徹底杜絕IPC＄攻擊

Windows 2000系統(tǒng)默認允許用戶通過IPC$連接獲得系統(tǒng)內(nèi)所有賬號和共享資源列表，它雖然為局域網(wǎng)用戶共享資源提供方便，但也可能被任何一個“心懷叵測”的人所利用，給Windows 2000系統(tǒng)帶來嚴重安全隱患。即使通過修改“賬戶策略”增強系統(tǒng)安全，也是種“治標不治本”方法，還是不能杜絕IPC$入侵。

1． 禁止IPC＄空連接

在Windows 2000服務器端，點擊“開始→運行”，在運行對話框中輸入“Regedit”命令，回車后，彈出注冊表編輯器窗口，依次展開“HKEY_LOCAL_MACHINE/SYSTEM
/CurrentControlSet/Control/Lsa”，在右欄中找到“restrictanonymous” 項，將其鍵值修改為“1”，重新啟動系統(tǒng)后就禁止IPC$空連接了。

2． 禁用默認隱藏共享

Windows 2000系統(tǒng)默認情況下，磁盤所有盤符的狀態(tài)都為隱藏共享，即使取消共享，下次重啟后所有盤符依然自動共享。這種共享給Windows 2000系統(tǒng)帶來安全隱患，因此要禁用默認隱藏共享。

在注冊表編輯器左欄中，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/
Services/LanmanServer/Parameters”，在右欄中找到“AutoShareServer（DWORD）”鍵，將其鍵值改為“00000000”。

如果上面AutoShareServer鍵不存在，我們可以進行手工創(chuàng)建，在右欄空白處單擊右鍵，選擇“新建→雙字節(jié)值”，然后修改主鍵名稱為“AutoShareServer”，其鍵值為“00000000”。最后重新啟動Windows 2000系統(tǒng)，就取消了默認隱藏共享。
慎用Guest賬號

在Windows工作組環(huán)境中，一般情況下，用戶要使用Guest賬號訪問共享資源。雖然Guest賬號為用戶訪問共享資源提供方便，但卻給服務器留下嚴重安全隱患，因此建議禁用Guest賬號。

在Windows 2000系統(tǒng)中，進入“控制面板→管理工具”，運行“計算機管理”工具，然后依次展開“計算機管理（本地）→系統(tǒng)工具→本地用戶和組→用戶”，找到Guest賬戶。右鍵單擊該賬號，在Guest屬性對話框中，選中“賬戶已停用”選項，單擊“確定”后，就禁用了Guest賬戶，這時該賬號出現(xiàn)一個紅色的叉號。

此外，還可以通過修改組策略不允許Guest賬號從網(wǎng)絡訪問本機，達到禁用的目的。單擊“開始→運行”，在運行框中輸入“gpedit.msc”，在組策略窗口中依次展開“本地計算機策略→計算機配置→Windows設置→安全設置→本地策略→用戶權(quán)力指派”（如圖），在右欄中找到“拒絕從網(wǎng)絡訪問這臺計算機”項，打開后將Guest賬號添加到列表中，接著打開“從網(wǎng)絡訪問此計算機”項，在屬性窗口中刪除Guest賬號。

禁用了Guest賬號后，用戶如何訪問共享資源呢？對于規(guī)模較大的網(wǎng)絡，使用域用戶賬號來控制對共享資源的訪問。小規(guī)模的網(wǎng)絡中，可以采用如下方法實現(xiàn)：在服務器端新建一個用戶賬號，并指定該賬號的訪問權(quán)限。然后在客戶機中新建一個相同用戶名和密碼的賬號，使用此賬號登錄客戶機后，就能安全訪問該賬號所允許的共享資源，但這種方法要為網(wǎng)絡中的每個客戶機都要創(chuàng)建一個賬號。如果大家感覺麻煩，也可以使用第三方文件共享軟件。

我的“FSO”你別動

為了實現(xiàn)企業(yè)網(wǎng)絡化辦公，需要啟用Windows 2000系統(tǒng)的IIS服務，它對ASP有良好的支持，因此很多企業(yè)網(wǎng)的辦公系統(tǒng)、論壇、留言板都采用ASP編程。但ASP中的FSO（FileSystemObject）對象卻有很大的安全隱患，一旦被“不懷好意”者利用，會導致整個系統(tǒng)的癱瘓，最簡單的方法就是禁用它。單擊“開始→運行”，在對話框中輸入“RegSvr32 /u scrrun.dll”命令，回車后彈出信息對話框，點擊“確定”按鈕后就禁用了FSO對象。如果想再次使用FSO對象也很簡單，在運行對話框中輸入“RegSvr32 scrrun.dll”即可。