在审计期间,提出了匿名访问IPC $(空会话)份额的问题。 审核将以下列为Windows 2008r2文件服务器上的风险:
C:\>net use \\fileserver\ipc$ "" /user:"" The command completed successfully.
我已确认已configuration以下设置
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let Everyone permissions apply to anonymous users=disabled Network access: Named Pipes that can be accessed anonymously= <blank> Network access: Shares that can be accessed anonymously= <blank>
匿名枚举(股票,用户等)不起作用,但是我被告知,如果上述命令成功完成,那么风险依然存在,我们需要纠正它。 我不知道其他设置可以解决这个问题,也不想编写脚本删除共享。 是否还有其他需要设置的设置? 如果这些设置导致匿名连接失败? 还有什么我可能错过了?
更改registry值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\ RestrictAnonymous = 2
或者,如果您希望通过组策略进行操作:
networking访问:限制对指定pipe道和共享的匿名访问=已启用。
你也想确定一下
networking访问:让每个人的权限适用于匿名用户
被设置为禁用。 这对应于registry项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\ EveryoneIncludesAnonymous = 0
在您的操作系统中查看SCM的最新指南。 根据2k8r2 SP2的基准,限制对命名pipe道的匿名访问,并且应该启用共享。 您应该通过组策略来设置,并且应该使用该工具来审核您的安全基准。