Sessioni Null
A volte una chiamata che arriva nella sessione Null può essere visualizzata come una chiamata autenticata. In particolare, la chiamata alla funzione RpcBindingInqAuthClient restituisce il livello di autenticazione e il provider di sicurezza usati per la chiamata. Questa operazione non significa che la chiamata non era in una sessione Null. I due problemi sono ortogonali. In Microsoft Windows 2000 una chiamata di procedura remota può tentare di rappresentare un chiamante e controllare le autorizzazioni dopo la rappresentazione. In Microsoft Windows XP è più veloce chiamare la funzione RpcServerInqCallAttributes e verificare la presenza del flag NullSession .
Esiste un'altra differenza rilevante tra Windows 2000 e Windows XP. Se viene specificato solo il flag di RPC_IF_ALLOW_SECURE_ONLY, le chiamate nella sessione Null passano in Windows 2000. In Windows XP, con la stretta generale delle impostazioni di sicurezza predefinite, quando viene specificato questo flag, le chiamate nella sessione Null vengono rifiutate con accesso negato. Tuttavia, anche con il flag RPC_IF_ALLOW_SECURE_ONLY, RPC non garantisce il livello di privilegio dell'utente chiamante. Tutti i controlli RPC sono che l'utente ha credenziali valide. È possibile che l'utente chiamante usi l'account guest o altri account con privilegi bassi. Assicurarsi che il server non presupporrà privilegi elevati una volta che viene usato RPC_IF_ALLOW_SECURE_ONLY.