Windows Server家族操作系統(tǒng)一直有一個弱點就是Administrators組用戶權限很高,如遠程IPC連接���、終端服務登錄�����,使用管理員帳號是不受限制的�����,這和Windows XP��、Windows Vista有著本質(zhì)的區(qū)別�,今天Vista地帶就來說一下如何防止黑客建立IPC$空連接��,這樣就防止遠程用戶的匿名訪問���,打開注冊表編輯器����,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支��,在右邊修改RestrictAnonymous為1.如圖1所示
有關RestrictAnonymous的值的三種情況解釋:
依賴于默認權限 1 不允許枚舉SAM 帳戶和名稱 2 沒有顯式匿名權限就無法訪問�,同時Vista地帶提醒您在域控制器DC中需要注意的
當基于 Windows 2000/2003/2008 的域控制器上的 RestrictAnonymous 注冊表值被設置為 2 時,下列任務受到限制:下級成員工作站或服務器無法建立 netlogon 安全通道。
◆信任域中的下級域控制器無法建立 netlogon 安全通道���。
◆Microsoft Windows NT 用戶在密碼過期后無法更改密碼���。此外,Macintosh 用戶根本不能更改他們的密碼�。
◆ 瀏覽器服務無法從在 RestrictAnonymous 注冊表值設置為 2 的計算機上運行的備份瀏覽器�����、主瀏覽器或域主瀏覽器中檢索域列表或服務器列表��。因此���,所有依賴瀏覽器服務的程序都無法正常工作��。
由于上述結(jié)果�����,建議您不要在包括下級客戶端的混合模式環(huán)境中將 RestrictAnonymous 注冊表值設置為 2�。只有在 Windows 2000/2003/2008 環(huán)境下�����,并且只有當進行了充分的質(zhì)量保證測試以證實適當?shù)姆占墑e和程序功能繼續(xù)保持之后,才應考慮將 RestrictAnonymous 注冊表值設置為 2�����。
