限制匿名檢查

限制匿名 SSA 檢查可判斷是否有使用 RestrictAnonymous 登錄設定來限制受掃描電腦上的匿名連線。登錄設定位於下列位置:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous

匿名使用者可提供特定類型的系統資訊清單,包含使用者名稱和詳細資料、帳戶原則和共用名稱。使用者名稱和共用名稱清單可能會協助潛在的攻擊者瞭解如何竊取資訊,例如:

  • 系統管理員是誰。
  • 哪些電腦的帳戶防護較弱。
  • 哪些電腦與網路共用資訊。

想要增強安全性的使用者可限制此功能,讓匿名使用者無法存取此資訊。

RestrictAnonymous 登錄設定可控制授與匿名使用者的列舉層級。RestrictAnonymous 可設為下列任一值:

  • 0 - 無。視預設權限而定。
  • 1 - 不允許「安全性帳戶管理員」帳戶和名稱的列舉。
  • 2 - 無不含明確匿名權限的存取權。

不建議您在網域控制站上或執行 Microsoft Windows Small Business Server 2003 (Windows SBS) 伺服器軟體的電腦上將 RestrictAnonymous 設為 2,除非它們在純 Windows 2000 Server 環境中,並通過應用程式相容性的測試。此外,將 RestrictAnonymous 設為 2 的用戶端電腦不能擔任主瀏覽器角色。

在 Windows XP 中,EveryoneIncludesAnonymous 登錄設定能控制是否將授予內建 Everyone 群組的權限,套用到匿名使用者。在 Windows XP,預設不會將授予 Everyone 群組的權限套用到匿名使用者,因此其對匿名使用者所提供的限制層級,與舊版 Windows 作業系統中的 RestrictAnonymous 設定相同。

檢閱分數相關的結果訊息。

建議您限制匿名存取。

由於 Windows XP 中存在 EveryoneIncludesAnonymous 登錄設定,因此 Windows XP 和新版作業系統的評分方式,與 Windows 2000 Server 作業系統的評分方式不同。

Windows Vista 和 Windows XP 的評分和結果

下表顯示 Client Security 如何在執行 Windows Vista™ 或 Windows XP 作業系統的電腦上執行這項檢查,利用所得的結果判定分數。它也會顯示相關報表中出現的結果訊息。您可以使用各個分數的結果訊息來判定建議的解決方案。

分數 Everyone 群組包含匿名使用者 Restrict‌Anonymous 設定 結果訊息

0

此電腦正在執行 RestrictAnonymous = 0。此等級允許使用者帳戶、帳戶原則和系統資訊的基本列舉。請設定 RestrictAnonymous = 2 以確保最高安全性。

  

不存在

登錄中沒有設定 RestrictAnonymous 機碼。此機碼必須存在,且其值必須設定大於 0。

  

非 0、1 或 2

偵測到此電腦上某些匿名存取設定的值無效。此電腦上目前的設定是RestrictAnonymous =

1

此電腦正在執行 RestrictAnonymous = 1。此等級禁止使用者帳戶、帳戶原則和系統資訊的基本列舉。請設定 RestrictAnonymous = 2 以確保最高安全性。

2

此電腦正確限制匿名存取。

  

任何設定

此電腦正確限制匿名存取。

Windows 2000 Server 的評分和結果

下表顯示 Client Security 如何在執行 Windows 2000 Server 的電腦上執行這項檢查,利用所得的結果判定分數。它也會顯示相關報表中出現的結果訊息。您可以使用各個分數的結果訊息來判定建議的解決方案。

分數 RestrictAnonymous 設定 RestrictAnonymous 設定遺失 結果訊息

0

此電腦正在執行 RestrictAnonymous = 0。此等級允許使用者帳戶、帳戶原則和系統資訊的基本列舉。請設定 RestrictAnonymous = 2 以確保最高安全性。

  

不適用

登錄中沒有設定 RestrictAnonymous 機碼。此機碼必須存在,且其值必須設定大於 0。

  

非 0、1 或 2

偵測到此電腦上某些匿名存取設定的值無效。此電腦上目前的設定是RestrictAnonymous =

1

此電腦正在執行 RestrictAnonymous = 1。此等級禁止使用者帳戶、帳戶原則和系統資訊的基本列舉。請設定 RestrictAnonymous = 2 以確保最高安全性。

2

此電腦正確限制匿名存取。

顯示: