Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, welche Kommunikationssitzungen bzw. Pipes Attribute und Berechtigungen besitzen, die den anonymen Zugriff zulassen.
Durch Beschränken des Zugriffs über Named Pipes, z. B. COMNAP und LOCATOR, können nicht autorisierte Zugriffe auf das Netzwerk verhindert werden.
Mögliche Werte
Benutzerdefinierte Liste der freigegebenen Ordner
Nicht definiert
Bewährte Methoden
- Legen Sie diese Richtlinie auf einen NULL-Wert fest, indem Sie die Richtlinieneinstellung aktivieren, aber in das Textfeld keine Named Pipes eingeben. Dadurch wird der NULL-Sitzungszugriff über Named Pipes deaktiviert, sodass Anwendungen, die diese Funktion oder nicht authentifizierten Zugriff auf Named Pipes verwenden, nicht mehr funktionieren.
Speicherort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Netlogon, Samr, lsarpc |
Standardeinstellungen für eigenständige Server |
Null |
Effektive Standardeinstellungen für DC |
Netlogon, Samr, lsarpc |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Damit diese Richtlinieneinstellung wirksam wird, müssen Sie auch die Einstellung Netzwerkzugriff: Anonymen Zugriff auf Named Pipes und Freigaben einschränken aktivieren.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Sie können den Zugriff über Named Pipes, z. B. COMNAP und LOCATOR, beschränken, um nicht autorisierte Zugriffe auf das Netzwerk zu verhindern. In der folgenden Liste werden die verfügbaren Named Pipes und ihr jeweiliger Zweck beschrieben. Diesen Pipes wurde in früheren Versionen von Windows anonymer Zugriff gewährt, und von einigen älteren Programmen werden sie möglicherweise weiterhin verwendet.
Named Pipes | Zweck |
---|---|
COMNAP |
Named Pipe für SNABase. Systemnetzwerkarchitektur (Systems Network Architecture, SNA) ist eine Sammlung von Netzwerkprotokollen, die ursprünglich für Mainframecomputer von IBM entwickelt wurden. |
COMNODE |
Named Pipe des SNA-Servers. |
SQL\ABFRAGE |
Standardmäßige Named Pipes für SQL Server. |
SPOOLSS |
Named Pipe für den Druckspoolerdienst. |
EPMAPPER |
Named Pipe der Endpunktzuordnung. |
LOCATOR |
Named Pipe des RPC-Locator-Dienstes (Remote Procedure Call). |
TrlWks |
Named Pipe des DLT-Clients (Distributed Link Tracking). |
TrkSvr |
Named Pipe des SLT-Servers (Distributed Link Tracking). |
Gegenmaßnahme
Konfigurieren Sie die Einstellung Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann auf einen NULL-Wert (aktivieren Sie die Einstellung, geben Sie in das Textfeld jedoch keine Named Pipes ein).
Mögliche Auswirkung
Mit dieser Konfiguration wird der Nullsitzungszugriff über Named Pipes deaktiviert, sodass Anwendungen, die diese Funktion oder nicht authentifizierten Zugriff auf Named Pipes verwenden, nicht mehr funktionieren. Dadurch kann die Vertrauensstellung zwischen Windows Server 2003-Domänen in einer Umgebung mit gemischtem Modus aufgehoben werden.