利用組策略對象(GPOs)防止匿名登入

來源:互聯網
上載者:User
策略|對象

微軟一直都依靠匿名登入允許電腦和服務程式建立與其他電腦之間的開放交流。但是,這些匿名登入並不安全。攻擊者會利用Windows電腦中的匿名登入訪問到關係安全的資訊。但利用組策略對象(GPOs),就能保護你的Windows電腦,限制匿名登入。

保護的範圍

一旦攻擊者匿名登入到你的電腦,要訪問到許多有關安全的資訊是相當容易的。通過匿名登入,攻擊者可搜集到以下資訊:

在你電腦裡的使用者列表,包括活動目錄 在你電腦裡的組列表,包括活動目錄 使用者帳號的安全標識(SIDs) 安全標識的使用者帳號 在你電腦裡的共用列表 在你電腦裡的帳號策略 在你電腦裡的NetBIOS名 與你電腦相關的網域名稱 你的域所信賴的域列表

為防止匿名登入,保護關鍵安全資訊,你應使用組策略對象。微軟已改變了Windows 2000和Windows XP/2003環境中的保護層級。

為防止Windows 2000電腦裡的匿名登入,你應對GPO進行以下配置:

我的電腦-配置Windows-安全設定-本地安全性原則設定-另外選項-限制匿名登入

理想情況下,你將其配置為“除了有明晰的匿名許可,否則禁止訪問。”然而,這會影響到需要與你Windows 2000電腦進行交流的用戶端和應用程式。在對該設定進行測試後,你會發現有必要將設定調回“禁止列舉SAM帳號和共用。”

為了保護Windows XP和Server 2003電腦,到GPO中的同一個節點進行以下配置:

 網路訪問:允許匿名SID/Name轉換。這會防止有些工具攫取基於名字的SID。你應將其設為“無效”。 網路訪問:將Everyone許可權用於匿名使用者。這會防止匿名登入訪問所有Everyone組可訪問的資源。將其設為“無效”。 網路訪問:禁止匿名列舉儲存地區管理(SAM)帳號。這樣防止列舉SAM目錄(或活動目錄)裡的使用者及組列表。將其設為“允許”。 網路訪問:禁止匿名列舉SAM帳號和共用。這樣防止從SAM目錄中列出使用者和組,以及電腦裡的共用列表。將其設為“允許”。

匿名登入設定起來很容易,它給了攻擊者訪問過多資訊的途徑。你需保護自己的電腦,確保一個穩定安全的環境。利用GPO,無管你使用的作業系統如何,都能保護到你的用戶端及伺服器。在經過測試並執行匿名登入的防護措施後,你就能進行下一步工作了:保護你的網路。





相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。