Сетевой доступ: разрешать анонимный доступ к именованным каналам
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Сетевой доступ: разрешать анонимный доступ к именованным каналам.
Справка
Этот параметр безопасности определяет, какие сеансы связи (каналы) имеют атрибуты и разрешения, дающие право анонимного доступа.
Ограничение доступа по таким именованным каналам, как COMNAP и LOCATOR, помогает предотвратить несанкционированный доступ к сети.
Возможные значения
Определяемый пользователем список общих папок
Не определено
Рекомендации
- Установите для этой политики нулевое значение, то есть включите параметр политики, но не указывайте именованные каналы в текстовом поле. Это приведет к отключению доступа к нулевому сеансу по именованным каналам. При этом приложения, использующие эту функцию или доступ без проверки подлинности по именованным каналам, работать не будут.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Netlogon, samr, lsarpc |
Параметры автономного сервера по умолчанию |
Null |
Действующие параметры контроллера домена по умолчанию |
Netlogon, samr, lsarpc |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Чтобы этот параметр вступил в силу, необходимо включить параметр Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Ограничение доступа по таким именованным каналам, как COMNAP и LOCATOR, помогает предотвратить несанкционированный доступ к сети. В следующем списке перечислены доступные именованные каналы и их назначение. Анонимный доступ к этим каналам предоставлялся в более ранних версиях Windows, и некоторые приложения прежних версий могут по-прежнему их использовать.
| Именованный канал | Назначение |
|---|---|
COMNAP |
Именованный канал SNABase. Системная сетевая архитектура (SNA) — это набор сетевых протоколов, которые первоначально были разработаны для мэйнфреймов IBM. |
COMNODE |
Именованный канал сервера SNA. |
SQL\QUERY |
Именованный канал SQL Server по умолчанию. |
SPOOLSS |
Именованный канал для службы очереди печати принтера. |
EPMAPPER |
Именованный канал сопоставителя конечных точек. |
LOCATOR |
Именованный канал службы локатора удаленного вызова процедур. |
TrlWks |
Именованный канал клиента отслеживания изменившихся связей. |
TrkSvr |
Именованный канал сервера отслеживания изменившихся связей. |
Меры противодействия
Установите нулевое значение для параметра Сетевой доступ: разрешать анонимный доступ к именованным каналам (включите параметр, но не указывайте именованные каналы в текстовом поле).
Возможные последствия
Такая конфигурация приведет к отключению доступа с помощью нулевого сеанса по именованным каналам. При этом приложения, использующие эту функцию или доступ без проверки подлинности по именованным каналам, работать не будут. Это может разорвать отношения доверия между доменами Windows Server 2003 в среде со смешанным режимом.