让你的Win2008更安全限制匿名访问

Windows Server家族操作系统一直有一个弱点就是Administrators组用户拥有很高的权限，比如远程IPC连接和终端服务登录，管理员帐号的使用不受限制，这与Windows XP和Windows Vista有本质的区别。今天在Vista中，我们来谈谈如何防止黑客建立IPC$空连接，从而防止远程用户的匿名访问。打开注册表编辑器，导航到HKEY _本地_机器\系统\当前控制集\控制\ LSA分支，将右边的RestrictAnonymous修改为1，如图1所示。

restrict anonymous价值的三种解释:

0依赖于默认权限1。不允许枚举SAM帐户和名称2。没有明确的匿名权限是无法访问的。与此同时，Vista提醒你注意域控制器DC。

当基于Windows 2000/2003/2008的域控制器上的RestrictAnonymous注册表值设置为2时，下列任务受到限制:下级工作站或服务器无法建立netlogon安全通道。

？受信任域中的下级域控制器无法建立netlogon安全通道。

？Windows nt用户在密码过期后不能更改密码。此外，Macintosh用户根本无法更改密码。

？在RestrictAnonymous注册表值设置为2的计算机上运行的备份浏览器、主浏览器或域主浏览器中，浏览器无法检索域列表或服务器列表。因此，所有依赖浏览器服务的程序都无法正常工作。

由于上述结果，建议您不要在包括下级客户端的混合模式环境中将RestrictAnonymous注册表值设置为2。只有在Windows 2000/2003/2008环境中，并且只有在进行了足够的质量保证测试以证明正确的服务级别和程序功能继续得到维护之后，我们才应该考虑将RestrictAnonymous注册表值设置为2。