问题描述
我的一个 Azure 订阅中有 8 个不同的 Windows Server 2016 和 2019 虚拟机。
其中 7 个报告在 Azure 安全中心的 90044-Allowed Null Session 检查失败,如下所示:
CVE 链接指向的信息要么是不相关的,要么是过时的、比玛土撒拉更古老的信息。
点击“补救”部分中的链接时,the first one goes 404 和 second one take me to an eons-old Server 2000 Documentation link that recommends setting a specific Registry entry。默认情况下,此设置已存在并按照建议进行配置。
我在谷歌上搜索了一下,发现这个 Windows 10 link 有关于在 GP 中配置设置的说明,这也是在所有 VM 上按照推荐配置的。 Also found this from Blumira 更详细地介绍了应应用的其他注册表和组策略设置。我可以确认所有服务器均已按照此处的建议进行配置。
所以我的问题是此建议出现的标准是什么,以及如何配置我的 VM 以满足此建议的要求?
非常感谢任何帮助,这会显着降低我的 ASC 分数(6 分,或 -10%)
解决方法
您可以使用组策略来控制此设置网络访问:限制对命名管道和共享的匿名访问安全策略设置。
,我找到了答案,在受影响的机器上有一个未按要求设置的注册表项:
HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous
这在所有受影响的虚拟机上默认为“0”,将其设置为“1”(空会话不能用于枚举共享),然后机器将通过检查要求.
在 Azure 中使用的标准 Windows Server 2016/2019 映像上,默认情况下,通过此检查的任何/所有其他设置似乎都是必需的。