Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann

Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann beschrieben.

Referenzen

Diese Richtlinieneinstellung bestimmt, welche Kommunikationssitzungen bzw. Pipes Attribute und Berechtigungen besitzen, die den anonymen Zugriff zulassen.

Durch Beschränken des Zugriffs über Named Pipes, z. B. COMNAP und LOCATOR, können nicht autorisierte Zugriffe auf das Netzwerk verhindert werden.

Mögliche Werte

  • Benutzerdefinierte Liste der freigegebenen Ordner

  • Nicht definiert

Bewährte Methoden

  • Legen Sie diese Richtlinie auf einen NULL-Wert fest, indem Sie die Richtlinieneinstellung aktivieren, aber in das Textfeld keine Named Pipes eingeben. Dadurch wird der NULL-Sitzungszugriff über Named Pipes deaktiviert, sodass Anwendungen, die diese Funktion oder nicht authentifizierten Zugriff auf Named Pipes verwenden, nicht mehr funktionieren.

Speicherort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Netlogon, Samr, lsarpc

Standardeinstellungen für eigenständige Server

Null

Effektive Standardeinstellungen für DC

Netlogon, Samr, lsarpc

Effektive Standardeinstellungen für Mitgliedsserver

Nicht definiert

Effektive Standardeinstellungen für Clientcomputer

Nicht definiert

 

Richtlinienverwaltung

In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.

Gruppenrichtlinie

Damit diese Richtlinieneinstellung wirksam wird, müssen Sie auch die Einstellung Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken aktivieren.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

Sicherheitsrisiko

Sie können den Zugriff über Named Pipes, z. B. COMNAP und LOCATOR, beschränken, um nicht autorisierte Zugriffe auf das Netzwerk zu verhindern. In der folgenden Liste werden die verfügbaren Named Pipes und ihr jeweiliger Zweck beschrieben. Diesen Pipes wurde in früheren Versionen von Windows anonymer Zugriff gewährt, und von einigen älteren Programmen werden sie möglicherweise weiterhin verwendet.

Named Pipes Zweck

COMNAP

Named Pipe für SNABase. Systemnetzwerkarchitektur (Systems Network Architecture, SNA) ist eine Sammlung von Netzwerkprotokollen, die ursprünglich für Mainframecomputer von IBM entwickelt wurden.

COMNODE

Named Pipe des SNA-Servers.

SQL\ABFRAGE

Standardmäßige Named Pipes für SQL Server.

SPOOLSS

Named Pipe für den Druckspoolerdienst.

EPMAPPER

Named Pipe der Endpunktzuordnung.

LOCATOR

Named Pipe des RPC-Locator-Dienstes (Remote Procedure Call).

TrlWks

Named Pipe des DLT-Clients (Distributed Link Tracking).

TrkSvr

Named Pipe des SLT-Servers (Distributed Link Tracking).

 

Gegenmaßnahme

Konfigurieren Sie die Einstellung Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann auf einen NULL-Wert (aktivieren Sie die Einstellung, geben Sie in das Textfeld jedoch keine Named Pipes ein).

Mögliche Auswirkung

Mit dieser Konfiguration wird der Nullsitzungszugriff über Named Pipes deaktiviert, sodass Anwendungen, die diese Funktion oder nicht authentifizierten Zugriff auf Named Pipes verwenden, nicht mehr funktionieren. Dadurch kann die Vertrauensstellung zwischen Windows Server 2003-Domänen in einer Umgebung mit gemischtem Modus aufgehoben werden.

Verwandte Themen

Sicherheitsoptionen