當(dāng)前位置 : 首頁>軟件學(xué)院>操作系統(tǒng)>系統(tǒng)技巧>正文

組策略保障共享目錄安全

http://www.yibo1263.com　2008/11/5 8:06:58 　來源:東北IT網(wǎng) 　編輯:葉子

　　在日常的辦公應(yīng)用中，為了使用的方便，我們習(xí)慣于將自己電腦上的一些文檔、目錄共享出來，以便于別人調(diào)用�！　�

　　但是對于共享的文件夾常常無法做到在使用后即將其關(guān)閉，這樣網(wǎng)絡(luò)上一些別有用心的人則可能對我們的共享文件進(jìn)行破壞，對于這種情況，我們可以借助組策略來保護(hù)共享內(nèi)容�！　�

　　一、禁止共享空密碼　

　　Windows默認(rèn)狀態(tài)下，允許遠(yuǎn)程用戶可以使用空用戶連接方式獲得網(wǎng)絡(luò)上某一臺計(jì)算機(jī)的共享資源列表和所有帳戶名稱。這個(gè)功能的開放，則容易讓非未能用戶使用空密碼或暴力破解得到共享的密碼，從而達(dá)到侵入共享目錄的目的�！　�

　　對于這種情況，我們首先可以關(guān)閉SAM賬號和共享的匿名枚舉功能。打開開始菜單中的“運(yùn)行”窗口，輸入“gpedit.msc”打開組策略編輯器，在左側(cè)依次找到“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”，雙擊右側(cè)的“網(wǎng)絡(luò)訪問:不允許SAM賬號和共享的匿名枚舉”項(xiàng)，在彈出的窗口中選中“已啟用”選項(xiàng)，最后單擊“確定”按鈕保存設(shè)置。經(jīng)過這樣的設(shè)置之后，非法用戶就無法直接獲得共享信息和賬戶列表了。　　

　　二、禁止匿名SID/名稱轉(zhuǎn)換　　

　　在前面我們已經(jīng)禁止非法用戶直接獲得賬戶列表，但是非法用戶仍然可以使用管理員賬號的SID來獲取默認(rèn)的administrator的真實(shí)名稱。對此，我們需要在組策略中打開“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”，然后修改“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換”為“已停用”。不過這樣一來，可能會造成網(wǎng)絡(luò)上低版本的用戶在訪問共享資源時(shí)出現(xiàn) 一些問題。因此網(wǎng)絡(luò)有多個(gè)版本的系統(tǒng)時(shí)須謹(jǐn)慎使用該項(xiàng)配置。

　　三、修改匿名訪問對象　　

　　從安全角度和實(shí)用角度來看，Windows XP很多默認(rèn)設(shè)置并不符合用戶的需要，針對網(wǎng)絡(luò)訪問的匿名訪問設(shè)置包括共享、命名管道和注冊表路徑等�！　�

　　對此，我們需要進(jìn)入組策略編輯器，選擇“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”，雙擊“網(wǎng)絡(luò)訪問：可匿名訪問的共享”，在打開的窗口中將所有的項(xiàng)目刪除，然后根據(jù)自己的實(shí)際使用需要，將一些確實(shí)需要讓所有用戶長期訪問的文件夾添加進(jìn)來即可。注意，在添加這些共享文件夾時(shí)，必須提前做好其NTFS操作權(quán)限設(shè)置。在設(shè)置權(quán)限的時(shí)候，必須遵循權(quán)限的最小性原則。最小性原則包括不要對賬戶授予多余的權(quán)限，不要為多余賬戶授予權(quán)限。

　　同理，在修改好可匿名訪問的共享后，需要繼續(xù)雙擊打開“網(wǎng)絡(luò)訪問：可匿名訪問的命名管道”和“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑”，將多余的項(xiàng)目都刪除掉。　　

　　四、禁止非授權(quán)訪問　　

　　為了符合權(quán)限的最小性原則，我們可以對網(wǎng)絡(luò)訪問的賬戶作出嚴(yán)格限制。在打開的組策略編輯器中，依次選擇“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“用戶權(quán)利指派”，雙擊右側(cè)的“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”，然后將一些必須使用網(wǎng)絡(luò)訪問的賬戶添加進(jìn)來，然后將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠(yuǎn)程登錄，同樣可以將其刪除，而只保留用于訪問共享目錄的授權(quán)帳戶;然后再打開“拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)”，同樣的道理只將用于訪問共享目錄的授權(quán)帳戶添加進(jìn)來，將其它用戶全部刪除。　　

　　五、設(shè)置正確訪問模式　　

　　對于共享文件的訪問，Windows XP提供了經(jīng)典和僅來賓兩種不同的模式。為了使用的方便，很多人選擇了“僅來賓”方式，這樣這樣所有的登錄將自動(dòng)使用Guest賬戶訪問共享目錄，即所有人都可以自由訪問，這樣無法對共享資源提供精確的訪問控制�！　�

　　因此，我們建議大家在“安全選項(xiàng)”列表右側(cè)雙擊“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模式”，將其設(shè)置為“經(jīng)典-本地用戶以用戶的身份驗(yàn)證”項(xiàng)即可。不過需要注意的是，使用經(jīng)典模式，雖然需要知道本地帳戶名稱方可訪問，但由于很多用戶帳戶并沒有設(shè)置密碼，這樣仍然是不安全的，必須設(shè)置密碼以保護(hù)本地帳戶�！　�

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·組策略安全選項(xiàng)對應(yīng)注冊表項(xiàng)

·組策略讓“打開、保存”窗口隨心愿

·組策略讓W(xué)in2008在低安全下更安全

·利用XP組策略加強(qiáng)機(jī)密數(shù)據(jù)安全

·用“組策略”加固Windows系統(tǒng)

·Windows的組策略無法啟動(dòng)解決辦法

·破解XP組策略的鎖死難題

·設(shè)置組策略禁止系統(tǒng)未登陸前關(guān)機(jī)

·用組策略“強(qiáng)壯”網(wǎng)絡(luò)

·用XP自帶的組策略加固操作系統(tǒng)

·Windows組策略常見問題的解決

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费