web-dev-qa-db-ja.com

IPC共有への匿名アクセスをWindows 2008 r2で許可する必要があります

監査中に、IPC $(null sessions)共有への匿名アクセスの問題が提起されました。監査では、Windows 2008r2ファイルサーバーでのリスクとして次のものがリストされています。

C:\>Net Use \\fileserver\ipc$ "" /user:"" The command completed successfully.

次の設定が構成されていることを確認しました

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let Everyone permissions apply to anonymous users=disabled Network access: Named Pipes that can be accessed anonymously= <blank> Network access: Shares that can be accessed anonymously= <blank>

匿名の列挙(共有、ユーザーなど)は機能しませんが、上記のコマンドが正常に完了した場合、リスクが残り、修正する必要があると言われています。他にどのような設定でこれを修正できるのか途方に暮れており、共有の削除をスクリプト化したくありません。設定が必要なその他の設定はありますか?これらの設定により、匿名接続が失敗しますか?他に見逃したものはありますか?

5
5y5tem5

レジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    RestrictAnonymous = 2

または、グループポリシーを使用する場合:

ネットワークアクセス:名前付きパイプと共有への匿名アクセスを制限する=有効。

また、あなたはそれを確認したい

ネットワークアクセス:Everyoneのアクセス許可を匿名ユーザーに適用する

無効に設定されています。これはレジストリエントリに対応します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    EveryoneIncludesAnonymous = 0
4
Ryan Ries