Поведение сеанса IPC$ и сеанса NULL в Windows

  • Статья

В этой статье описывается взаимодействие между процессами (IPC$) и поведение сеанса NULL в Windows.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 3034016

Общие сведения об общем ресурсе IPC$

Общая папка IPC$ также называется соединением сеанса null. С помощью этого сеанса Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов.

Общая папка IPC$ создается службой Windows Server. Этот специальный общий ресурс существует для последующих подключений именованного канала к серверу. Именованные каналы сервера создаются встроенными компонентами операционной системы и любыми приложениями или службами, установленными в системе. При создании именованного канала процесс задает безопасность, связанную с этим каналом. Затем он гарантирует, что доступ предоставляется только указанным пользователям или группам.

Настройка анонимного доступа с помощью параметров политики доступа к сети

Общим ресурсом IPC$ нельзя управлять или ограничивать в следующих версиях Windows:

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

Однако администратор имеет контроль над любыми именоваными каналами, которые были включены. Доступ к им можно получить анонимно с помощью параметра политики безопасности Сетевой доступ: именованные каналы, к которым можно получить анонимный доступ . Если параметр политики настроен на отсутствие записей, таких как значение NULL, то именованные каналы не могут быть доступны анонимно. Кроме того, необходимо убедиться, что никакие приложения или службы в среде не используют анонимный доступ к именованным каналам на сервере.

Windows Server 2003 больше не запрещает анонимный доступ к общей папке IPC$. Следующий параметр политики безопасности определяет, добавляется ли группа Все в анонимный сеанс:

Доступ к сети: разрешить всем применять разрешения для анонимных пользователей

Если этот параметр отключен, анонимный пользователь может получить доступ только к ресурсам, предоставленным группе Анонимный вход.

В Windows Server 2012 или более поздних версиях можно определить, следует ли включать анонимные сеансы на файловых серверах. Это определяется путем проверки того, помечены ли какие-либо каналы или общие папки для удаленного доступа.