网络访问: 可匿名访问的命名管道
适用范围
- Windows 11
- Windows 10
介绍网络访问的最佳做法、位置、值、策略管理和安全注意事项 :可以匿名访问的命名管道 安全策略设置。
参考
此策略设置确定哪些通信会话或管道具有允许匿名访问的属性和权限。
通过命名管道(如 COMNAP 和 LOCATOR)限制访问有助于防止对网络进行未经授权的访问。
可能值
- 用户定义的共享文件夹列表
- 未定义
最佳做法
- 将此策略设置为 null 值;即启用策略设置,但不要在文本框中输入命名管道。 此设置将禁用对命名管道的空会话访问,依赖于此功能或对命名管道的未经身份验证访问的应用程序将不再起作用。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。
| 服务器类型或 GPO | 默认值 |
|---|---|
| 默认域策略 | 未定义 |
| 默认域控制器策略 | Netlogon、samr、lsarpc |
| 独立服务器默认设置 | Null |
| DC 有效默认设置 | Netlogon、samr、lsarpc |
| 成员服务器有效默认设置 | 未定义 |
| 客户端计算机有效默认设置 | 未定义 |
策略管理
本部分介绍可用于帮助你管理此策略的不同功能和工具。
重启要求
无。 当在本地保存或通过组策略分发对此策略进行的更改时,这些更改无需重启设备即可立即生效。
组策略
若要使此策略设置生效,还必须启用 “网络访问:限制对命名管道和共享的匿名访问 ”设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
可以限制通过命名管道(如 COMNAP 和 LOCATOR)的访问,以帮助防止对网络进行未经授权的访问。 以下列表介绍了可用的命名管道及其用途。 这些管道在早期版本的 Windows 中被授予匿名访问权限,一些旧版应用程序仍可能使用它们。
| 命名管道 | 用途 |
|---|---|
| COMNAP | 名为管道的 SNABase。 系统网络体系结构 (SNA) 是最初为 IBM 大型机计算机开发的网络协议的集合。 |
| COMNODE | 名为管道的 SNA 服务器。 |
| SQL\QUERY | SQL Server的默认命名管道。 |
| SPOOLSS | 打印后台处理程序服务的命名管道。 |
| EPMAPPER | 终结点映射器命名管道。 |
| 定位 | 名为管道的远程过程调用定位符服务。 |
| TrlWks | 名为管道的分布式链接跟踪客户端。 |
| TrkSvr | 名为管道的分布式链接跟踪服务器。 |
对策
配置 “网络访问:可以匿名访问的命名管道 ”设置为 null 值 (启用此设置,但不在文本框中指定命名管道) 。
潜在影响
此配置禁用对命名管道的 null 会话访问,依赖于此功能或对命名管道的未经身份验证访问的应用程序不再有效。 在混合模式环境中,此结果可能会破坏 Windows Server 2003 域之间的信任。