IPC$ share en null-sessiegedrag in Windows
In dit artikel worden de communicatieshares tussen processen (IPC$) en het gedrag van null-sessies in Windows beschreven.
Origineel KB-nummer: 3034016
Over IPC$ share
De IPC$-share wordt ook wel een null-sessieverbinding genoemd. Met behulp van deze sessie kunnen anonieme gebruikers bepaalde activiteiten uitvoeren, zoals het inventariseren van de namen van domeinaccounts en netwerkshares.
De IPC$-share wordt gemaakt door de Windows Server-service. Deze speciale share bestaat om volgende benoemde pipe-verbindingen met de server mogelijk te maken. De named pipes van de server worden gemaakt door ingebouwde onderdelen van het besturingssysteem en door toepassingen of services die op het systeem zijn geïnstalleerd. Wanneer de benoemde pijp wordt gemaakt, geeft het proces de beveiliging op die aan de pijp is gekoppeld. Vervolgens zorgt het ervoor dat toegang alleen wordt verleend aan de opgegeven gebruikers of groepen.
Anonieme toegang configureren met behulp van instellingen voor netwerktoegangsbeleid
De IPC$-share kan niet worden beheerd of beperkt in de volgende versies van Windows:
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
Een beheerder heeft echter besturingselementen over benoemde pijpen die zijn ingeschakeld. Ze kunnen anoniem worden geopend met behulp van de beleidsinstelling Netwerktoegang: Named Pipes die anoniem toegankelijk zijn . Als de beleidsinstelling is geconfigureerd om geen vermeldingen te hebben, zoals een Null-waarde, kunnen er geen benoemde pipes anoniem worden geopend. En u moet ervoor zorgen dat geen toepassingen of services in de omgeving afhankelijk zijn van anonieme toegang tot named pipes op de server.
Windows Server 2003 voorkomt niet langer anonieme toegang tot IPC$-share. Met de volgende beveiligingsbeleidsinstelling wordt gedefinieerd of de groep Iedereen wordt toegevoegd aan een anonieme sessie:
Netwerktoegang: Iedereen-machtigingen van toepassing laten zijn op anonieme gebruikers
Als deze instelling is uitgeschakeld, zijn de enige resources waartoe een anonieme gebruiker toegang heeft, de resources die zijn verleend aan de groep Anonieme aanmelding.
In Windows Server 2012 of een latere versie is er een functie om te bepalen of anonieme sessies moeten worden ingeschakeld op bestandsservers. Dit wordt bepaald door te controleren of leidingen of shares zijn gemarkeerd voor externe toegang.