过期罐头电脑论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5487|回复: 0
收起左侧

应用 Windows组策略管理网络共享的技巧

[复制链接]
iloveyuna 2011-6-8 01:59:49 | 显示全部楼层
Windows组策略的设置可提高系统的安全性,优化系统。而网络共享常常 容易存在网络隐患,而应用 Windows组策略管理网络共享可有效实现网络安全。具体内容如下所述。
在局域网环境中,为了方.便 与别人 交流信息,我们常常会将自己. 计算机中的一些重要信息共享出来,以便于局域网其他用户调用。不过在共享访问过程中,我们常常会遭到 一些安全攻击或者遇到一些共享访问问题 ;为了提高共享访问效率,减少共享安全隐患,我们常常 需要. 学会一些共享资源控制、管理技巧。这不,本文下面就从Windows组策略动身 ,为各位推荐几则管理、控制共享资源的技巧,相信各位在下面技巧的“指挥”下一定能精彩进行共享访问操作!
1、剥夺匿名用户共享访问权限
在安装有Windows XP系统的工作站中,匿名用户在默认状态下常常 会具有 与Everyone帐号一样的访问权限,要是我们不当心 给Everyone帐号赋予比较高的共享访问权限时,那么匿名用户随之也会具有 比较高的共享访问权限,这显然会给共享访问带来很大的安全隐患。为了确保文件夹共享访问的绝对安全性,我们有必要通过修改Windows组策略的方法,最大限度剥夺匿名用户的共享访问权限,下面就是具体的设置方法:
首先单击系统桌面中的“开始”按钮,在弹出的系统“开始”菜单当选 择“运行”项目,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口;
在该编辑窗口的左侧列表窗格中,用鼠标展开“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目,在“安全选项”项目所对应的右侧显示窗格中,找到“网络访问:让每个人权限应用于匿名用户”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图[ghost win7纯净版] 1所示[win7旗舰版系统下载] 的目的 策略属性设置界面;
2011722204614400.jpg

图1

在该设置界面中,检查一下“网络访问:让每个人权限应用于匿名用户”此时的策略是否已经处于“已启用”状态,一旦发现该目的 策略已经被启动的话,我们必须及时将它设置为“已停用”,最后单击“确定”按钮,那么匿名用户日后在尝试共享访问操作时由于无法取得 足够权限,从而无法对共享访问带来潜在安全要挟 。当然,为安全、稳妥起见,我们也不应该为本地计算机的Everyone帐号授予太高的共享访问权限。
2、限定匿名用户共享访问内容
在默认状态下,Windows XP工作站系统会允许匿名用户访问本地系统的不少共享资源,这显然会给本地计算机的安全带来一定的要挟 。为了降低系统的安全要挟 ,我们完全可以限定匿名用户只能访问本地系统指定的共享文件夹,而且在允许匿名用户访问该目的 共享文件夹之前,我们还需要. 对其NTFS权限进行合适设置,确保匿名用户只能对目的 共享文件夹有最小的操作权限。例如,假定 我们希望匿名用户只能访问本地系统F盘中的“aaa”共享文件夹时,而无权访问其他共享资源时,就可以依照 如下操作步骤来设置Windows组策略:
首先单击系统桌面中的“开始”按钮,在弹出的系统“开始”菜单当选 择“运行”项目,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口;
在该编辑窗口的左侧列表窗格中,用鼠标展开“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目,在“安全选项”项目所对应的右侧显示窗格中,找到“网络访问:可匿名访问的共享”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图[ghost win7纯净版] 2所示[win7旗舰版系统下载] 的目的 策略属性设置界面;
2011722204614400.jpg

图2

在该设置界面中,先将系统默认允许访问的共享资源全部选中,并按一下键盘上的DEL键将它全部删除干净;之后,依据 实际状况 ,将那些确实 需要. 向匿名用户长期开放的目的 共享文件夹“F:aaa”添加进来,再单击“确定”按钮,那么日后匿名用户只能访问“F:aaa”共享文件夹中的资源了。当然,在将“F:aaa”文件夹向匿名用户开放之前,我们必须先将该目的 文件夹的NTFS权限设置成“读取”,确保匿名用户对目的 共享文件夹具有 最小的访问权限。
完成上面的操作后,我们还需要. 打开“网络访问:可匿名访问的命名管道”策略的属性设置窗口和“网络访问:可远程访问的注册表路径”策略的属性设置窗口,然后依次将这两个窗口中多余的共享资源项目全部删除掉,这么一来匿名用户就只能访问指定的共享文件夹了。
3、阻止非法获取超级帐号称号
我们知道,不少非法攻击者常常通过超级管理员帐号的SID标识,来获取超级帐号的管理员称号 信息,然后以管理员真实称号 信息尝试登录
共享资源所在的计算机系统,从而获取对共享资源的最高控制权限,很明显这种做法会对本地共享资源的安全形成 极大的要挟 。有鉴于此,我们可以通过修改系统的组策略,禁止非法用户通过SID来窃取超级管理员的真实称号 信息,下面就是具体的设置方法:
依次单击“开始”/“运行”命令,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口;
用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目,在“安全选项”项目所对应的右侧显示窗格中,找到“网络访问:允许匿名SID/称号 转换”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图[ghost win7纯净版] 3所示[win7旗舰版系统下载] 的目的 策略属性设置界面;
2011722204614400.jpg

图3

在该设置界面中,检查一下“网络访问:允许匿名SID/称号 转换”此时的策略是否已经处于“已启用”状态,一旦发现该目的 策略已经被启动的话,我们必须及时将它设置为“已禁用”,最后单击“确定”按钮,那么非法用户日后就无法通过管理员的SID标识信息获取管理员的真实称号 信息了,这么一来本地共享资源遭到 非法控制的危险就会大大降落 了。当然,要是局域网环境有多个不同版本的工作站系统时,禁用“网络访问:允许匿名SID/称号 转换”这个策略时,就容易导致共享访问出现一些莫明其妙 的问题,这一点大家需要. 注意。
4、限定特定用户进行共享访问
有时候,我们希望只有指定的用户才能通过网络访问本地系统的共享资源,而严厉 禁止包括系统管理员在内的其他用户随意通过网络访问本地资源时,我们就可以依照 如下方法设置Windows组策略,来限定特定用户进行共享访问:
依次单击“开始”/“运行”命令,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口;
用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/用户权益 指派”项目,在“用户权益 指派”项目所对应的右侧显示窗格中,找到“从网络访问此计算机”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图[ghost win7纯净版] 4所示[win7旗舰版系统下载] 的目的 策略属性设置界面;
2011722204614400.jpg

图4

在该设置界面中,先将默认存在的Guest帐号、Everyone帐号选中并删除,然后单击“添加用户或组”按钮,打开一个标题为“选择用户或组”的设置窗口,在其中将指定的用户帐号添加进来,最后单击“确定”按钮,这么一来特定用户日后就能通过网络访问到本地系统中的共享资源了,而其他用户是无法通过网络进行共享访问操作的。
5、让共享访问时正常输入用户名
在局域网环境中,当我们尝试从其中的一台工作站去访问另外一台工作站中的共享资源时,屏幕上有时会弹出密码登录对话框,可是在其中我们却无法正确输入用户名,而只能输入访问密码,这么一来我们就无法使用自己. 的帐号访问对方的共享资源。遇到这种共享访问问题 现象时,我们到底 该怎么 进行应对呢?
事实上,这种现象多半是系统的组策略设置不当形成 的,此时我们无妨 依照 下面步骤来修改一下Windows组策略:
依次单击“开始”/“运行”命令,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口;
用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目,在“安全选项”项目所对应的右侧显示窗格中,找到“网络访问:本地帐户的共享和安全模式”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图[ghost win7纯净版] 5所示[win7旗舰版系统下载] 的目的 策略属性设置界面;在该设置界面中,看看“网络访问:本地帐户的共享和安全模式”策略此时是否已被设置成“经典—本地用户以自己. 的身份验证”,假如 不是的话,必须及时将它修改正 来,最后单击“确定”按钮,这样一来我们日后再次进行共享访问操作时,就能正常输入共享访问帐号称号 进行共享资源的访问操作了。
2011722204614400.jpg

图5

6、及时记录用户共享访问痕迹
为了避免 一些心术不正的局域网用户在对共享文件夹的访问过程中,做出对目的 共享资源不利的事情出来,我们应该想个方法 跟踪任何一位访问目的 共享资源的局域网用户,并对他们的共享访问痕迹进行自动记录;以后一旦遇到共享资源中的隐私信息被毁坏 或转移时,我们可以查看相应的日志记录,就能将“罪槐祸首”轻松找到。事实上,通过下面的步骤我们就可以及时记录用户共享访问痕迹了:
首先进入系统资源管理器界面,找到目的 共享文件夹并用鼠标右击之,执行快捷菜单中的“属性”菜单命令,打开目的 共享文件夹的属性设置窗口;单击其中的“安全”选项卡,并在对应的选项设置页面中单击一下“高级”按钮,进入共享文件夹的高级安全设置页面,单击该页面中的“审核”标签,再在对应标签页面中单击“添加”按钮。随后,计算机将自动显示出本地系统中一切 用户帐号,此时我们可以将有权访问该共享文件夹的用户帐号选中,再单击“确定”按钮;在其后弹出的审核选项设置界面中,我们可以按需选择一些失败和成功的审核项目,最后单击“确定”按钮退出共享文件夹属性设置界面。
接下来依次单击“开始”/“运行”命令,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口。
用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/审核策略”项目,在“审核策略”项目所对应的右侧显示窗格中,找到“审核对象访问”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图[ghost win7纯净版] 6所示[win7旗舰版系统下载] 的目的 策略属性设置界面;
2011722204614400.jpg

图6

在该设置界面中,选中其中的“成功”项目或“失败”项目,再单击“确定”按钮;以后我们要是发现目的 共享文件夹遇到安全要挟 现象时,就可以打开系统的日志记录,来查看事情 ID标号为“564”、“562”、“560”的相关日志记录了,从中就能发现毁坏 共享文件夹安全的“罪槐祸首”了。
应用 Windows组策略管理网络共享提高我们系统的安全性。更多有关组策略的知识有待于读者去学习和稳固 。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

一键重装系统|雨人系统下载|联系我们|网站地图|过期罐头电脑论坛

GMT+8, 2024-3-29 02:35 , Processed in 0.036644 second(s), 28 queries .

官方免责声明:本站内容来自网友和互联网.若侵犯到您的版权.请致信联系,我们将第一时间删除相关内容!

Powered by Discuz!

专注于win7_win10_win11系统下载装机

© 2010-2023 GQGTPC.Com

快速回复 返回顶部 返回列表