IPC$-Freigabe- und NULL-Sitzungsverhalten in Windows
In diesem Artikel wird das Inter-Process Communication Share (IPC$) und das Sitzungsverhalten von NULL in Windows beschrieben.
Ursprüngliche KB-Nummer: 3034016
Informationen zur IPC$-Freigabe
Die IPC$-Freigabe wird auch als NULL-Sitzungsverbindung bezeichnet. Mithilfe dieser Sitzung können anonyme Benutzer bestimmte Aktivitäten ausführen, z. B. das Auflisten der Namen von Domänenkonten und Netzwerkfreigaben.
Die IPC$-Freigabe wird vom Windows Server-Dienst erstellt. Diese spezielle Freigabe ist vorhanden, um nachfolgende Named Pipe-Verbindungen mit dem Server zu ermöglichen. Die Named Pipes des Servers werden von integrierten Betriebssystemkomponenten und von anwendungen oder Diensten erstellt, die auf dem System installiert sind. Wenn die Named Pipe erstellt wird, gibt der Prozess die Sicherheit an, die der Pipe zugeordnet ist. Anschließend wird sichergestellt, dass der Zugriff nur für die angegebenen Benutzer oder Gruppen gewährt wird.
Konfigurieren des anonymen Zugriffs mithilfe von Netzwerkzugriffsrichtlinieneinstellungen
Die IPC$-Freigabe kann in den folgenden Versionen von Windows nicht verwaltet oder eingeschränkt werden:
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
Ein Administrator hat jedoch Die Kontrolle über alle Named Pipes, die aktiviert wurden. Auf sie kann anonym zugegriffen werden, indem die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Named Pipes verwendet wird, auf die anonym zugegriffen werden kann . Wenn die Richtlinieneinstellung so konfiguriert ist, dass sie keine Einträge enthält, z. B. einen Null-Wert, kann anonym auf keine Named Pipes zugegriffen werden. Außerdem müssen Sie sicherstellen, dass keine Anwendungen oder Dienste in der Umgebung anonymen Zugriff auf Named Pipes auf dem Server benötigen.
Windows Server 2003 verhindert nicht mehr den anonymen Zugriff auf die IPC$-Freigabe. Die folgende Sicherheitsrichtlinieneinstellung definiert, ob die Gruppe Jeder einer anonymen Sitzung hinzugefügt wird:
Netzwerkzugriff: Lassen Sie alle Berechtigungen für anonyme Benutzer gelten.
Wenn diese Einstellung deaktiviert ist, sind die einzigen Ressourcen, auf die ein anonymer Benutzer zugreifen kann, die Ressourcen, die der Gruppe "Anonyme Anmeldung" gewährt werden.
In Windows Server 2012 oder einer höheren Version gibt es ein Feature zum Bestimmen, ob anonyme Sitzungen auf Dateiservern aktiviert werden sollen. Es wird ermittelt, indem überprüft wird, ob Pipes oder Freigaben für den Remotezugriff markiert sind.