Windows 2000系统安全管理(ppt 41页)

系统帐号管理
文件系统管理
系统进程服务
系统安全基本配置

 

 

Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这是为了方便局域网用户共享文件的。但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接。
同时Windows的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 
0：None. Rely on default permissions（无，取决于默认的权限） 
1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 
2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 
0，这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等。
1，这个值是只允许非NULL用户存取SAM账号信息和共享信息。 
2，这个值需要注意的是，如果你一旦使用了这个值，共享信息就全完了。

..............................