Сетевой доступ: разрешать анонимный доступ к именованным каналам

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевой доступ: разрешать анонимный доступ к именованным каналам.

Справка

Этот параметр безопасности определяет, какие сеансы связи (каналы) имеют атрибуты и разрешения, дающие право анонимного доступа.

Ограничение доступа по таким именованным каналам, как COMNAP и LOCATOR, помогает предотвратить несанкционированный доступ к сети.

Возможные значения

  • Определяемый пользователем список общих папок

  • Не определено

Рекомендации

  • Установите для этой политики нулевое значение, то есть включите параметр политики, но не указывайте именованные каналы в текстовом поле. Это приведет к отключению доступа к нулевому сеансу по именованным каналам. При этом приложения, использующие эту функцию или доступ без проверки подлинности по именованным каналам, работать не будут.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Netlogon, samr, lsarpc

Параметры автономного сервера по умолчанию

Null

Действующие параметры контроллера домена по умолчанию

Netlogon, samr, lsarpc

Действующие параметры рядового сервера по умолчанию

Не определено

Действующие параметры клиентского компьютера по умолчанию

Не определено

 

Управление политикой

В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Групповая политика

Чтобы этот параметр вступил в силу, необходимо включить параметр Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Ограничение доступа по таким именованным каналам, как COMNAP и LOCATOR, помогает предотвратить несанкционированный доступ к сети. В следующем списке перечислены доступные именованные каналы и их назначение. Анонимный доступ к этим каналам предоставлялся в более ранних версиях Windows, и некоторые приложения прежних версий могут по-прежнему их использовать.

Именованный каналНазначение

COMNAP

Именованный канал SNABase. Системная сетевая архитектура (SNA) — это набор сетевых протоколов, которые первоначально были разработаны для мэйнфреймов IBM.

COMNODE

Именованный канал сервера SNA.

SQL\QUERY

Именованный канал SQL Server по умолчанию.

SPOOLSS

Именованный канал для службы очереди печати принтера.

EPMAPPER

Именованный канал сопоставителя конечных точек.

LOCATOR

Именованный канал службы локатора удаленного вызова процедур.

TrlWks

Именованный канал клиента отслеживания изменившихся связей.

TrkSvr

Именованный канал сервера отслеживания изменившихся связей.

 

Меры противодействия

Установите нулевое значение для параметра Сетевой доступ: разрешать анонимный доступ к именованным каналам (включите параметр, но не указывайте именованные каналы в текстовом поле).

Возможные последствия

Такая конфигурация приведет к отключению доступа с помощью нулевого сеанса по именованным каналам. При этом приложения, использующие эту функцию или доступ без проверки подлинности по именованным каналам, работать не будут. Это может разорвать отношения доверия между доменами Windows Server 2003 в среде со смешанным режимом.

Связанные разделы

Параметры безопасности

 

 

Показ: