彻底杜绝IPC＄攻击

Windows2000系统默认允许用户通过IPC$连接获得系统内所有账号和共享资源列表，它虽然为局域网用户共享资源提供方便，但也可能被任何一个“心怀叵测”的人所利用，给Windows2000系统带来严重安全隐患。即使通过修改“账户策略”增强系统安全，也是种“治标不治本”方法，还是不能杜绝IPC$入侵。

1．禁止IPC＄空连接

在Windows2000服务器端，点击“开始→运行”，在运行对话框中输入“Regedit”命令，回车后，弹出注册表编辑器窗口，依次展开“HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\Lsa”，在右栏中找到“restrictanonymous”项，将其键值修改为“1”，重新启动系统后就禁止IPC$空连接了。

2．禁用默认隐藏共享

Windows2000系统默认情况下，磁盘所有盘符的状态都为隐藏共享，即使取消共享，下次重启后所有盘符依然自动共享。这种共享给Windows2000系统带来安全隐患，因此要禁用默认隐藏共享。

在注册表编辑器左栏中，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters”，在右栏中找到“AutoShareServer（DWORD）”键，将其键值改为“00000000”。

如果上面AutoShareServer键不存在，我们可以进行手工创建，在右栏空白处单击右键，选择“新建→双字节值”，然后修改主键名称为“AutoShareServer”，其键值为“00000000”。最后重新启动Windows2000系统，就取消了默认隐藏共享。
慎用Guest账号

在Windows工作组环境中，一般情况下，用户要使用Guest账号访问共享资源。虽然Guest账号为用户访问共享资源提供方便，但却给服务器留下严重安全隐患，因此建议禁用Guest账号。

在Windows2000系统中，进入“控制面板→管理工具”，运行“计算机管理”工具，然后依次展开“计算机管理（本地）→系统工具→本地用户和组→用户”，找到Guest账户。右键单击该账号，在Guest属性对话框中，选中“账户已停用”选项，单击“确定”后，就禁用了Guest账户，这时该账号出现一个红色的叉号。

此外，还可以通过修改组策略不允许Guest账号从网络访问本机，达到禁用的目的。单击“开始→运行”，在运行框中输入“gpedit.msc”，在组策略窗口中依次展开“本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→用户权力指派”（如图），在右栏中找到“拒绝从网络访问这台计算机”项，打开后将Guest账号添加到列表中，接着打开“从网络访问此计算机”项，在属性窗口中删除Guest账号。

禁用了Guest账号后，用户如何访问共享资源呢？对于规模较大的网络，使用域用户账号来控制对共享资源的访问。小规模的网络中，可以采用如下方法实现：在服务器端新建一个用户账号，并指定该账号的访问权限。然后在客户机中新建一个相同用户名和密码的账号，使用此账号登录客户机后，就能安全访问该账号所允许的共享资源，但这种方法要为网络中的每个客户机都要创建一个账号。如果大家感觉麻烦，也可以使用第三方文件共享软件。

我的“FSO”你别动

为了实现企业网络化办公，需要启用Windows2000系统的IIS服务，它对ASP有良好的支持，因此很多企业网的办公系统、论坛、留言板都采用ASP编程。但ASP中的FSO（FileSystemObject）对象却有很大的安全隐患，一旦被“不怀好意”者利用，会导致整个系统的瘫痪，最简单的方法就是禁用它。单击“开始→运行”，在对话框中输入“RegSvr32/uscrrun.dll”命令，回车后弹出信息对话框，点击“确定”按钮后就禁用了FSO对象。如果想再次使用FSO对象也很简单，在运行对话框中输入“RegSvr32scrrun.dll”即可。