IPC$ share and null session behavior in Windows

This article describes the inter-process communication share (IPC$) and null session behavior in Windows.

Original product version: В Windows 7 Service Pack 1, Windows Server 2012 R2
Original KB number: В 3034016

About IPC$ share

The IPC$ share is also known as a null session connection. By using this session, Windows lets anonymous users perform certain activities, such as enumerating the names of domain accounts and network shares.

The IPC$ share is created by the Windows Server service. This special share exists to allow for subsequent named pipe connections to the server. The server’s named pipes are created by built-in operating system components and by any applications or services that are installed on the system. When the named pipe is being created, the process specifies the security associated with the pipe. Then it makes sure that access is only granted to the specified users or groups.

Configure anonymous access by using network access policy settings

The IPC$ share can’t be managed or restricted in the following versions of Windows:

• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2

However, an administrator has controls over any named pipes that were enabled. They can be accessed anonymously by using the Network access: Named Pipes that can be accessed anonymously security policy setting. If the policy setting is configured to have no entries, such as a Null value, no named pipes can be accessed anonymously. And you must ensure that no applications or services in the environment rely on anonymous access to any named pipes on the server.

Windows Server 2003 no longer prevents anonymous access to IPC$ share. The following security policy setting defines whether the Everyone group is added to an anonymous session:

If this setting is disabled, the only resources that can be accessed by an anonymous user are those resources granted to the Anonymous Logon group.

In Windows Server 2012 or a later version, there’s a feature to determine whether anonymous sessions should be enabled on file servers. It’s determined by checking if any pipes or shares are marked for remote access.

Network security: Allow LocalSystem NULL session fallback

Applies to

Describes the best practices, location, values, and security considerations for the Network security: Allow LocalSystem NULL session fallback security policy setting.

Reference

This policy affects session security during the authentication process between devices running Windows ServerВ 2008В R2 and WindowsВ 7 and later and those devices running earlier versions of the Windows operating system. For computers running Windows ServerВ 2008В R2 and WindowsВ 7 and later, services running as Local System require a service principal name (SPN) to generate the session key. However, if Network security: Allow Local System to use computer identity for NTLM is set to disabled, services running as Local System will fall back to using NULL session authentication when they transmit data to servers running versions of Windows earlier than WindowsВ Vista or Windows ServerВ 2008.В NULL session does not establish a unique session key for each authentication; and thus, it cannot provide integrity or confidentiality protection.В The setting Network security: Allow LocalSystem NULL session fallback determines whether services that request the use of session security are allowed to perform signature or encryption functions with a well-known key for application compatibility.

Possible values

Enabled

When a service running as Local System connects with a NULL session, a system-generated session key is created, which provides no protection but allows applications to sign and encrypt data without errors. This increases application compatibility, but it degrades the level of security.

Disabled

When a service running as Local System connects with a NULL session, session security will be unavailable.В Calls seeking encryption or signing will fail.В This setting is more secure, but at the risk of degrading application incompatibility.В Calls that are using the device identity instead of a NULL session will still have full use of session security.

Not defined. When this policy is not defined, the default takes effect.В This is Enabled for versions of the Windows operating system earlier than Windows ServerВ 2008В R2 and WindowsВ 7, and it is Disabled otherwise.

Best practices

When services connect with the device identity, signing and encryption are supported to provide data protection. When services connect with a NULL session, this level of data protection is not provided. However, you will need to evaluate your environment to determine the Windows operating system versions that you support. If this policy is enabled, some services may not be able to authenticate.

This policy applies to WindowsВ ServerВ 2008 and WindowsВ Vista (SP1 and later). When your environment no longer requires support for WindowsВ NTВ 4, this policy should be disabled. By default, it is disabled in WindowsВ 7 and Windows ServerВ 2008В R2 and later.

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Default values

Server type or Group Policy Object (GPO)	Default value
Default domain policy	Not defined
Default domain controller policy	Not defined
Stand-alone server default settings	Not defined
Domain controller effective default settings	Not applicable
Member server effective default settings	Not applicable
Effective GPO default settings on client computers	Not applicable

Security considerations

This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Vulnerability

If this setting is Enabled, when a service connects with a NULL session, a system-generated session key is created, which provides no protection but allows applications to sign and encrypt data without errors. Data that is intended to be protected might be exposed.

Countermeasure

You can configure the computer to use the computer identity for Local System with the policy Network security: Allow Local System to use computer identity for NTLM. If that is not possible, this policy can be used to prevent data from being exposed in transit if it was protected with a well-known key.

Potential impact

If you enable this policy, services that use NULL session with Local System could fail to authenticate because they will be prohibited from using signing and encryption.

Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы Network security: Allow LocalSystem NULL session fallback

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности, которые следует учитывать при настройке сетевой безопасности: разрешить параметр политики безопасности «Разрешить откат сеанса LocalSystem NULL». Describes the best practices, location, values, and security considerations for the Network security: Allow LocalSystem NULL session fallback security policy setting.

Справочные материалы Reference

Эта политика влияет на безопасность сеанса в процессе проверки подлинности между устройствами под управлением Windows Server 2008 R2 и Windows 7 и более поздних версий и устройствами под управлением более ранних версий операционной системы Windows. This policy affects session security during the authentication process between devices running Windows Server 2008 R2 and Windows 7 and later and those devices running earlier versions of the Windows operating system. Для компьютеров под управлением Windows Server 2008 R2 Windows 7 и более поздних версиях для создания ключа сеанса службам, работающим под управлением локальной системы, требуется имя-имя-службы . For computers running Windows Server 2008 R2 and Windows 7 and later, services running as Local System require a service principal name (SPN) to generate the session key. Однако если в качестве сетевой безопасности : разрешить локальной системе использовать удостоверение компьютера для NTLM установлено отключено, службы, работающие в качестве локальной системы, будут использовать проверку подлинности сеанса NULL при передаче данных на серверы с более ранними версиями Windows Vista или Windows Server 2008. However, if Network security: Allow Local System to use computer identity for NTLM is set to disabled, services running as Local System will fall back to using NULL session authentication when they transmit data to servers running versions of Windows earlier than Windows Vista or Windows Server 2008. Сеанс NULL не устанавливает уникальный ключ сеанса для каждой проверки подлинности; и, следовательно, он не может обеспечить целостность или защиту конфиденциальности. NULL session does not establish a unique session key for each authentication; and thus, it cannot provide integrity or confidentiality protection. Параметр «Сетовая безопасность: разрешить откат сеанса LocalSystem NULL» определяет, разрешено ли службам, запрашивая использование безопасности сеанса, выполнять функции подписи или шифрования с известным ключом для совместимости приложений. The setting Network security: Allow LocalSystem NULL session fallback determines whether services that request the use of session security are allowed to perform signature or encryption functions with a well-known key for application compatibility.

Возможные значения Possible values

Включено Enabled

Когда служба, запущенная в качестве локальной системы, подключается к сеансу NULL, создается системный ключ сеанса, который не обеспечивает защиты, но позволяет приложениям подписывать и шифровать данные без ошибок. When a service running as Local System connects with a NULL session, a system-generated session key is created, which provides no protection but allows applications to sign and encrypt data without errors. Это повышает совместимость приложений, но снижает уровень безопасности. This increases application compatibility, but it degrades the level of security.

Отключено Disabled

Когда служба, запущенная в качестве локальной системы, подключается к сеансу NULL, безопасность сеанса будет недоступна. When a service running as Local System connects with a NULL session, session security will be unavailable. Вызовы, ищите шифрование или подпись, не удастся. Calls seeking encryption or signing will fail. Этот параметр более безопасный, но под угрозой несовместимости приложений. This setting is more secure, but at the risk of degrading application incompatibility. Вызовы, использующие удостоверение устройства вместо сеанса NULL, по-прежнему будут полностью использовать безопасность сеанса. Calls that are using the device identity instead of a NULL session will still have full use of session security.

Не определено. Not defined. Если эта политика не определена, по умолчанию вступает в силу. When this policy is not defined, the default takes effect. Эта возможность включена для версий операционной системы Windows, более ранних Windows Server 2008 R2 и Windows 7, и отключена в противном случае. This is Enabled for versions of the Windows operating system earlier than Windows Server 2008 R2 and Windows 7, and it is Disabled otherwise.

Рекомендации Best practices

Когда службы подключаются с удостоверением устройства, для обеспечения защиты данных поддерживается подпись и шифрование. When services connect with the device identity, signing and encryption are supported to provide data protection. При подключении служб к сеансу NULL этот уровень защиты данных не предоставляется. When services connect with a NULL session, this level of data protection is not provided. Однако необходимо оценить среду, чтобы определить поддерживаемые версии операционной системы Windows. However, you will need to evaluate your environment to determine the Windows operating system versions that you support. Если эта политика включена, некоторые службы могут не иметь возможности проверки подлинности. If this policy is enabled, some services may not be able to authenticate.

Эта политика применяется к Windows Server 2008 и Windows Vista (SP1 и более поздних версиях). This policy applies to Windows Server 2008 and Windows Vista (SP1 and later). Если вашей среде больше не требуется поддержка Windows NT 4, эту политику следует отключить. When your environment no longer requires support for Windows NT 4, this policy should be disabled. По умолчанию он отключен в Windows 7 и Windows Server 2008 R2 более поздних версиях. By default, it is disabled in Windows 7 and Windows Server 2008 R2 and later.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO)	Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy	Не определено Not defined
Политика контроллера домена по умолчанию Default domain controller policy	Не определено Not defined
Параметры по умолчанию для отдельного сервера Stand-alone server default settings	Не определено Not defined
Параметры по умолчанию для контроллера домена Domain controller effective default settings	Не применяются Not applicable
Эффективные параметры по умолчанию для серверов-членов Member server effective default settings	Не применяются Not applicable
Эффективные параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers	Не применяются Not applicable

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Если этот параметр включен, при подключении службы к сеансу NULL создается системный ключ сеанса, который не обеспечивает защиту, но позволяет приложениям подписывать и шифровать данные без ошибок. If this setting is Enabled, when a service connects with a NULL session, a system-generated session key is created, which provides no protection but allows applications to sign and encrypt data without errors. Данные, предназначенные для защиты, могут быть раскрыты. Data that is intended to be protected might be exposed.

Противодействие Countermeasure

Можно настроить компьютер на использование удостоверения компьютера для локальной системы с политикой сетевой безопасности: разрешить локальной системе использовать удостоверение компьютера для NTLM. You can configure the computer to use the computer identity for Local System with the policy Network security: Allow Local System to use computer identity for NTLM. Если это невозможно, эту политику можно использовать для предотвращения передачи данных при их защите с помощью известного ключа. If that is not possible, this policy can be used to prevent data from being exposed in transit if it was protected with a well-known key.

Возможное влияние Potential impact

Если вы введете эту политику, службы, использующие сеанс NULL с локальной системой, не смогут проверить подлинность, так как им будет запрещено использовать подпись и шифрование. If you enable this policy, services that use NULL session with Local System could fail to authenticate because they will be prohibited from using signing and encryption.