利用组策略对象(GPOs)防止匿名登录

策略|对象

微软一直都依靠匿名登录允许计算机和服务程序建立与其他计算机之间的开放交流。但是,这些匿名登录并不安全。攻击者会利用Windows计算机中的匿名登录访问到关系安全的信息。但利用组策略对象(GPOs),就能保护你的Windows计算机,限制匿名登录。

保护的范围

一旦攻击者匿名登录到你的计算机,要访问到许多有关安全的信息是相当容易的。通过匿名登录,攻击者可搜集到以下信息:

在你计算机里的用户列表,包括活动目录 在你计算机里的组列表,包括活动目录 用户帐号的安全标识(SIDs) 安全标识的用户帐号 在你计算机里的共享列表 在你计算机里的帐号策略 在你计算机里的NetBIOS名 与你计算机相关的域名 你的域所信赖的域列表
为防止匿名登录,保护关键安全信息,你应使用组策略对象。微软已改变了Windows 2000和Windows XP/2003环境中的保护级别。

为防止Windows 2000计算机里的匿名登录,你应对GPO进行以下配置:

我的电脑-配置Windows-安全设置-本地安全策略设置-另外选项-限制匿名登录

理想情况下,你将其配置为“除了有明晰的匿名许可,否则禁止访问。”然而,这会影响到需要与你Windows 2000计算机进行交流的客户端和应用程序。在对该设置进行测试后,你会发现有必要将设置调回“禁止列举SAM帐号和共享。”

为了保护Windows XP和Server 2003计算机,到GPO中的同一个节点进行以下配置:

 网络访问:允许匿名SID/Name转换。这会防止有些工具攫取基于名字的SID。你应将其设为“无效”。 网络访问:将Everyone权限用于匿名用户。这会防止匿名登录访问所有Everyone组可访问的资源。将其设为“无效”。 网络访问:禁止匿名列举存储区域管理(SAM)帐号。这样防止列举SAM目录(或活动目录)里的用户及组列表。将其设为“允许”。 网络访问:禁止匿名列举SAM帐号和共享。这样防止从SAM目录中列出用户和组,以及计算机里的共享列表。将其设为“允许”。
匿名登录设置起来很容易,它给了攻击者访问过多信息的途径。你需保护自己的计算机,确保一个稳定安全的环境。利用GPO,无管你使用的操作系统如何,都能保护到你的客户端及服务器。在经过测试并执行匿名登录的防护措施后,你就能进行下一步工作了:保护你的网络。

时间: 2024-10-30 04:56:13

利用组策略对象(GPOs)防止匿名登录的相关文章

使用组策略对象配置终端服务

策略|对象 本文节选自<Windows & .NET Magazine国际中文版> 自从1998年微软发布第一个Windows NT 4.0终端服务器版(WTS)以来,很多公司大大改善了使用RDP连接到终端服务器的用户体验.在Windows 2003中,RDP客户端几乎达到了与使用ICA客户端到Citrix MetaFrame服务器一样的功能,仅缺少支持应用程序发布与无状态窗口(应用程序发布指使一个连接指向一台终端服务器上的一个应用程序,无状态窗口则允许最终用户在一台终端服务器上对同一

利用组策略实现文件夹重定向 保护文件安全

网络管理员或许都遇到过类似的烦恼.如系统崩溃后,原来存放在C盘的应用程序专署数据都丢失了;或者桌面上的文件莫名其妙少了,等等.有时候,我们也千方百计提醒员工不要把文件存放在桌面上, 但是他们总是不听,等到文件丢失了,就在那边骂爹骂娘了.其实,若我们能够充分利用域组策略实现文件重定向功能,则可以轻松的解决这些问题. 所谓的文件重定向功能,就是把用户本机上的文件夹存储位置转移到域控制器上或者网络上的其他主机,从而实现对数据尽心统一备份与管理.具体的来说,我们可以把如下的一些文件夹进行重定向.1.应用

利用组策略解决Windows 7强大的搜索记录功能

Windows 7强大的搜索功能相当好用,不过麻烦的是所有的搜索历史记录都会出现在下拉列表框中,如果使用的是公用计算机,安全性就是一个问题了. 其实,我们可以利用组策略解决这一问题,操作如下. 在"开始搜索"框或"运行"框中输入"gpedit.msc",打开"本地组策略编辑器"窗口,依次打开"用户配置→管理模板→Windows组件→Windows资源管理器",在右侧窗格中找到"http://www

利用组策略来关闭win7驱动的自动更新

  操作步骤: 1.执行开始-运行-打开-gpedit.msc命令. 2.打开组策略,依次展开计算机配置-管理模板-系统-设备安装-设备安装限制. 3.查看右侧的设备安装限制,选定禁止安装未由其他策略设置描述的设备. 4.右键打开编辑属性. 5.选择禁止安装未由其他设置描述的设备中的已启用属性,并应用本次设置. 上述介绍的步骤就是win7系统中,利用系统组策略编辑,来关闭系统中的驱动自动更新操作.方法很简单,操作起来也很方便,只要简单的设置一下就可以免去很多平时不必要的麻烦了.

如何在win7旗舰版中利用组策略删除注销功能?

  w764位旗舰版的关机方法想必大家是十分了解的吧,当很多用户升级到win8系统之后还会觉得非常的不习惯,因为win8系统的关机功能十分的"封闭",和之前win7旗舰版中的方便操作似乎形成了鲜明的对比,那么大家在win旗舰版的关机功能这里是否有发现这里还有其他的功能呢?大家不妨点击出来看看,这里出了关机之外,还有注销.休眠.待机等选择模式,其中是不是有一些似乎是你不曾使用到的?如果你也举得这些功能十分的麻烦的话,那么下面,小编就来讲述一下,如何利用win7旗舰版中的组策略操作来删除掉

如何利用组策略对IE添加受信任站点

1. 以域管理员身份登录域控制器,单击"开始"/"管理工具"/"组策略管理": 2. 在打开的"组策略管理"窗口中,右键单击"Computer"选择"在这个域中创建GPO并在此处链接--",如下图所示: 3. 在弹出的"新建GPO"窗口中,输入策略名称"IE Configure",如下图所示: 4. 右键单击"IE trusted Con

利用组策略管理Microsoft Office 2007

从微软网站上下载组策略管理模板文件,地址是http://www.microsoft.com/downloads/details.aspx?FamilyID=92d8519a-e143-4aee-8f7a-e4bbaeba13e7&DisplayLang=zh-cn. 运行AdminTemplates.exe模板文件,释放可以看到有三个文件夹,ADM,ADMX和ADMIN文件夹.ADMIN文件夹是用来自定义OFFICE的OCT文件的升级文件(关于OFFICE 20007的自定义,参见Office

开启Windows To Go中Win8应用商店就利用组策略

Windows To Go更是让我们可以在移动设备上使用Windows8系统(需要注意的是,只有Win8企业版才具有该功能). Windows To Go 的设计并不旨在代替台式计算机.便携式计算机,或取代其他移动产品. 恰恰相反,它为有效使用备用的工作场所方案资源提供有力支持. 然而Win8的应用商店在Windows To Go中默认却是禁用的,给我们在移动设备上的体验带来了不快.不过,我们可以通过设置组策略的方法来开启应用商店功能. 具体的操作方法: Win+F打开搜索,输入"编辑组策略&q

怎么利用组策略来关闭win7驱动的自动更新呢?

  第一步.执行开始-运行-打开-gpedit.msc命令. 第二步.打开组策略,依次展开计算机配置-管理模板-系统-设备安装-设备安装限制. 第三步.查看右侧的设备安装限制,选定禁止安装未由其他策略设置描述的设备;右键打开编辑属性. 第四步.选择禁止安装未由其他设置描述的设备中的已启用属性,并应用本次设置.