在win2008系統中Administrations組用戶擁有著很高的權限,不管是遠程IPC連接還是終端服務登錄,只要使用管理員賬號都是不受限制的,這對系統安全造成了一定的威脅,為了防止黑客利用這個漏洞進行連接,所以限制遠程用戶匿名訪問是非常必要的。
一、打開注冊表編輯器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支,在右邊修改RestrictAnonymous為1.如圖所示
有關RestrictAnonymous的值的三種情況解釋:
0 依賴於默認權限
1 不允許枚舉SAM 帳戶和名稱
2 沒有顯式匿名權限就無法訪問
同時提醒您在域控制器DC中需要注意的,當基於 Windows 2000/2003/2008 的域控制器上的RestrictAnonymous 注冊表值被設置為 2 時,下列任務受到限制:
下級成員工作站或服務器無法建立 netlogon 安全通道。
信任域中的下級域控制器無法建立 netlogon 安全通道。
Microsoft Windows NT 用戶在密碼過期後無法更改密碼。此外,Macintosh 用戶根本不能更改他們的密碼。
浏覽器服務無法從在 RestrictAnonymous 注冊表值設置為 2 的計算機上運行的備份浏覽器、主浏覽器或域主浏覽器中檢索域列表或服務器列表。因此,所有依賴浏覽器服務的程序都無法正常工作。
由於上述結果,建議您不要在包括下級客戶端的混合模式環境中將 RestrictAnonymous 注冊表值設置為 2。只有在 Windows 2000/2003/2008 環境下,並且只有當進行了充分的質量保證測試以證實適當的服務級別和程序功能繼續保持之後,才應考慮將 RestrictAnonymous 注冊表值設置為 2。
作為服務器型系統,系統的安全問題是十分重要的,尤其是防范黑客入侵,win2008系統成功限制遠程用戶的匿名訪問,是防范黑客入侵的一個非常有效的辦法。
