微软一直都依靠匿名登录允许计算机和服务程序建立与其他计算机之间的开放交流。但是,这些匿名登录并不安全。攻击者会利用Windows计算机中的匿名登录访问到关系安全的信息。但利用组策略对象(GPOs),就能保护你的Windows计算机,限制匿名登录。
保护的范围
一旦攻击者匿名登录到你的计算机,要访问到许多有关安全的信息是相当容易的。通过匿名登录,攻击者可搜集到以下信息:
保护级升级
为防止匿名登录,保护关键安全信息,你应使用组策略对象。微软已改变了Windows 2000和Windows XP/2003环境中的保护级别。
为防止Windows 2000计算机里的匿名登录,你应对GPO进行以下配置:
我的电脑-配置Windows-安全设置-本地安全策略设置-另外选项-限制匿名登录
理想情况下,你将其配置为“除了有明晰的匿名许可,否则禁止访问。”然而,这会影响到需要与你Windows 2000计算机进行交流的客户端和应用程序。在对该设置进行测试后,你会发现有必要将设置调回“禁止列举SAM帐号和共享。”
为了保护Windows XP和Server 2003计算机,到GPO中的同一个节点进行以下配置:
总结
匿名登录设置起来很容易,它给了攻击者访问过多信息的途径。你需保护自己的计算机,确保一个稳定安全的环境。利用GPO,无管你使用的操作系统如何,都能保护到你的客户端及服务器。在经过测试并执行匿名登录的防护措施后,你就能进行下一步工作了:保护你的网络。
或