限制匿名检查

限制匿名 SSA 检查确定是否使用 RestrictAnonymous 注册表来限制扫描的计算机上的匿名连接。注册表设置位于以下位置:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous

匿名用户可以列出某些类型的系统信息,包括用户名和详细信息、帐户策略以及共享名称。用户名和共享名称列表可以帮助潜在攻击者了解危害信息,例如:

  • 谁是管理员。
  • 哪些计算机的帐户保护能力较弱。
  • 哪些计算机可与网络共享信息。

想要增强安全性的用户可以限制此功能,以便匿名用户无法访问此信息。

RestrictAnonymous 注册表设置可对为匿名用户授予的枚举级别进行控制。RestrictAnonymous 可被设置为以下任意值:

  • 0 - 无。依靠默认权限。
  • 1 - 不允许“安全帐户管理器”帐户和名称的枚举。
  • 2 - 如果无明确的匿名权限,则不能进行访问。

建议您不要将域控制器或运行 Microsoft Windows Small Business Server 2003 (Windows SBS) 服务器软件的计算机上的 RestrictAnonymous 设置为 2,除非它们是在纯 Windows 2000 Server 环境下运行并且经测试可与应用程序相兼容。另外,其 RestrictAnonymous 设置为 2 的客户端计算机不应担任主浏览器的角色。

在 Windows XP 中,EveryoneIncludesAnonymous 注册表设置控制是否将为内置 Everyone 组授予的权限应用于匿名用户。默认情况下,在 Windows XP 中,为 Everyone 组授予的权限不会应用于匿名用户,因此其提供的匿名用户限制级别与先前 Windows 操作系统中的 RestrictAnonymous 设置相同。

查看与分数相关联的结果消息。

建议您限制匿名访问。

由于 Windows XP 中存在 EveryoneIncludesAnonymous 注册表设置,Windows XP 及更新的操作系统的计分将与 Windows 2000 Server 操作系统的计分不同。

Windows Vista 和 Windows XP 的计分和结果

下表显示 Client Security 如何确定由于在运行 Windows Vista™ 或 Windows XP 操作系统的计算机上执行此检查而生成的分数。它还将显示相关报表中出现的结果消息。您可以使用每个分数的结果消息来确定建议的解决方法。

分数 Everyone 组包括匿名用户 Restrict‌Anonymous 设置 结果消息

0

此计算机正在运行,RestrictAnonymous 为 0。此级别允许用户帐户、帐户策略和系统信息的基本枚举。请将 RestrictAnonymous 设置为 2 以确保获得最大安全性。

  

不存在

注册表中未设置 RestrictAnonymous 注册表项。此注册表项应存在并设置为大于 0 的值。

  

非 0、1 或 2

为此计算机上的某些匿名访问设置检测到无效值。此计算机上的当前设置为:RestrictAnonymous =

1

此计算机正在运行,RestrictAnonymous 为 1。此级别阻止用户帐户、帐户策略和系统信息的基本枚举。请将 RestrictAnonymous 设置为 2 以确保获得最大安全性。

2

此计算机正确限制了匿名访问。

  

任何设置

此计算机正确限制了匿名访问。

Windows 2000 Server 的计分和结果

下表显示 Client Security 如何确定由于对运行 Windows 2000 Server 的计算机执行此检查而生成的分数。它还将显示相关报表中出现的结果消息。您可以使用每个分数的结果消息来确定建议的解决方法。

分数 RestrictAnonymous 设置 缺少 RestrictAnonymous 设置 结果消息

0

此计算机正在运行,RestrictAnonymous 为 0。此级别允许用户帐户、帐户策略和系统信息的基本枚举。请将 RestrictAnonymous 设置为 2 以确保获得最大安全性。

  

不适用

注册表中未设置 RestrictAnonymous 注册表项。此注册表项应存在并设置为大于 0 的值。

  

非 0、1 或 2

为此计算机上的某些匿名访问设置检测到无效值。此计算机上的当前设置为:RestrictAnonymous =

1

此计算机正在运行,RestrictAnonymous 为 1。此级别阻止用户帐户、帐户策略和系统信息的基本枚举。请将 RestrictAnonymous 设置为 2 以确保获得最大安全性。

2

此计算机正确限制了匿名访问。

显示: