ネットワーク アクセス: リモートからアクセスできる名前付きパイプ
[ネットワーク アクセス: リモートからアクセスできる名前付きパイプ] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、通信セッション (パイプ) に対し、匿名アクセスを許可する属性とアクセス許可を付与するかどうかを指定します。
COMNAP や LOCATOR など、名前付きパイプのアクセスを制限すると、ネットワークへの未承認のアクセスを防ぐのに役立ちます。
設定可能な値
共有フォルダーのユーザー定義リスト
未定義
ベスト プラクティス
- このポリシーを null 値に設定します。つまり、ポリシー設定は有効にしますが、テキスト ボックスに名前付きパイプを入力しません。これで、名前付きパイプでの null セッション アクセスが無効になり、この機能または名前付きパイプへの認証されていないアクセスに依存するアプリケーションが機能しなくなります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Netlogon、samr、lsarpc |
スタンドアロン サーバーの既定の設定 |
Null |
DC の有効な既定の設定 |
Netlogon、samr、lsarpc |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ各種機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
このポリシー設定を有効にするには、[ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する] 設定も有効にする必要があります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
COMNAP や LOCATOR など、名前付きパイプのアクセスを制限すると、ネットワークへの未承認のアクセスを防ぐのに役立ちます。次に、利用可能な名前付きパイプとその目的を示します。これらのパイプは、以前のバージョンの Windows で匿名アクセスが許可されており、一部のレガシ アプリケーションはこれらを引き続き使うことができます。
| 名前付きパイプ | 目的 |
|---|---|
COMNAP |
SNABase 名前付きパイプ。システム ネットワーク アーキテクチャ (SNA) は、もともと IBM のメインフレーム コンピューター向けに開発された、ネットワーク プロトコルのコレクションです。 |
COMNODE |
SNA Server 名前付きパイプ。 |
SQL\QUERY |
SQL Server の既定の名前付きパイプ。 |
SPOOLSS |
印刷スプーラー サービスの名前付きパイプ。 |
EPMAPPER |
エンドポイント マッパーの名前付きパイプ。 |
LOCATOR |
リモート プロシージャ コール ロケーター サービスの名前付きパイプ。 |
TrlWks |
分散リンク トラッキング クライアントの名前付きパイプ。 |
TrkSvr |
分散リンク トラッキング サーバーの名前付きパイプ。 |
対策
[ネットワーク アクセス: リモートからアクセスできる名前付きパイプ] 設定を null 値に構成します (設定は有効にするが、テキスト ボックスに名前付きパイプを指定しません)。
潜在的な影響
この構成で、名前付きパイプでの null セッション アクセスが無効になり、この機能または名前付きパイプへの認証されていないアクセスに依存するアプリケーションが機能しなくなります。混合モード環境で Windows Server 2003 ドメイン間の信頼が破棄されることがあります。