$) en null-sessiegedrag in Windows.

Van toepassing op:   Windows 7 Service Pack 1, Windows Server 2012 R2
Oorspronkelijk KB-getal:   3034016

About IPC$ share

Het IPC$-aandeel wordt ook wel een null-sessieverbinding genoemd. Met deze sessie kunnen Windows anonieme gebruikers bepaalde activiteiten uitvoeren, zoals het ops tellen van de namen van domeinaccounts en netwerkaandelen.

Het IPC$-deel wordt gemaakt door de Windows Serverservice. Deze speciale share bestaat om de volgende benoemde pijpverbindingen met de server mogelijk te maken. De benoemde pijpen van de server worden gemaakt door ingebouwde onderdelen van het besturingssysteem en door toepassingen of services die op het systeem zijn geïnstalleerd. Wanneer de benoemde pijp wordt gemaakt, geeft het proces de beveiliging aan die aan de pijp is gekoppeld. Vervolgens zorgt u ervoor dat alleen toegang wordt verleend aan de opgegeven gebruikers of groepen.

Anonieme toegang configureren met behulp van beleidsinstellingen voor netwerktoegang

Het IPC$-aandeel kan niet worden beheerd of beperkt in de volgende versies van Windows:

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

Een beheerder heeft echter besturingselementen voor benoemde pijpen die zijn ingeschakeld. Ze kunnen anoniem worden toegankelijk via de instelling Netwerktoegang: Benoemde pijpen die anoniem kunnen worden gebruikt voor beveiligingsbeleid. Als de beleidsinstelling is geconfigureerd om geen vermeldingen te bevatten, zoals een Null-waarde, kunnen er geen benoemde pijpen anoniem worden gebruikt. En u moet ervoor zorgen dat geen toepassingen of services in de omgeving afhankelijk zijn van anonieme toegang tot benoemde pijpen op de server.

Windows Server 2003 verhindert niet langer anonieme toegang tot IPC$ delen. Met de volgende beveiligingsbeleidsinstelling wordt bepaald of de groep Iedereen wordt toegevoegd aan een anonieme sessie:

Netwerktoegang: Iedereen machtigingen laten toepassen op anonieme gebruikers

Als deze instelling is uitgeschakeld, zijn de enige bronnen die door een anonieme gebruiker kunnen worden gebruikt, de bronnen die worden verleend aan de groep Anonieme aanmelding.

In Windows Server 2012 of een latere versie is er een functie om te bepalen of anonieme sessies moeten worden ingeschakeld op bestandsservers. Dit wordt bepaald door te controleren of pijpen of aandelen zijn gemarkeerd voor externe toegang.