win2008局限用戶遠(yuǎn)程匿名訪問(wèn)有妙招

　　在win2008系統(tǒng)中Administrations組用戶擁有著很高的權(quán)限，不管是遠(yuǎn)程IPC連接還是終端服務(wù)登錄，只要使用管理員賬號(hào)都是不受限制的，這對(duì)系統(tǒng)安全造成了一定的威脅，為了防止黑客利用這個(gè)漏洞進(jìn)行連接，所以限制遠(yuǎn)程用戶匿名訪問(wèn)是非常必要的。

　　一、打開(kāi)注冊(cè)表編輯器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右邊修改RestrictAnonymous為1.如圖所示

　　有關(guān)RestrictAnonymous的值的三種情況解釋：

　　0 依賴于默認(rèn)權(quán)限

　　1 不允許枚舉SAM 帳戶和名稱

　　2 沒(méi)有顯式匿名權(quán)限就無(wú)法訪問(wèn)

　　同時(shí)提醒您在域控制器DC中需要注意的，當(dāng)基于 Windows 2000/2003/2008 的域控制器上的RestrictAnonymous 注冊(cè)表值被設(shè)置為 2 時(shí)，下列任務(wù)受到限制：

　　下級(jí)成員工作站或服務(wù)器無(wú)法建立 netlogon 安全通道。

　　信任域中的下級(jí)域控制器無(wú)法建立 netlogon 安全通道。

　　Microsoft Windows NT 用戶在密碼過(guò)期后無(wú)法更改密碼。此外，Macintosh 用戶根本不能更改他們的密碼。

　　瀏覽器服務(wù)無(wú)法從在 RestrictAnonymous 注冊(cè)表值設(shè)置為 2 的計(jì)算機(jī)上運(yùn)行的備份瀏覽器、主瀏覽器或域主瀏覽器中檢索域列表或服務(wù)器列表。因此，所有依賴瀏覽器服務(wù)的程序都無(wú)法正常工作。

　　由于上述結(jié)果，建議您不要在包括下級(jí)客戶端的混合模式環(huán)境中將 RestrictAnonymous 注冊(cè)表值設(shè)置為 2。只有在 Windows 2000/2003/2008 環(huán)境下，并且只有當(dāng)進(jìn)行了充分的質(zhì)量保證測(cè)試以證實(shí)適當(dāng)?shù)姆��?wù)級(jí)別和程序功能繼續(xù)保持之后，才應(yīng)考慮將 RestrictAnonymous 注冊(cè)表值設(shè)置為 2。

　　作為服務(wù)器型系統(tǒng)，系統(tǒng)的安全問(wèn)題是十分重要的，尤其是防范黑客入侵，win2008系統(tǒng)成功限制遠(yuǎn)程用戶的匿名訪問(wèn)，是防范黑客入侵的一個(gè)非常有效的辦法。