Windows での IPC$ 共有と null セッション動作

この記事では、Windows でのプロセス間通信共有 (IPC$) と null セッション動作について説明します。

元の KB 番号: 3034016

IPC$ 共有について

IPC$ 共有は、null セッション接続とも呼ばれます。 このセッションを使用すると、匿名ユーザーはドメイン アカウントやネットワーク共有の名前を列挙するなど、特定のアクティビティを実行できます。

IPC$ 共有は、Windows Server サービスによって作成されます。 この特別な共有は、サーバーへの後続の名前付きパイプ接続を許可するために存在します。 サーバーの名前付きパイプは、組み込みのオペレーティング システム コンポーネントと、システムにインストールされているアプリケーションまたはサービスによって作成されます。 名前付きパイプが作成されるときに、プロセスによってパイプに関連付けられているセキュリティが指定されます。 その後、指定したユーザーまたはグループにのみアクセス権が付与されます。

ネットワーク アクセス ポリシー設定を使用して匿名アクセスを構成する

IPC$ 共有は、次のバージョンの Windows では管理または制限できません。

• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2

ただし、管理者は、有効にされた名前付きパイプを制御できます。 [ ネットワーク アクセス: 匿名でアクセスできる名前付きパイプ] セキュリティ ポリシー設定を使用して、匿名でアクセスできます。 Null 値などのエントリが含まれるようにポリシー設定が構成されている場合、名前付きパイプに匿名でアクセスすることはできません。 また、環境内のアプリケーションまたはサービスが、サーバー上の任意の名前付きパイプへの匿名アクセスに依存しないようにする必要があります。

Windows Server 2003 では、IPC$ 共有への匿名アクセスが禁止されなくなりました。 次のセキュリティ ポリシー設定では、Everyone グループを匿名セッションに追加するかどうかを定義します。

ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用させる

この設定が無効になっている場合、匿名ユーザーがアクセスできるリソースは、匿名ログオン グループに付与されるリソースのみです。

Windows Server 2012 以降のバージョンでは、ファイル サーバーで匿名セッションを有効にするかどうかを判断する機能があります。 これは、パイプまたは共有がリモート アクセス用にマークされているかどうかを確認することによって決定されます。