是否应该允许在 Windows 2008 r2 上匿名访问 IPC 共享

Question

在审计期间，提出了匿名访问 IPC$（空会话）共享的问题。审计将以下内容列为 Windows 2008r2 文件服务器上的风险：

C:\>net use \\fileserver\ipc$ "" /user:"" The command completed successfully.

我已经确认配置了以下设置

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let Everyone permissions apply to anonymous users=disabled Network access: Named Pipes that can be accessed anonymously= <blank> Network access: Shares that can be accessed anonymously= <blank>

并且匿名枚举（共享、用户等）不起作用，但有人告诉我，如果上述命令成功完成，那么风险仍然存在，我们需要纠正它。我不知道还有哪些其他设置可以解决此问题，并且不想编写删除共享的脚本。是否还有其他设置需要设置？这些设置是否会导致匿名连接失败？还有什么我可能错过的吗？

Answer 1

更改注册表值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    RestrictAnonymous = 2

或者，如果您想通过组策略执行此操作：

网络访问：限制对命名管道和共享的匿名访问=已启用。

您还想确保

网络访问：让Everyone权限应用于匿名用户

设置为禁用。这对应于注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\
    EveryoneIncludesAnonymous = 0