共享目錄就是在日常的辦公應(yīng)用中，為了使用的方便，我們習(xí)慣于將自己計(jì)算機(jī)上的一些文檔、目錄共享出來，以便于別人調(diào)用。但是對于共享的文件夾常常無法做到在使用后即將其關(guān)閉，這樣網(wǎng)絡(luò)上一些別有用心的人則可能對我們的共享文件進(jìn)行破壞，對于這種情況，我們可以借助組策略來保護(hù)共享內(nèi)容。

一、禁止共享空密碼

Windows默認(rèn)狀態(tài)下，允許遠(yuǎn)程用戶可以使用空用戶連接方式獲得網(wǎng)絡(luò)上某一臺計(jì)算機(jī)的共享資源列表和所有帳戶名稱。這個(gè)功能的開放，則容易讓非未能用戶使用空密碼或暴力破譯得到共享的密碼，從而達(dá)到侵入共享目錄的目的。

對于這種情況，我們首先可以關(guān)閉SAM賬號和共享的匿名枚舉功能。打開開始菜單中的“運(yùn)行”窗口，輸入“gpedit.msc”打開組策略編輯器，在左側(cè)依次找到“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”，雙擊右側(cè)的“網(wǎng)絡(luò)訪問:不允許SAM賬號和共享的匿名枚舉”項(xiàng)，在彈出的窗口中選中“已啟用”選項(xiàng)，最后單擊“確定”按鈕保存設(shè)置。經(jīng)過這樣的設(shè)置之后，非法用戶就無法直接獲得共享信息和賬戶列表了。

二、禁止匿名SID/名稱轉(zhuǎn)換

在前面我們已經(jīng)禁止非法用戶直接獲得賬戶列表，但是非法用戶仍然可以使用管理員賬號的SID來獲取默認(rèn)的administrator的真實(shí)名稱。對此，我們需要在組策略中打開“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”，然后修改“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換”為“已停用”。不過這樣一來，可能會造成網(wǎng)絡(luò)上低版本的用戶在訪問共享資源時(shí)出現(xiàn) 一些問題。因此網(wǎng)絡(luò)有多個(gè)版本的系統(tǒng)時(shí)須謹(jǐn)慎使用該項(xiàng)配置。

三、修改匿名訪問對象

從安全角度和實(shí)用角度來看，Windows XP很多默認(rèn)設(shè)置并不符合用戶的需要，針對網(wǎng)絡(luò)訪問的匿名訪問設(shè)置包括共享、命名管道和注冊表路徑等。

對此，我們需要進(jìn)入組策略編輯器，選擇“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”，雙擊“網(wǎng)絡(luò)訪問：可匿名訪問的共享”，在打開的窗口中將所有的項(xiàng)目刪除，然后根據(jù)自己的實(shí)際使用需要，將一些確實(shí)需要讓所有用戶長期訪問的文件夾添加進(jìn)來即可。注意，在添加這些共享文件夾時(shí)，必須提前做好其NTFS操作權(quán)限設(shè)置。在設(shè)置權(quán)限的時(shí)候，必須遵循權(quán)限的最小性原則。最小性原則包括不要對賬戶授予多余的權(quán)限，不要為多余賬戶授予權(quán)限。

同理，在修改好可匿名訪問的共享后，需要繼續(xù)雙擊打開“網(wǎng)絡(luò)訪問：可匿名訪問的命名管道”和“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑”，將多余的項(xiàng)目都刪除掉。

四、禁止非授權(quán)訪問

為了符合權(quán)限的最小性原則，我們可以對網(wǎng)絡(luò)訪問的賬戶作出嚴(yán)格限制。在打開的組策略編輯器中，依次選擇“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“用戶權(quán)利指派”，雙擊右側(cè)的“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”，然后將一些必須使用網(wǎng)絡(luò)訪問的賬戶添加進(jìn)來，然后將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠(yuǎn)程登錄，同樣可以將其刪除，而只保留用于訪問共享目錄的授權(quán)帳戶;然后再打開“拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)”，同樣的道理只將用于訪問共享目錄的授權(quán)帳戶添加進(jìn)來，將其它用戶全部刪除。

五、設(shè)置正確訪問模式

對于共享文件的訪問，Windows XP提供了經(jīng)典和僅來賓兩種不同的模式。為了使用的方便，很多人選擇了“僅來賓”方式，這樣這樣所有的登錄將自動(dòng)使用Guest賬戶訪問共享目錄，即所有人都可以自由訪問，這樣無法對共享資源提供精確的訪問控制。

因此，我們建議大家在“安全選項(xiàng)”列表右側(cè)雙擊“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模式”，將其設(shè)置為“經(jīng)典-本地用戶以用戶的身份驗(yàn)證”項(xiàng)即可。不過需要注意的是，使用經(jīng)典模式，雖然需要知道本地帳戶名稱方可訪問，但由于很多用戶帳戶并沒有設(shè)置密碼，這樣仍然是不安全的，必須設(shè)置密碼以保護(hù)本地帳戶。

六、預(yù)防EveryOny組權(quán)限延伸

很多人都認(rèn)為匿名用戶的權(quán)限和Everyone組的權(quán)限是一樣的，其實(shí)這種看法是極其錯(cuò)誤的。雖然兩者之間的權(quán)限有部分是相同的，但并不是完全一致的。默認(rèn)情況下Everyone組的權(quán)限要大于匿名用戶。但是在Windows XP中，卻允許將“Everyone”組權(quán)限應(yīng)用于匿名用戶。

對此，我們需要禁止這種做法。在組策略中打開“安全選項(xiàng)”，然后在右側(cè)雙擊“網(wǎng)絡(luò)訪問：讓每個(gè)人權(quán)限應(yīng)用于匿名用戶”，將其設(shè)置為“已停用”即可。不過，雖然我們將該項(xiàng)已設(shè)置為停用，但是我們?nèi)匀徊唤ㄗh用戶將過多的權(quán)限直接授予Everyone組，因?yàn)檫@不符合權(quán)限授予的最小性原則。

七、禁止非空密碼交互式登錄

為了防止管理員添加賬號時(shí)沒有設(shè)置密碼，并且對沒有密碼的本地賬戶進(jìn)行了授權(quán)訪問。對此，我們可以禁止空白密碼的本地賬戶進(jìn)行交互式登錄訪問共享目錄。

在“安全選項(xiàng)”下雙擊“賬戶：使用空白密碼的本地賬戶只允許進(jìn)行控制臺登錄”，將其設(shè)置為“已啟用”。同時(shí)為了防止管理員設(shè)置過于簡單的密碼，還需要在組策略編輯器的“安全設(shè)置”下，選擇“帳戶策略”—“密碼策略”，然后設(shè)置“密碼長度最小值”和“密碼必須符合復(fù)雜性要求”選項(xiàng)。

八、做好訪問記錄

通過日志，可以記錄所有賬戶對共享目錄的訪問、操作情況。不過要想日志進(jìn)行記錄，必須啟用審核對象訪問。打開組策略編輯器，在“本地策略”下選擇“審核策略”，然后雙擊右側(cè)的“審核對象訪問”，在打開的窗口中將“成功”和“失敗”項(xiàng)全部選中。

接下來再打開共享目錄的屬性窗口，在“安全”標(biāo)簽中單擊“高級”按鈕，切換到“審核”標(biāo)簽，單擊“添加”按鈕，將所有有權(quán)訪問共享目錄的賬戶都添加進(jìn)來并保存設(shè)置。

經(jīng)過這樣的設(shè)置后，我們就可以進(jìn)入“控制面板”的“管理工具”文件夾，雙擊其中的“事件查看器”，然后查找ID號為560、562、564的事件，即可了解詳細(xì)的訪問情況了。

其實(shí)，安全問題并非我們想象中的那樣復(fù)雜，只要我們平時(shí)注意做好防范，能夠用好系統(tǒng)提供的保護(hù)措施，那么即可防范絕大部分的入侵破壞活動(dòng)。 

共享目錄的應(yīng)用方便了我們應(yīng)用計(jì)算機(jī)，提高了我們的工作效率，但是潛在的安全威脅是存在的，我們應(yīng)該給予足夠的重視。

【編輯推薦】

1.  Windows安全防護(hù)之流氓軟件的對策
2. 全面解析Windows安全防護(hù)之木馬的類型及其清除辦法
3. 全面解析Windows安全防護(hù)之病毒的類型及其防治辦法

【責(zé)任編輯：liyan TEL：（010）68476606】