信息安全专题培训(Windows系统安全)课件

NSFocusInformationTechnologyCo.Ltd.Windows系统安全徐毅Xylonxuyi@Trainingdept.,CustomerSupportCenterAugust2005StrictlyPrivate&ConfidentialNSFocusInformationTechnologyWindows安全模型Windows安全模型操作系统安全定义•信息安全的五类服务，作为安全的操作系统时必须提供的•有些操作系统所提供的服务是不健全的、默认关闭的操作系统安全定义•信息安全的五类服务，作为安全的操作系统时信息安全评估标准ITSEC和TCSECTCSEC描述的系统安全级别D--ACC(CommonCritical)标准BS7799:2000标准体系ISO17799标准信息安全评估标准ITSEC和TCSECTCSEC定义的内容没有安全性可言，例如MSDOS不区分用户，基本的访问控制D级C1级C2级B1级B2级B3级A级有自主的访问安全性，区分用户标记安全保护，如SystemV等结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽校验级保护，提供低级别手段TCSEC定义的内容没有安全性可言，例如MSDOS不区分用C2级安全标准的要求自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问C2级安全标准的要求自主的访问控制CC(CommonCritical)标准CC的基本功能标准化叙述技术实现基础叙述CC的概念维护文件安全目标评估目标CC(CommonCritical)标准CC的基本功能Windows2000安全结构Windows2000安全结构Windows安全子系统WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库Windows安全子系统WinlogonGINALSASeWindows账号管理Windows账号管理Windows采用的账号认证方案LanManager认证(称为LM协议)早期版本NTLMv1认证协议NT4.0SP3之前的版本NTLMv2认证协议NT4.0SP4开始支持Kerberosv5认证协议Windows2000引进Windows采用的账号认证方案LanManager认证(称用户类型Administrator(默认的超级管理员)系统帐号(PrintOperater、BackupOperator)Guest(默认来宾帐号)用户类型Administrator(默认的超级管理员)帐户(accounts)和组(groups)帐户(useraccounts)定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制...组：universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二进制形式的SID帐户(accounts)和组(groups)帐户(userWindows2000的默认账号

账户名注释System/localsystem本地计算机的所有特权Administrator同上；可以改名，但不能删除Guest有限的权限，默认禁用IUER_计算机名IIS的匿名访问，guests组成员IWAM_计算机名IIS进程外应用程序运行的账号，Guests组成员TSInternetUser终端服务KrbtgtKerberos密钥分发账号，只在DC上出现，默认禁用Windows2000的默认账号账户名Windows2000下的内建组

组名注释Administrators成员具有本地计算机的全部权限

Users所有账号，较低的权限

Guests有限的权限，与users相同Authenticatedusers特殊的隐含组，包含所有已登录的用户

Replicator用于域中的文件复制BackupOperators没有administrators权限高，但十分接近ServerOperators没有administrators权限高，但十分接近AccountOperators没有administrators权限高，但十分接近PrintOperators没有administrators权限高，但十分接近Windows2000下的内建组组名密码存放位置注册表HKEY_LOCAL_MACHINE\SAM下Winnt/system32/config/sam密码存放位置注册表HKEY_LOCAL_MACHINE\SA添加/删除帐户Win2000/XP下管理工具—计算机管理—本地用户和组WinNT下(域)用户管理器命令行方式netuser用户名密码/add[/delete]将用户加入到组netlocalgroup组名用户名/add[/delete]添加/删除帐户Win2000/XP下帐户重命名将Administrator重命名将Guest来宾用户重命名新建一Administrator用户，隶属于Guest组帐户重命名将Administrator重命名密码策略的推荐设置强制执行密码历史记录

密码最长期限密码最短期限密码必须符合复杂性要求为域中所有用户使用可还原的加密来储存密码24个密码42天2天启用禁用密码策略的推荐设置强制执行密码历史记录密码最长期限密码最短针对远程破解的策略定制密码复杂性要求账户锁定策略的推荐设置策略默认设置推荐最低设置帐户锁定时间未定义30分钟帐户锁定阈值05次无效登录复位帐户锁定计数器未定义30分钟针对远程破解的策略定制密码复杂性要求策略默认设置推荐最低SAM数据库与ADSAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%\system32\config\sam中实现DC上，账号与密码散列保存在%systemroot%\ntds\ntds.dit中SAM数据库与ADSAM中口令的保存采用单向函数(OWF)或SYSKEY功能从NT4sp3开始提供散列128位随机密钥保存到SAM文件中保存随机密钥注册表中注册表中，同时使用额外的口令加密软磁盘SYSKEY功能从NT4sp3开始提供散列128位随机密SID与令牌SID唯一标示一个对象使用User2sid和sid2user工具进行双向查询令牌：通过SID标示账号对象以及所属的组SIDS-1-5-21-1507001333-1204550764-1011284298-500令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544SID与令牌SID唯一标示一个对象SID令牌解读SIDSIDS-1-5-21-1507001333-1204550764-1011284298-500修订版本编号颁发机构代码，Windows2000总为5子颁发机构代码，共有4个；具有唯一性相对标示符RID，一般为常数著名的SIDS-1-1-0EveryoneS-1-2-0Interactive用户S-1-3-0CreatorOwnerS-1-3-1CreatorGroup解读SIDSID修订版本编号颁发机构代码，Windows2Windows2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功令牌User=S-1-21-S-1-5-21-1507001333-1204550764-1011284298-500Group1=EveryOneS-1-1-0Group2=AdministratorsS-1-5-32-544允许Read=AS-1-5-21……Write=administratorsS-1-5-32-544…File.txtSRM,安全参考监视器访问Windows2000认证与授权访问用户AWinlogonWindows文件系统管理Windows文件系统管理Windows2000默认共享C$、D$……Ipc$：远程会话管理Admin$：指向%WinDir%目录，用于远程管理Windows2000默认共享C$、D$……Windows系统的用户权限权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。下表显示了这些任务是如何与各种权限级别相关联的Windows系统的用户权限权限适用于对特定对象如目录和文件Windows系统的用户权限目录权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权Windows系统的用户权限目录权限级别RXWDPO允许的用Windows系统的用户权限权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的所有权Windows系统的用户权限权限级别RXWDPO允许的用户动Windows系统的共享权限共享权限级别允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)Windows系统的共享权限共享权限级别允许的用户动作No复制和移动文件夹从一个NTFS分区到另一个NTFS分区复制/移动都是继承权限(不同分区，移动=复制+删除)同一个NTFS分区复制：继承移动：保留复制/移动到FAT(32)分区NTFS权限丢失复制和移动文件夹从一个NTFS分区到另一个NTFS分区Windows系统服务服务包括三种启动类型：自动，手动，禁用自动：启动时自动加载服务手动:启动时不自动加载服务，在需要的时候手动开启禁用：启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一笔服务项目子项都有一个Start数值,该数值内容所记录的就是服务项目驱动程式该在何时被加载目前微软对Start内容的定义有0、1、2、3、4等五种状态,0、1、2分别代表Boot、System、AutoLoad等叁种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入(Loadondemand),4则是代表停用的状态,也就是禁用Windows系统服务服务包括三种启动类型：自动，手动，禁用Windows的系统进程基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法

Windows的系统进程基本的系统进程Windows的系统进程附加的系统进程（这些进程不是必要的）

mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

Windows的系统进程附加的系统进程（这些进程不是必要的）Windows的系统进程tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服务)ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice)ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库。(系统服务)

lserver.exe注册客户端许可证。(系统服务)dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)Windows的系统进程tcpsvcs.exe提供在PXWindows的系统进程msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe帮助您发送和接收传真。(系统服务)cisvc.exeIndexingService(systemservice)dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)smlogsvc.exe配置性能日志和警报。(系统服务)rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)RsFsa.exe管理远程储存的文件的操作。(系统服务)Windows的系统进程msdtc.exe并列事务，是分布Windows的系统进程grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)Windows的系统进程grovel.exe扫描零备份存储Windows安全风险Windows安全风险基本HTTP请求“/files/index.html”等价于HTTP命令“GET/files/index.htmlHTTP/1.0”CGI调用“/scripts/cgi.exe?var1+var2”表示将var1和var2提交给cgi.exe(“+”是分隔符)ASP调用/scripts/cgi.exe?var1=X&var2=Y表示将X、Y分别作为两个变量提交基本HTTP请求“http://www.webmaster.HTTP文件遍历和URL编码空格%20

加号%2B

句号%2E

斜线(/)%2F

冒号%3A

问号%3F

反斜线(\)%5C

ASCII编码HTTP文件遍历和URL编码空格IIS溢出问题(1).htr缓冲区溢出漏洞IPP(InternetPrintingProtocol)缓冲区溢出(IPP是处理.printer文件的C:\winnt\system32\msw3prt.dll)当以下调用超过420字节时，问题就会发生对策：删除DLL和文件扩展之间的映射GET/NULL.printerHTTP/1.0Host:[buffer]IIS溢出问题(1).htr缓冲区溢出漏洞GET/NULL删除DLL和文件扩展之间的映射删除DLL和文件扩展之间的映射IIS溢出问题(2)索引服务ISAPI扩展溢出(通常被称为ida/idq溢出)由idq.dll引起，当buffer长度超过240字节时，问题就会发生Null.ida为文件名，无需真的存在直至现在上没有漏洞利用代码CodeRed的感染途径对策：删除idq.dll和文件扩展之间的映射GET/NULL.ida?HTTP/1.1Host:[buffer]IIS溢出问题(2)索引服务ISAPI扩展溢出(通常被称为iIIS溢出问题(3)Frontpage2000服务扩展溢出最早由NSFocus(中国安全研究小组)提出FPSE在Windows2000中的位置：C:\Programfiles\CommomFiles\MicrosoftShared\WebServerExtensions问题焦点是fp30reg.dll和fp4areg.dll(后者默认总是提供的)收到超过258字节的URL请求时，问题就会出现漏洞利用工具：fpse2000ex对策：删除fp30reg.dll和fp4areg.dll文件IIS溢出问题(3)Frontpage2000服务扩展溢出IIS的Unicode问题问题产生的要义“%c0%af”和“%c1%9c”分别是“/”“\”的unicode表示其它的非法表示法：“%c1%1c”、“%c1%9c”、“%c0%9v”、“%c0%af”、”%c1%8s”等对策安装MS00-086中的补丁由于没有实现分区跳转功能，可以在系统分区之外安装IIS设置严格的NTFS权限在服务器的Write和ExcuteACL中删除Everyone和User组IIS的Unicode问题问题产生的要义更近一步双解码/二次解码同样由NSFocus发布对策：应用MS01-26给出的补丁(不包括在sp2中)注意和Unicode的区别，包括相关日志GET/scripts/..%255c..255c%winnt/system32/cmd.exe更近一步双解码/二次解码同样由NSFocus发布GETIIS的其它问题源代码泄漏的危险.htr风险.htw/webhits风险权限提升的问题远程调用RevertToself的ISAPIDLL向LSA本地注射代码IIS的其它问题源代码泄漏的危险Windows2000终端服务TS(TerminalService)工作于3389端口TS基于RDP(RemoteDesktopProtocol)实现终端服务不是使用HTTP或HTTPS的，而是通过RDP通道实现TS监听端口可以自己指定\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp值PortNumberREG_WORD3389(默认)Windows2000终端服务TS(TerminalSe针对TS的攻击密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin)IME攻击风险RDPDoS攻击风险针对TS的攻击密码猜测攻击风险(TSGrinder)走进MS客户端客户端风险评估恶意电子邮件MIME扩展Outlook缓冲区溢出MediaPlay缓冲区溢出VBS地址簿蠕虫走进MS客户端客户端风险评估恶意电子邮件MIME恶意邮件实例HeloMailfroam:hi@Rcptto:attack@DataSublect:ReadmeImportance:highMIME-Version:1.0Content-type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<html>Hi!</html>.quit使用的开放SMTP邮件中继此处可以添加恶意客户端脚本通过下列命令执行：Typemail.txt|telnetIP25恶意邮件实例Helo使用Outlook溢出起源于vCard(一种电子名片)Outlook直接打开并运行附件中的vCards而不提示用户vCards存储于.vcf文件中，也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时，就会出现溢出对策：应用IE5.5sp2Outlook溢出起源于vCard(一种电子名片)Windows2000的打印驱动以fullcontrol权限运行在OS级别面临的主要威胁默认情况下任何人都可以安装打印驱动通过配置组策略或直接修改注册表攻击者可能会使用木马替换打印驱动Windows2000的打印驱动以fullcontrol媒体元文件<ASXVersion=“3.0”><Entry><refHREF=“path”/></Entry></ASX>问题所在带有超长path值的.asx文件试图自动浏览时，会导致资源管理器崩溃；另外，可以向path写入适当代码媒体元文件<ASXVersion=“3.0”>问题所在带有IIS服务安全配置禁用或删除所有的示例应用程序

示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从http://localhost或

访问；但是，它们仍应被删除。下面列出一些示例的默认位置。示例虚拟目录位置

IIS示例\IISSamplesc:\inetpub\iissamples

IIS文档\IISHelpc:\winnt\help\iishelp

数据访问\MSADCc:\programfiles\commonfiles\system\msadc

IIS服务安全配置禁用或删除所有的示例应用程序示例只是示例IIS服务安全配置启用或删除不需要的COM组件某些COM组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除Dictionary对象。切记某些程序可能需要您禁用的组件。如SiteServer3.0使用FileSystemObject。以下命令将禁用FileSystemObject：

regsvr32scrrun.dll/u删除IISADMPWD虚拟目录该目录可用于重置WindowsNT和Windows2000密码。它主要用于Intranet情况下，并不作为IIS5的一部分安装，但是IIS4服务器升级到IIS5时，它并不删除。如果您不使用Intranet或如果将服务器连接到Web上，则应将其删除IIS服务安全配置启用或删除不需要的COM组件IIS服务安全配置删除无用的脚本映射

IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。IIS接收到这些类型的文件请求时，该调用由DLL处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：打开Internet服务管理器。右键单击Web服务器，然后从上下文菜单中选择“属性”。主目录|配置|删除无用的.htr.ida.idq.printer.idc.stm.shtml等IIS服务安全配置删除无用的脚本映射IIS服务安全配置禁用父路径“父路径”选项允许在对诸如MapPath

函数调用中使用“..”，禁用该选项的步骤如下：右键单击该Web站点的根，然后从上下文菜单中选择“属性”单击“主目录”选项卡单击“配置”单击“应用程序选项”选项卡取消选择“启用父路径”复选框禁用-内容位置中的IP地址“内容-位置”标头可暴露通常在网络地址转换(NAT)防火墙或代理服务器后面隐藏或屏蔽的内部IP地址IIS服务安全配置禁用父路径IIS服务安全配置设置适当的IIS日志文件ACL

确保IIS日志文件(%systemroot%\system32\LogFiles)上的ACL是Administrators（完全控制）System（完全控制）Everyone(RWC)

这有助于防止恶意用户为隐藏他们的踪迹而删除文件设置适当的虚拟目录的权限

确保IIS虚拟目录如scripts等权限设置是否最小化，删除不需要目录将IIS目录重新定向

更改系统默认路径，自定义WEB主目录路径并作相应的权限设置使用专门的安全工具微软的IIS安全设置工具：IISLockTool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性IIS服务安全配置设置适当的IIS日志文件ACL终端服务安全输入法漏洞造成的威胁netuserabc123/addnetlocalgroupadministratorsabc/add注册表DontDisplayLastUserName1终端服务安全输入法漏洞造成的威胁netuserabc1SMB连接与验证过程ClientServer1.建立TCP连接2.客户端类型、支持的服务方式列表等3.服务器认证方式、加密用的key等4.用户名、加密后密码5.认证结果随机生成一把加密密钥key(8或16字节)采用DES的变形算法，使用key对密码散列进行加密SMB连接与验证过程ClientServer1.建立TCP连SMB提供的服务SMB会话服务TCP139和TCP443端口SMB数据报支持服务UDP138和UDP445端口SMB名称支持服务UDP137端口SMB通用命令支持服务SMB提供的服务SMB会话服务开放SMB服务的危险开放SMB服务的危险SMB名称类型列表(1)

00UWorkstationService

01UMessengerService

01GMasterBrowser

03UMessengerService

06URASServerService

1FUNetDDEService

20UFileServerService

21URASClientService

22UExchangeInterchange

23UExchangeStore

24UExchangeDirectory

30UModemSharingServerService

31UModemSharingClientService

43USMSClientRemoteControl

44USMSAdminRemoteControlTool名称列表1SMB名称类型列表(1)00SMB名称类型列表(2)

45USMSClientRemoteChat

46USMSClientRemoteTransfer

4CUDECPathworksTCPIPService

52UDECPathworksTCPIPService

87UExchangeMTA

6AUExchangeIMC

BEUNetworkMonitorAgent

BFUNetworkMonitorApps

03UMessengerService

00GDomainName

1BUDomainMasterBrowser

1CGDomainControllers

1DUMasterBrowser

1EGBrowserServiceElections

1CGInternetInformationServer

00UInternetInformationServer名称列表2SMB名称类型列表(2)45强化SMB会话安全强制的显式权限许可：限制匿名访问控制LANManager验证使用SMB的签名服务端和客户端都需要配置注册表强化SMB会话安全强制的显式权限许可：限制匿名访问降低Windows风险降低Windows风险安全修补程序Windows系列ServicePackNT(SP6A)、2000(SP4)、XP(SP2)HotfixMicrosoft出品的hfnetchk程序检查补丁安装情况/default.asp安全修补程序Windows系列服务和端口限制限制对外开放的端口:在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置禁用snmp服务或者更改默认的社区名称和权限禁用terminalserver服务将不必要的服务设置为手动

Alerter

ClipBook

ComputerBrowser……服务和端口限制限制对外开放的端口:在TCP/IP的高级设置Netbios的安全设置Windows2000/2003

取消绑定文件和共享绑定打开控制面板－网络－高级－高级设置选择网卡并将Microsoft网络的文件和打印共享的复选框取消，即可以完全禁止TCP139和445WindowsNT在WinNT下取消NetBIOS与TCP/IP协议的绑定。可以按如下步骤进行：点击“控制面板->网络->NetBIOS接口->WINS客户（TCP/IP)->禁用”，再点“确定”，然后重启这样NT的计算机名和工作组名也隐藏了Netbios的安全设置Windows2000/2003Netbios的安全设置禁止匿名连接列举帐户名需要对注册表做以下修改运行注册表编辑器（Regedt32.exe）定位在注册表中的下列键上：HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA在编辑菜单栏中选取加一个键值：ValueName:RestrictAnonymousDataType:REG_DWORDValue:1（Windows2000下为2）Netbios的安全设置禁止匿名连接列举帐户名需要对注册表做Netbios的安全设置Windows2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选0：None.Relyondefaultpermissions（无，取决于默认的权限）1：DonotallowenumerationofSAMaccountsandshares（不允许枚举SAM帐号和共享）2：Noaccesswithoutexplicitanonymouspermissions（没有显式匿名权限就不允许访问）

Netbios的安全设置Windows2000的本地安全策Windows2000注册表所有的配置和控制选项都存储在注册表中分为五个子树，分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_configHkey_local_machine包含所有本机相关配置信息Windows2000注册表所有的配置和控制选项都存储在注注册表安全查询数值允许用户和组从注册表中读取数值设置数值允许用户和组从注册表中设置数值创建子项允许用户和组在给定的注册项中创建子项计数子项允许用户和组识别某注册项的子项通知