Поведение сеансов обмена IPC$ и NULL в Windows

В этой статье описывается взаимодействие между процессами (IPC$) и поведение сеанса null в Windows.

Исходная версия продукта:   Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ:   3034016

Об обойме IPC$

The IPC$ share is also known as a null session connection. С помощью этого сеанса Windows позволяет анонимным пользователям выполнять определенные действия, такие как список имен учетных записей домена и сетевых сетей.

IPC$ share создается службой Windows Server. Эта специальная обетовка существует, чтобы разрешить последующие именуемые подключения к серверу. Именуемые конвейеры сервера создаются встроенными компонентами операционной системы и любыми приложениями или службами, установленными в системе. При формировании именоваемого канала процесс определяет безопасность, связанную с конвейером, а затем предоставляет доступ только указанным пользователям или группам.

Настройка анонимного доступа с помощью параметров политики сетевого доступа

В Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 доступ к IPC$ нельзя управлять или ограничивать. Однако администратор управляет любыми именованными каналами, которые были включены, чтобы к ним можно было получить анонимный доступ с помощью сетевого доступа: именованных каналов, к ним можно получить анонимный доступ с помощью параметра политики безопасности. Если в параметре политики нет записей (например, значение NULL), анонимный доступ к именованным каналам не зовется, и необходимо убедиться, что никакие приложения или службы в среде не используют анонимный доступ к любым именованным каналам на сервере.

Хотя Windows Server 2003 больше не препятствует анонимному доступу к совместному доступу IPC$, существует сетевой доступ: разрешение "Все" применяется к параметру политики безопасности анонимных пользователей, который определяет, добавляется ли группа "Все" в анонимный сеанс. Если этот параметр отключен, анонимный пользователь может получить доступ только к ресурсам, предоставленным группе анонимных входов.

Кроме того, в Операционной системе Windows Server 2012 или более поздней версии windows Server есть функция, определяющая, следует ли включить анонимные сеансы на файловом сервере. Он определяется путем проверки на то, помечены ли какие-либо конвейеры или обетовки для удаленного доступа.