Windows組策略的設(shè)置可提高系統(tǒng)的安全性，優(yōu)化系統(tǒng)。而網(wǎng)絡(luò)共享往往容易存在網(wǎng)絡(luò)隱患，而利用Windows組策略管理網(wǎng)絡(luò)共享可有效實(shí)現(xiàn)網(wǎng)絡(luò)安全。具體內(nèi)容如下所述。

在局域網(wǎng)環(huán)境中，為了方便與他人交流信息，我們常常會(huì)將自己計(jì)算機(jī)中的一些重要信息共享出來，以便于局域網(wǎng)其他用戶調(diào)用。不過在共享訪問過程中，我們常常會(huì)受到一些安全攻擊或者遇到一些共享訪問故障;為了提高共享訪問效率，減少共享安全隱患，我們往往需要學(xué)會(huì)一些共享資源控制、管理技巧。這不，本文下面就從Windows組策略出發(fā)，為各位推薦幾則管理、控制共享資源的技巧，相信各位在下面技巧的“指揮”下一定能精彩進(jìn)行共享訪問操作!

1、剝奪匿名用戶共享訪問權(quán)限

在安裝有Windows XP系統(tǒng)的工作站中，匿名用戶在默認(rèn)狀態(tài)下往往會(huì)擁有與Everyone帳號(hào)一樣的訪問權(quán)限，要是我們不小心給Everyone帳號(hào)賦予比較高的共享訪問權(quán)限時(shí)，那么匿名用戶隨之也會(huì)擁有比較高的共享訪問權(quán)限，這顯然會(huì)給共享訪問帶來很大的安全隱患。為了確保文件夾共享訪問的絕對(duì)安全性，我們有必要通過修改Windows組策略的方法，最大限度剝奪匿名用戶的共享訪問權(quán)限，下面就是具體的設(shè)置方法:

首先單擊系統(tǒng)桌面中的“開始”按鈕，在彈出的系統(tǒng)“開始”菜單中選擇“運(yùn)行”項(xiàng)目，打開系統(tǒng)的運(yùn)行對(duì)話框，然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”，單擊該對(duì)話框中的“確定”按鈕后，進(jìn)入到本地計(jì)算機(jī)的Windows組策略編輯窗口;

在該編輯窗口的左側(cè)列表窗格中，用鼠標(biāo)展開“計(jì)算機(jī)配置”策略分支，在對(duì)應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)”項(xiàng)目，在“安全選項(xiàng)”項(xiàng)目所對(duì)應(yīng)的右側(cè)顯示窗格中，找到“網(wǎng)絡(luò)訪問:讓每個(gè)人權(quán)限應(yīng)用于匿名用戶”選項(xiàng)并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開如圖1所示的目標(biāo)策略屬性設(shè)置界面;

圖1

在該設(shè)置界面中，檢查一下“網(wǎng)絡(luò)訪問:讓每個(gè)人權(quán)限應(yīng)用于匿名用戶”此時(shí)的策略是否已經(jīng)處于“已啟用”狀態(tài)，一旦發(fā)現(xiàn)該目標(biāo)策略已經(jīng)被啟動(dòng)的話，我們必須及時(shí)將它設(shè)置為“已停用”，最后單擊“確定”按鈕，那么匿名用戶日后在嘗試共享訪問操作時(shí)由于無法獲得足夠權(quán)限，從而無法對(duì)共享訪問帶來潛在安全威脅。當(dāng)然，為安全、穩(wěn)妥起見，我們也不應(yīng)該為本地計(jì)算機(jī)的Everyone帳號(hào)授予太高的共享訪問權(quán)限。

2、限定匿名用戶共享訪問內(nèi)容

在默認(rèn)狀態(tài)下，Windows XP工作站系統(tǒng)會(huì)允許匿名用戶訪問本地系統(tǒng)的不少共享資源，這顯然會(huì)給本地計(jì)算機(jī)的安全帶來一定的威脅。為了降低系統(tǒng)的安全威脅，我們完全可以限定匿名用戶只能訪問本地系統(tǒng)指定的共享文件夾，而且在允許匿名用戶訪問該目標(biāo)共享文件夾之前，我們還需要對(duì)其NTFS權(quán)限進(jìn)行合適設(shè)置，確保匿名用戶只能對(duì)目標(biāo)共享文件夾有最小的操作權(quán)限。例如，假設(shè)我們希望匿名用戶只能訪問本地系統(tǒng)F盤中的“aaa”共享文件夾時(shí)，而無權(quán)訪問其他共享資源時(shí)，就可以按照如下操作步驟來設(shè)置Windows組策略:

首先單擊系統(tǒng)桌面中的“開始”按鈕，在彈出的系統(tǒng)“開始”菜單中選擇“運(yùn)行”項(xiàng)目，打開系統(tǒng)的運(yùn)行對(duì)話框，然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”，單擊該對(duì)話框中的“確定”按鈕后，進(jìn)入到本地計(jì)算機(jī)的Windows組策略編輯窗口;

在該編輯窗口的左側(cè)列表窗格中，用鼠標(biāo)展開“計(jì)算機(jī)配置”策略分支，在對(duì)應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)”項(xiàng)目，在“安全選項(xiàng)”項(xiàng)目所對(duì)應(yīng)的右側(cè)顯示窗格中，找到“網(wǎng)絡(luò)訪問:可匿名訪問的共享”選項(xiàng)并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開如圖2所示的目標(biāo)策略屬性設(shè)置界面;

圖2

在該設(shè)置界面中，先將系統(tǒng)默認(rèn)允許訪問的共享資源全部選中，并按一下鍵盤上的DEL鍵將它全部刪除干凈;之后，根據(jù)實(shí)際情況，將那些的確需要向匿名用戶長(zhǎng)期開放的目標(biāo)共享文件夾“F:\aaa”添加進(jìn)來，再單擊“確定”按鈕，那么日后匿名用戶只能訪問“F:\aaa”共享文件夾中的資源了。當(dāng)然，在將“F:\aaa”文件夾向匿名用戶開放之前，我們必須先將該目標(biāo)文件夾的NTFS權(quán)限設(shè)置成“讀取”，確保匿名用戶對(duì)目標(biāo)共享文件夾擁有最小的訪問權(quán)限。

完成上面的操作后，我們還需要打開“網(wǎng)絡(luò)訪問:可匿名訪問的命名管道”策略的屬性設(shè)置窗口和“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑”策略的屬性設(shè)置窗口，然后依次將這兩個(gè)窗口中多余的共享資源項(xiàng)目全部刪除掉，這么一來匿名用戶就只能訪問指定的共享文件夾了。

3、阻止非法獲取超級(jí)帳號(hào)名稱

我們知道，不少非法攻擊者常常通過超級(jí)管理員帳號(hào)的SID標(biāo)識(shí)，來獲取超級(jí)帳號(hào)的管理員名稱信息，然后以管理員真實(shí)名稱信息嘗試登錄

共享資源所在的計(jì)算機(jī)系統(tǒng)，從而獲取對(duì)共享資源的最高控制權(quán)限，很明顯這種做法會(huì)對(duì)本地共享資源的安全造成極大的威脅。有鑒于此，我們可以通過修改系統(tǒng)的組策略，禁止非法用戶通過SID來竊取超級(jí)管理員的真實(shí)名稱信息，下面就是具體的設(shè)置方法:

依次單擊“開始”/“運(yùn)行”命令，打開系統(tǒng)的運(yùn)行對(duì)話框，然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”，單擊該對(duì)話框中的“確定”按鈕后，進(jìn)入到本地計(jì)算機(jī)的Windows組策略編輯窗口;

用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置”策略分支，在對(duì)應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)”項(xiàng)目，在“安全選項(xiàng)”項(xiàng)目所對(duì)應(yīng)的右側(cè)顯示窗格中，找到“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”選項(xiàng)并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開如圖3所示的目標(biāo)策略屬性設(shè)置界面;

圖3

在該設(shè)置界面中，檢查一下“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”此時(shí)的策略是否已經(jīng)處于“已啟用”狀態(tài)，一旦發(fā)現(xiàn)該目標(biāo)策略已經(jīng)被啟動(dòng)的話，我們必須及時(shí)將它設(shè)置為“已禁用”，最后單擊“確定”按鈕，那么非法用戶日后就無法通過管理員的SID標(biāo)識(shí)信息獲取管理員的真實(shí)名稱信息了，這么一來本地共享資源受到非法控制的危險(xiǎn)就會(huì)大大下降了。當(dāng)然，要是局域網(wǎng)環(huán)境有多個(gè)不同版本的工作站系統(tǒng)時(shí)，禁用“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”這個(gè)策略時(shí)，就容易導(dǎo)致共享訪問出現(xiàn)一些莫名其妙的問題，這一點(diǎn)大家需要注意。

#p#

4、限定特定用戶進(jìn)行共享訪問

有時(shí)候，我們希望只有指定的用戶才能通過網(wǎng)絡(luò)訪問本地系統(tǒng)的共享資源，而嚴(yán)格禁止包括系統(tǒng)管理員在內(nèi)的其他用戶隨意通過網(wǎng)絡(luò)訪問本地資源時(shí)，我們就可以按照如下方法設(shè)置Windows組策略，來限定特定用戶進(jìn)行共享訪問:

依次單擊“開始”/“運(yùn)行”命令，打開系統(tǒng)的運(yùn)行對(duì)話框，然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”，單擊該對(duì)話框中的“確定”按鈕后，進(jìn)入到本地計(jì)算機(jī)的Windows組策略編輯窗口;

用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置”策略分支，在對(duì)應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/安全設(shè)置/本地策略/用戶權(quán)利指派”項(xiàng)目，在“用戶權(quán)利指派”項(xiàng)目所對(duì)應(yīng)的右側(cè)顯示窗格中，找到“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”選項(xiàng)并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開如圖4所示的目標(biāo)策略屬性設(shè)置界面;

圖4

在該設(shè)置界面中，先將默認(rèn)存在的Guest帳號(hào)、Everyone帳號(hào)選中并刪除，然后單擊“添加用戶或組”按鈕，打開一個(gè)標(biāo)題為“選擇用戶或組”的設(shè)置窗口，在其中將指定的用戶帳號(hào)添加進(jìn)來，最后單擊“確定”按鈕，這么一來特定用戶日后就能通過網(wǎng)絡(luò)訪問到本地系統(tǒng)中的共享資源了，而其他用戶是無法通過網(wǎng)絡(luò)進(jìn)行共享訪問操作的。

5、讓共享訪問時(shí)正常輸入用戶名

在局域網(wǎng)環(huán)境中，當(dāng)我們嘗試從其中的一臺(tái)工作站去訪問另外一臺(tái)工作站中的共享資源時(shí)，屏幕上有時(shí)會(huì)彈出密碼登錄對(duì)話框，可是在其中我們卻無法正確輸入用戶名，而只能輸入訪問密碼，這么一來我們就無法使用自己的帳號(hào)訪問對(duì)方的共享資源。遇到這種共享訪問故障現(xiàn)象時(shí)，我們究竟該怎樣進(jìn)行應(yīng)對(duì)呢?

事實(shí)上，這種現(xiàn)象多半是系統(tǒng)的組策略設(shè)置不當(dāng)造成的，此時(shí)我們不妨按照下面步驟來修改一下Windows組策略:

依次單擊“開始”/“運(yùn)行”命令，打開系統(tǒng)的運(yùn)行對(duì)話框，然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”，單擊該對(duì)話框中的“確定”按鈕后，進(jìn)入到本地計(jì)算機(jī)的Windows組策略編輯窗口;

用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置”策略分支，在對(duì)應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)”項(xiàng)目，在“安全選項(xiàng)”項(xiàng)目所對(duì)應(yīng)的右側(cè)顯示窗格中，找到“網(wǎng)絡(luò)訪問:本地帳戶的共享和安全模式”選項(xiàng)并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開如圖5所示的目標(biāo)策略屬性設(shè)置界面;在該設(shè)置界面中，看看“網(wǎng)絡(luò)訪問:本地帳戶的共享和安全模式”策略此時(shí)是否已被設(shè)置成“經(jīng)典—本地用戶以自己的身份驗(yàn)證”，如果不是的話，必須及時(shí)將它修改過來，最后單擊“確定”按鈕，這樣一來我們?nèi)蘸笤俅芜M(jìn)行共享訪問操作時(shí)，就能正常輸入共享訪問帳號(hào)名稱進(jìn)行共享資源的訪問操作了。

圖5

6、及時(shí)記錄用戶共享訪問痕跡

為了防止一些心術(shù)不正的局域網(wǎng)用戶在對(duì)共享文件夾的訪問過程中，做出對(duì)目標(biāo)共享資源不利的事情出來，我們應(yīng)該想個(gè)辦法跟蹤任何一位訪問目標(biāo)共享資源的局域網(wǎng)用戶，并對(duì)他們的共享訪問痕跡進(jìn)行自動(dòng)記錄;以后一旦遇到共享資源中的隱私信息被破壞或轉(zhuǎn)移時(shí)，我們可以查看相應(yīng)的日志記錄，就能將“罪槐禍?zhǔn)?rdquo;輕松找到。事實(shí)上，通過下面的步驟我們就可以及時(shí)記錄用戶共享訪問痕跡了:

首先進(jìn)入系統(tǒng)資源管理器界面，找到目標(biāo)共享文件夾并用鼠標(biāo)右擊之，執(zhí)行快捷菜單中的“屬性”菜單命令，打開目標(biāo)共享文件夾的屬性設(shè)置窗口;單擊其中的“安全”選項(xiàng)卡，并在對(duì)應(yīng)的選項(xiàng)設(shè)置頁面中單擊一下“高級(jí)”按鈕，進(jìn)入共享文件夾的高級(jí)安全設(shè)置頁面，單擊該頁面中的“審核”標(biāo)簽，再在對(duì)應(yīng)標(biāo)簽頁面中單擊“添加”按鈕。隨后，計(jì)算機(jī)將自動(dòng)顯示出本地系統(tǒng)中所有用戶帳號(hào)，此時(shí)我們可以將有權(quán)訪問該共享文件夾的用戶帳號(hào)選中，再單擊“確定”按鈕;在其后彈出的審核選項(xiàng)設(shè)置界面中，我們可以按需選擇一些失敗和成功的審核項(xiàng)目，最后單擊“確定”按鈕退出共享文件夾屬性設(shè)置界面。

接下來依次單擊“開始”/“運(yùn)行”命令，打開系統(tǒng)的運(yùn)行對(duì)話框，然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”，單擊該對(duì)話框中的“確定”按鈕后，進(jìn)入到本地計(jì)算機(jī)的Windows組策略編輯窗口。

用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置”策略分支，在對(duì)應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/安全設(shè)置/本地策略/審核策略”項(xiàng)目，在“審核策略”項(xiàng)目所對(duì)應(yīng)的右側(cè)顯示窗格中，找到“審核對(duì)象訪問”選項(xiàng)并用鼠標(biāo)右鍵單擊之，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開如圖6所示的目標(biāo)策略屬性設(shè)置界面;

圖6

在該設(shè)置界面中，選中其中的“成功”項(xiàng)目或“失敗”項(xiàng)目，再單擊“確定”按鈕;以后我們要是發(fā)現(xiàn)目標(biāo)共享文件夾遇到安全威脅現(xiàn)象時(shí)，就可以打開系統(tǒng)的日志記錄，來查看事件ID標(biāo)號(hào)為“564”、“562”、“560”的相關(guān)日志記錄了，從中就能發(fā)現(xiàn)破壞共享文件夾安全的“罪槐禍?zhǔn)?rdquo;了。

利用Windows組策略管理網(wǎng)絡(luò)共享提高我們系統(tǒng)的安全性。更多有關(guān)組策略的知識(shí)有待于讀者去學(xué)習(xí)和鞏固。

【編輯推薦】

1. Windows組策略本地設(shè)置與審計(jì)
2. Windows組策略完善主機(jī)安全整改實(shí)戰(zhàn)
3. Windows組策略部署軟件實(shí)現(xiàn)個(gè)性化操作
4. 五個(gè)必須立刻實(shí)施的Windows組策略選項(xiàng)
5. Windows組策略部署軟件實(shí)現(xiàn)自定義安裝教程