ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する
[ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、これらの共有フォルダーおよび [ネットワーク アクセス: リモートからアクセスできる名前付きパイプ] と [ネットワーク アクセス: 匿名でアクセスできる共有] 設定で名前を付けたパイプのみへの匿名アクセスの制限を有効または無効にします。この設定では、レジストリ キー HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters に RestrictNullSessAccess を値 1 で追加することで、コンピューター上の共有フォルダーへの null セッション アクセスを制御します。このレジストリ値は、null セッションの共有フォルダーのオンとオフを切り替えて、サーバー サービスが名前付きリソースへの認証されていないクライアントのアクセスを制限するかどうかを制御します。
null セッションは、環境内のデバイス上のさまざまな共有フォルダーから悪用可能な脆弱性です。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- このポリシーを [有効] に設定します。このポリシー設定を有効にすると、NullSessionPipes および NullSessionShares レジストリ エントリに指定されているものを除く、サーバーのすべてのパイプと共有フォルダーへの認証されていないユーザーの null セッション アクセスが制限されます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
null セッションは、環境内のデバイス上の共有フォルダー (既定の共有フォルダーを含む) から悪用可能な脆弱性です。
対策
[ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する] 設定を有効にします。
潜在的な影響
このポリシー設定を有効にすると、NullSessionPipes および NullSessionShares エントリに指定されているものを除く、サーバーのすべてのパイプと共有フォルダーへの認証されていないユーザーの null セッション アクセスを制限できます。