匿名アクセスを制限するためにあなたのWin2008をより安全にする

Windows Serverファミリオペレーティングシステムには常にリモートIPC接続、ターミナルサービスログイン、管理者アカウントの使用など無制限の管理者グループのユーザー権限が高いという弱点があります。 Windows XPとWindows Vistaの間には根本的な違いがありますが、今日、VistaはハッカーがIPC $ null接続を確立できないようにする方法について話します｡これはリモートユーザによる匿名アクセスを防ぎますレジストリエディタを開き、HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\に移動します。コントロール\\ LSAブランチ、RestrictAnonymousの程度右にRestrictAnonymousの
図1、図1

図1

の値を変更するには3つのケースの解釈：

0デフォルトの特権に依存1はSAMアカウントの列挙を許可せず、名前2は明示的な匿名アクセス許可なしではアクセスできない、一方VistaゾーンはドメインコントローラーDCで注意を払う必要があることを思い出させます

Windows 2000/2003/2008ベースのドメインコントローラでRestrictAnonymousレジストリ値が2に設定されている場合、以下のタスクが制限されます。従属メンバーのワークステーションまたはサーバーは、netLogonセキュアチャネルを確立できません。

信頼ドメイン内の下位ドメインコントローラは、netLogonセキュアチャネルを確立できません。

Microsoft Windows NTユーザーは、パスワードの有効期限が切れるとパスワードを変更できません。さらに、Macintoshユーザーはパスワードをまったく変更できません。

ブラウザサービスは、RestrictAnonymousレジストリ値が2に設定されているコンピュータで実行されているバックアップブラウザ、マスタブラウザ、またはドメインマスタブラウザからドメインの一覧またはサーバーの一覧を取得することはできません。したがって、ブラウザサービスに依存するすべてのプログラムは正しく機能しません。

上記の結果から、下位クライアントを含む混在モード環境ではRestrictAnonymousレジストリ値を2に設定しないことをお勧めします。適切なサービスレベルとプログラム機能が維持されていることを確認するために十分な品質保証テストが実行された後にのみ、RestrictAnonymousレジストリ値を2に設定することを検討する必要があります。

zh-CN"],null,[1],zh-TW"]]]