如何讓你的Windows 2008更安全

Windows Server家族作業系統一直有一個弱點就是Administrators組使用者權限很高，如遠程IPC串連、終端服務登入，使用管理員帳號是不受限制的，這和Windows XP、Windows Vista有著本質的區別，今天Vista地帶就來說一下如何防止駭客建立IPC$空串連，這樣就防止遠端使用者的匿名訪問，開啟登錄編輯程式，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右邊修改RestrictAnonymous為1.如圖1所示

圖1

有關RestrictAnonymous的值的三種情況解釋：

0 依賴於預設許可權 1 不允許枚舉SAM 帳戶和名稱 2 沒有顯式匿名許可權就無法訪問，同時Vista地帶提醒您在網域控制站DC中需要注意的

當基於 Windows 2000/2003/2008 的網域控制站上的 RestrictAnonymous 註冊表值被設定為 2 時，下列任務受到限制： ? 下級成員工作站或伺服器無法建立 netlogon 安全通道。

信任域中的下級網域控制站無法建立 netlogon 安全通道。

Microsoft Windows NT 使用者在密碼到期後無法更改密碼。此外，Macintosh 使用者根本不能更改他們的密碼。

瀏覽器服務無法從在 RestrictAnonymous 註冊表值設定為 2 的電腦上啟動並執行備份瀏覽器、主瀏覽器或域主瀏覽器中檢索域列表或伺服器列表。因此，所有依賴瀏覽器服務的程式都無法正常工作。

由於上述結果，建議您不要在包括下級用戶端的混合模式環境中將 RestrictAnonymous 註冊表值設定為 2。只有在 Windows 2000/2003/2008 環境下，並且只有當進行了充分的品質保證測試以證實適當的服務等級和程式功能繼續保持之後，才應考慮將 RestrictAnonymous 註冊表值設定為 2。