利用Windows組策略管理網絡共享的技巧
Windows組策略的設置可提高系統的安全性,優化系統。而網絡共享往往容易存在網絡隱患,而利用Windows組策略管理網絡共享可有效實現網絡安全。具體內容如下所述。
在局域網環境中,為了方便與他人交流信息,我們常常會將自己計算機中的一些重要信息共享出來,以便于局域網其他用戶調用。不過在共享訪問過程中,我們常常會受到一些安全攻擊或者遇到一些共享訪問故障;為了提高共享訪問效率,減少共享安全隱患,我們往往需要學會一些共享資源控制、管理技巧。這不,本文下面就從Windows組策略出發,為各位推薦幾則管理、控制共享資源的技巧,相信各位在下面技巧的“指揮”下一定能精彩進行共享訪問操作!
1、剝奪匿名用戶共享訪問權限
在安裝有Windows XP系統的工作站中,匿名用戶在默認狀態下往往會擁有與Everyone帳號一樣的訪問權限,要是我們不小心給Everyone帳號賦予比較高的共享訪問權限時,那么匿名用戶隨之也會擁有比較高的共享訪問權限,這顯然會給共享訪問帶來很大的安全隱患。為了確保文件夾共享訪問的絕對安全性,我們有必要通過修改Windows組策略的方法,最大限度剝奪匿名用戶的共享訪問權限,下面就是具體的設置方法:
首先單擊系統桌面中的“開始”按鈕,在彈出的系統“開始”菜單中選擇“運行”項目,打開系統的運行對話框,然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的Windows組策略編輯窗口;
在該編輯窗口的左側列表窗格中,用鼠標展開“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/安全選項”項目,在“安全選項”項目所對應的右側顯示窗格中,找到“網絡訪問:讓每個人權限應用于匿名用戶”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執行“屬性”命令,打開如圖1所示的目標策略屬性設置界面;
圖1
在該設置界面中,檢查一下“網絡訪問:讓每個人權限應用于匿名用戶”此時的策略是否已經處于“已啟用”狀態,一旦發現該目標策略已經被啟動的話,我們必須及時將它設置為“已停用”,最后單擊“確定”按鈕,那么匿名用戶日后在嘗試共享訪問操作時由于無法獲得足夠權限,從而無法對共享訪問帶來潛在安全威脅。當然,為安全、穩妥起見,我們也不應該為本地計算機的Everyone帳號授予太高的共享訪問權限。
2、限定匿名用戶共享訪問內容
在默認狀態下,Windows XP工作站系統會允許匿名用戶訪問本地系統的不少共享資源,這顯然會給本地計算機的安全帶來一定的威脅。為了降低系統的安全威脅,我們完全可以限定匿名用戶只能訪問本地系統指定的共享文件夾,而且在允許匿名用戶訪問該目標共享文件夾之前,我們還需要對其NTFS權限進行合適設置,確保匿名用戶只能對目標共享文件夾有最小的操作權限。例如,假設我們希望匿名用戶只能訪問本地系統F盤中的“aaa”共享文件夾時,而無權訪問其他共享資源時,就可以按照如下操作步驟來設置Windows組策略:
首先單擊系統桌面中的“開始”按鈕,在彈出的系統“開始”菜單中選擇“運行”項目,打開系統的運行對話框,然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的Windows組策略編輯窗口;
在該編輯窗口的左側列表窗格中,用鼠標展開“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/安全選項”項目,在“安全選項”項目所對應的右側顯示窗格中,找到“網絡訪問:可匿名訪問的共享”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執行“屬性”命令,打開如圖2所示的目標策略屬性設置界面;
圖2
在該設置界面中,先將系統默認允許訪問的共享資源全部選中,并按一下鍵盤上的DEL鍵將它全部刪除干凈;之后,根據實際情況,將那些的確需要向匿名用戶長期開放的目標共享文件夾“F:\aaa”添加進來,再單擊“確定”按鈕,那么日后匿名用戶只能訪問“F:\aaa”共享文件夾中的資源了。當然,在將“F:\aaa”文件夾向匿名用戶開放之前,我們必須先將該目標文件夾的NTFS權限設置成“讀取”,確保匿名用戶對目標共享文件夾擁有最小的訪問權限。
完成上面的操作后,我們還需要打開“網絡訪問:可匿名訪問的命名管道”策略的屬性設置窗口和“網絡訪問:可遠程訪問的注冊表路徑”策略的屬性設置窗口,然后依次將這兩個窗口中多余的共享資源項目全部刪除掉,這么一來匿名用戶就只能訪問指定的共享文件夾了。
3、阻止非法獲取超級帳號名稱
我們知道,不少非法攻擊者常常通過超級管理員帳號的SID標識,來獲取超級帳號的管理員名稱信息,然后以管理員真實名稱信息嘗試登錄
共享資源所在的計算機系統,從而獲取對共享資源的最高控制權限,很明顯這種做法會對本地共享資源的安全造成極大的威脅。有鑒于此,我們可以通過修改系統的組策略,禁止非法用戶通過SID來竊取超級管理員的真實名稱信息,下面就是具體的設置方法:
依次單擊“開始”/“運行”命令,打開系統的運行對話框,然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的Windows組策略編輯窗口;
用鼠標展開該編輯窗口左側顯示區域的“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/安全選項”項目,在“安全選項”項目所對應的右側顯示窗格中,找到“網絡訪問:允許匿名SID/名稱轉換”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執行“屬性”命令,打開如圖3所示的目標策略屬性設置界面;
圖3
在該設置界面中,檢查一下“網絡訪問:允許匿名SID/名稱轉換”此時的策略是否已經處于“已啟用”狀態,一旦發現該目標策略已經被啟動的話,我們必須及時將它設置為“已禁用”,最后單擊“確定”按鈕,那么非法用戶日后就無法通過管理員的SID標識信息獲取管理員的真實名稱信息了,這么一來本地共享資源受到非法控制的危險就會大大下降了。當然,要是局域網環境有多個不同版本的工作站系統時,禁用“網絡訪問:允許匿名SID/名稱轉換”這個策略時,就容易導致共享訪問出現一些莫名其妙的問題,這一點大家需要注意。
#p#
4、限定特定用戶進行共享訪問
有時候,我們希望只有指定的用戶才能通過網絡訪問本地系統的共享資源,而嚴格禁止包括系統管理員在內的其他用戶隨意通過網絡訪問本地資源時,我們就可以按照如下方法設置Windows組策略,來限定特定用戶進行共享訪問:
依次單擊“開始”/“運行”命令,打開系統的運行對話框,然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的Windows組策略編輯窗口;
用鼠標展開該編輯窗口左側顯示區域的“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/用戶權利指派”項目,在“用戶權利指派”項目所對應的右側顯示窗格中,找到“從網絡訪問此計算機”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執行“屬性”命令,打開如圖4所示的目標策略屬性設置界面;
圖4
在該設置界面中,先將默認存在的Guest帳號、Everyone帳號選中并刪除,然后單擊“添加用戶或組”按鈕,打開一個標題為“選擇用戶或組”的設置窗口,在其中將指定的用戶帳號添加進來,最后單擊“確定”按鈕,這么一來特定用戶日后就能通過網絡訪問到本地系統中的共享資源了,而其他用戶是無法通過網絡進行共享訪問操作的。
5、讓共享訪問時正常輸入用戶名
在局域網環境中,當我們嘗試從其中的一臺工作站去訪問另外一臺工作站中的共享資源時,屏幕上有時會彈出密碼登錄對話框,可是在其中我們卻無法正確輸入用戶名,而只能輸入訪問密碼,這么一來我們就無法使用自己的帳號訪問對方的共享資源。遇到這種共享訪問故障現象時,我們究竟該怎樣進行應對呢?
事實上,這種現象多半是系統的組策略設置不當造成的,此時我們不妨按照下面步驟來修改一下Windows組策略:
依次單擊“開始”/“運行”命令,打開系統的運行對話框,然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的Windows組策略編輯窗口;
用鼠標展開該編輯窗口左側顯示區域的“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/安全選項”項目,在“安全選項”項目所對應的右側顯示窗格中,找到“網絡訪問:本地帳戶的共享和安全模式”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執行“屬性”命令,打開如圖5所示的目標策略屬性設置界面;在該設置界面中,看看“網絡訪問:本地帳戶的共享和安全模式”策略此時是否已被設置成“經典—本地用戶以自己的身份驗證”,如果不是的話,必須及時將它修改過來,最后單擊“確定”按鈕,這樣一來我們日后再次進行共享訪問操作時,就能正常輸入共享訪問帳號名稱進行共享資源的訪問操作了。
圖5
6、及時記錄用戶共享訪問痕跡
為了防止一些心術不正的局域網用戶在對共享文件夾的訪問過程中,做出對目標共享資源不利的事情出來,我們應該想個辦法跟蹤任何一位訪問目標共享資源的局域網用戶,并對他們的共享訪問痕跡進行自動記錄;以后一旦遇到共享資源中的隱私信息被破壞或轉移時,我們可以查看相應的日志記錄,就能將“罪槐禍首”輕松找到。事實上,通過下面的步驟我們就可以及時記錄用戶共享訪問痕跡了:
首先進入系統資源管理器界面,找到目標共享文件夾并用鼠標右擊之,執行快捷菜單中的“屬性”菜單命令,打開目標共享文件夾的屬性設置窗口;單擊其中的“安全”選項卡,并在對應的選項設置頁面中單擊一下“高級”按鈕,進入共享文件夾的高級安全設置頁面,單擊該頁面中的“審核”標簽,再在對應標簽頁面中單擊“添加”按鈕。隨后,計算機將自動顯示出本地系統中所有用戶帳號,此時我們可以將有權訪問該共享文件夾的用戶帳號選中,再單擊“確定”按鈕;在其后彈出的審核選項設置界面中,我們可以按需選擇一些失敗和成功的審核項目,最后單擊“確定”按鈕退出共享文件夾屬性設置界面。
接下來依次單擊“開始”/“運行”命令,打開系統的運行對話框,然后在其中輸入Windows組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的Windows組策略編輯窗口。
用鼠標展開該編輯窗口左側顯示區域的“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/審核策略”項目,在“審核策略”項目所對應的右側顯示窗格中,找到“審核對象訪問”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執行“屬性”命令,打開如圖6所示的目標策略屬性設置界面;
圖6
在該設置界面中,選中其中的“成功”項目或“失敗”項目,再單擊“確定”按鈕;以后我們要是發現目標共享文件夾遇到安全威脅現象時,就可以打開系統的日志記錄,來查看事件ID標號為“564”、“562”、“560”的相關日志記錄了,從中就能發現破壞共享文件夾安全的“罪槐禍首”了。
利用Windows組策略管理網絡共享提高我們系統的安全性。更多有關組策略的知識有待于讀者去學習和鞏固。
【編輯推薦】
