win2008限制用戶遠程匿名訪問有妙招

　　在win2008系統(tǒng)中Administrations組用戶擁有著很高的權(quán)限，不管是遠程IPC連接還是終端服務(wù)登錄，只要使用管理員賬號都是不受限制的，這對系統(tǒng)安全造成了一定的威脅，為了防止黑客利用這個漏洞進行連接，所以限制遠程用戶匿名訪問是非常必要的。

　　一、打開注冊表編輯器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右邊修改RestrictAnonymous為1.如圖所示

　　有關(guān)RestrictAnonymous的值的三種情況解釋：

　　0 依賴于默認權(quán)限

　　1 不允許枚舉SAM 帳戶和名稱

　　2 沒有顯式匿名權(quán)限就無法訪問

　　同時提醒您在域控制器DC中需要注意的，當基于 Windows 2000/2003/2008 的域控制器上的RestrictAnonymous 注冊表值被設(shè)置為 2 時，下列任務(wù)受到限制：

　　下級成員工作站或服務(wù)器無法建立 netlogon 安全通道。

　　信任域中的下級域控制器無法建立 netlogon 安全通道。

　　Microsoft Windows NT 用戶在密碼過期后無法更改密碼。此外，Macintosh 用戶根本不能更改他們的密碼。

　　瀏覽器服務(wù)無法從在 RestrictAnonymous 注冊表值設(shè)置為 2 的計算機上運行的備份瀏覽器、主瀏覽器或域主瀏覽器中檢索域列表或服務(wù)器列表。因此，所有依賴瀏覽器服務(wù)的程序都無法正常工作。

　　由于上述結(jié)果，建議您不要在包括下級客戶端的混合模式環(huán)境中將 RestrictAnonymous 注冊表值設(shè)置為 2。只有在 Windows 2000/2003/2008 環(huán)境下，并且只有當進行了充分的質(zhì)量保證測試以證實適當?shù)姆��?wù)級別和程序功能繼續(xù)保持之后，才應(yīng)考慮將 RestrictAnonymous 注冊表值設(shè)置為 2。

　　作為服務(wù)器型系統(tǒng)，系統(tǒng)的安全問題是十分重要的，尤其是防范黑客入侵，win2008系統(tǒng)成功限制遠程用戶的匿名訪問，是防范黑客入侵的一個非常有效的辦法。