用windows组策略管理网络共享的技巧.docxVIP

1、剥夺匿名用户共享访问权限 在安装有Windows XP系统的工作站中，匿名用户在默认状态下往往会拥有与Everyone帐号一样的访问权限，要是我们不小心给Everyone帐号赋予比较高的共享访问权限时，那么匿名用户随之也会拥有比较高的共享访问权限，这显然会给共享访问带来很大的安全隐患。为了确保文件夹共享访问的绝对安全性，我们有必要通过修改Windows组策略的方法，最大限度剥夺匿名用户的共享访问权限，下面就是具体的设置方法: 首先单击系统桌面中的“开始”按钮，在弹出的系统“开始”菜单中选择“运行”项目，打开系统的运行对话框，然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的Windows组策略编辑窗口; 在该编辑窗口的左侧列表窗格中，用鼠标展开“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗格中，找到“网络访问:让每个人权限应用于匿名用户”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图1所示的目标策略属性设置界面; 图1 在该设置界面中，检查一下“网络访问:让每个人权限应用于匿名用户”此时的策略是否已经处于“已启用”状态，一旦发现该目标策略已经被启动的话，我们必须及时将它设置为“已停用”，最后单击“确定”按钮，那么匿名用户日后在尝试共享访问操作时由于无法获得足够权限，从而无法对共享访问带来潜在安全威胁。当然，为安全、稳妥起见，我们也不应该为本地计算机的Everyone帐号授予太高的共享访问权限。 2、限定匿名用户共享访问内容 在默认状态下，Windows XP工作站系统会允许匿名用户访问本地系统的不少共享资源，这显然会给本地计算机的安全带来一定的威胁。为了降低系统的安全威胁，我们完全可以限定匿名用户只能访问本地系统指定的共享文件夹，而且在允许匿名用户访问该目标共享文件夹之前，我们还需要对其NTFS权限进行合适设置，确保匿名用户只能对目标共享文件夹有最小的操作权限。例如，假设我们希望匿名用户只能访问本地系统F盘中的“aaa”共享文件夹时，而无权访问其他共享资源时，就可以按照如下操作步骤来设置Windows组策略: 首先单击系统桌面中的“开始”按钮，在弹出的系统“开始”菜单中选择“运行”项目，打开系统的运行对话框，然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的Windows组策略编辑窗口; 在该编辑窗口的左侧列表窗格中，用鼠标展开“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗格中，找到“网络访问:可匿名访问的共享”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图2所示的目标策略属性设置界面; 图2 在该设置界面中，先将系统默认允许访问的共享资源全部选中，并按一下键盘上的DEL键将它全部删除干净;之后，根据实际情况，将那些的确需要向匿名用户长期开放的目标共享文件夹“F:\aaa”添加进来，再单击“确定”按钮，那么日后匿名用户只能访问“F:\aaa”共享文件夹中的资源了。当然，在将“F:\aaa”文件夹向匿名用户开放之前，我们必须先将该目标文件夹的NTFS权限设置成“读取”，确保匿名用户对目标共享文件夹拥有最小的访问权限。 完成上面的操作后，我们还需要打开“网络访问:可匿名访问的命名管道”策略的属性设置窗口和“网络访问:可远程访问的注册表路径”策略的属性设置窗口，然后依次将这两个窗口中多余的共享资源项目全部删除掉，这么一来匿名用户就只能访问指定的共享文件夹了。 3、阻止非法获取超级帐号名称 我们知道，不少非法攻击者常常通过超级管理员帐号的SID标识，来获取超级帐号的管理员名称信息，然后以管理员真实名称信息尝试登录 共享资源所在的计算机系统，从而获取对共享资源的最高控制权限，很明显这种做法会对本地共享资源的安全造成极大的威胁。有鉴于此，我们可以通过修改系统的组策略，禁止非法用户通过SID来窃取超级管理员的真实名称信息，下面就是具体的设置方法: 依次单击“开始”/“运行”命令，打开系统的运行对话框，然后在其中输入Windows组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的Windows组策略编辑窗口; 用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗