策略|对象
微软一直都依靠匿名登录允许计算机和服务程序建立与其他计算机之间的开放交流。但是,这些匿名登录并不安全。攻击者会利用Windows计算机中的匿名登录访问到关系安全的信息。但利用组策略对象(GPOs),就能保护你的Windows计算机,限制匿名登录。
保护的范围
一旦攻击者匿名登录到你的计算机,要访问到许多有关安全的信息是相当容易的。通过匿名登录,攻击者可搜集到以下信息:
在你计算机里的用户列表,包括活动目录 在你计算机里的组列表,包括活动目录 用户帐号的安全标识(SIDs) 安全标识的用户帐号 在你计算机里的共享列表 在你计算机里的帐号策略 在你计算机里的NetBIOS名 与你计算机相关的域名 你的域所信赖的域列表为防止匿名登录,保护关键安全信息,你应使用组策略对象。微软已改变了Windows 2000和Windows XP/2003环境中的保护级别。
为防止Windows 2000计算机里的匿名登录,你应对GPO进行以下配置:
我的电脑-配置Windows-安全设置-本地安全策略设置-另外选项-限制匿名登录
理想情况下,你将其配置为“除了有明晰的匿名许可,否则禁止访问。”然而,这会影响到需要与你Windows 2000计算机进行交流的客户端和应用程序。在对该设置进行测试后,你会发现有必要将设置调回“禁止列举SAM帐号和共享。”
为了保护Windows XP和Server 2003计算机,到GPO中的同一个节点进行以下配置:
网络访问:允许匿名SID/Name转换。这会防止有些工具攫取基于名字的SID。你应将其设为“无效”。 网络访问:将Everyone权限用于匿名用户。这会防止匿名登录访问所有Everyone组可访问的资源。将其设为“无效”。 网络访问:禁止匿名列举存储区域管理(SAM)帐号。这样防止列举SAM目录(或活动目录)里的用户及组列表。将其设为“允许”。 网络访问:禁止匿名列举SAM帐号和共享。这样防止从SAM目录中列出用户和组,以及计算机里的共享列表。将其设为“允许”。匿名登录设置起来很容易,它给了攻击者访问过多信息的途径。你需保护自己的计算机,确保一个稳定安全的环境。利用GPO,无管你使用的操作系统如何,都能保护到你的客户端及服务器。在经过测试并执行匿名登录的防护措施后,你就能进行下一步工作了:保护你的网络。
