deve ser permitido acesso anônimo ao compartilhamento IPC no Windows 2008 r2

4

Durante uma auditoria, foi levantada a questão do acesso anônimo ao compartilhamento IPC $ (sessões nulas). A auditoria lista o seguinte como sendo um risco em um servidor de arquivos do Windows 2008r2:

C:\>net use \fileserver\ipc$ "" /user:"" The command completed successfully.

Confirmei que as configurações a seguir estão configuradas

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let Everyone permissions apply to anonymous users=disabled Network access: Named Pipes that can be accessed anonymously= <blank> Network access: Shares that can be accessed anonymously= <blank>

e que a enumeração anônima (compartilhamentos, usuários, etc.) não funciona, mas me disseram que, se o comando acima for concluído com sucesso, o risco permanece e precisamos corrigi-lo. Eu estou em uma perda quanto ao que outras configurações iria consertar isso e não quer script a exclusão do compartilhamento. Existem outras configurações que precisam ser definidas? Essas configurações devem fazer com que a conexão anônima falhe? Há mais alguma coisa que eu possa ter perdido?

    
por user3287819 29.03.2015 / 21:17

2 respostas

2

Altere o valor do registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    RestrictAnonymous = 2

Ou, se você preferir fazer isso por meio da Diretiva de Grupo:

Acesso à rede: restringir o acesso anônimo a pipes nomeados e compartilhamentos = ativado.

Além disso, você quer ter certeza de que

Acesso à rede: permitir que as permissões de todos os usuários sejam aplicadas a usuários anônimos

está definido como Desativado. Isso corresponde à entrada do registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    EveryoneIncludesAnonymous = 0
    
por 30.03.2015 / 05:02
-1

Verifique as orientações mais recentes no SCM do seu sistema operacional. Acordo com a linha de base para 2k8r2 SP2, restringir o acesso anônimo a pipes nomeados e compartilhar deve ser habilitado. Você deve definir isso por meio da política de grupo e, provavelmente, também deve auditar sua linha de base de segurança com a ferramenta.

    
por 30.03.2015 / 19:20