在审计期间,有人提出了匿名访问 IPC$(null session) 共享的问题。审计列出了 Windows 2008r2 文件服务器上存在的风险:
C:\>net use \\fileserver\ipc$ "" /user:"" The command completed successfully.
我已确认已配置以下设置
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let Everyone permissions apply to anonymous users=disabled Network access: Named Pipes that can be accessed anonymously= <blank> Network access: Shares that can be accessed anonymously= <blank>
并且匿名枚举(共享、用户等)不起作用,但我被告知如果上述命令成功完成,则风险仍然存在,我们需要纠正它。我不知道还有哪些其他设置可以解决这个问题,并且不想编写共享删除脚本。还有其他需要设置的设置吗?这些设置是否会导致匿名连接失败?我还可能遗漏了什么吗?
答案1
更改注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
RestrictAnonymous = 2
或者,如果您希望通过组策略执行此操作:
网络访问:限制对命名管道和共享的匿名访问=已启用。
你还想确保
网络访问: 让所有人的权限应用于匿名用户
设置为“已禁用”。这对应于注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
EveryoneIncludesAnonymous = 0
答案2
检查 SCM 中针对您的操作系统的最新指南。根据 2k8r2 SP2 的基准,应启用限制对命名管道和共享的匿名访问。您应该通过组策略进行设置,并且可能还应该使用该工具审核您的安全基准。