この記事では、Windows でのプロセス間通信共有 (IPC$) と null セッションの動作について説明します。
元の KB 番号: 3034016
IPC$ 共有について
IPC$ 共有は、null セッション接続とも呼ばれます。 このセッションを使用すると、匿名ユーザーはドメイン アカウントやネットワーク共有の名前の列挙など、特定のアクティビティを実行できます。
IPC$ 共有は、Windows Server サービスによって作成されます。 この特別な共有は、サーバーへの後続の名前付きパイプ接続を許可するために存在します。 サーバーの名前付きパイプは、組み込みのオペレーティング システム コンポーネントと、システムにインストールされているアプリケーションまたはサービスによって作成されます。 名前付きパイプが作成されるときに、プロセスはパイプに関連付けられているセキュリティを指定します。 その後、指定したユーザーまたはグループにのみアクセス権が付与されます。
ネットワーク アクセス ポリシー設定を使用して匿名アクセスを構成する
IPC$ 共有は、次のバージョンの Windows では管理または制限できません。
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
ただし、管理者は、有効にされた名前付きパイプを制御できます。 Network アクセス: 匿名でアクセスできる名前付きパイプセキュリティ ポリシー設定を使用して、匿名でアクセスできます。 Null 値などのエントリが含まれるようにポリシー設定が構成されている場合、名前付きパイプに匿名でアクセスすることはできません。 また、環境内のアプリケーションやサービスが、サーバー上の名前付きパイプへの匿名アクセスに依存しないようにする必要があります。
Windows Server 2003 では、IPC$ 共有への匿名アクセスが禁止されなくなりました。 次のセキュリティ ポリシー設定では、Everyone グループを匿名セッションに追加するかどうかを定義します。
ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する
この設定を無効にすると、匿名ユーザーがアクセスできるリソースは、匿名ログオン グループに付与されたリソースだけです。
Windows Server 2012 以降のバージョンでは、ファイル サーバーで匿名セッションを有効にする必要があるかどうかを判断する機能があります。 これは、パイプまたは共有がリモート アクセス用にマークされているかどうかを確認することによって決定されます。