用组策略管理网络共享

2023年11月27日发(作者：)

用组策略管理网络共享

在局域网环境中,为了方便与他人交流信息,我们常常会将

自己计算机中的一些重要信息共享出来,以便于局域网其他

用户调用.不过在共享访问过程中,我们常常会受到一些安

全攻击或者遇到一些共享访问故障;为了提高共享访问效率,

减少共享安全隐患,我们往往需要学会一些共享资源控制、

管理技巧.这不,本文下面就从系统组策略出发,为各位推荐

几则管理、控制共享资源的技巧,相信各位在下面技巧的

“指挥”下一定能精彩进行共享访问操作

1、剥夺匿名用户共享访问权限

在安装有Windows XP系统的工作站中,匿名用户在默认

状态下往往会拥有与Everyone帐号一样的访问权限,要是我

们不小心给Everyone帐号赋予比较高的共享访问权限时,那

么匿名用户随之也会拥有比较高的共享访问权限,这显然会

给共享访问带来很大的安全隐患.为了确保文件夹共享访问

的绝对安全性,我们有必要通过修改系统组策略的方法,最

大限度剥夺匿名用户的共享访问权限,下面就是具体的设置

方法:

首先单击系统桌面中的“开始”按钮,在弹出的系统

“开始”菜单中选择“运行”项目,打开系统的运行对话框,

然后在其中输入系统组策略编辑字符串命令“”,单击该对

话框中的“确定”按钮后,进入到本地计算机的系统组策略

编辑窗口;

在该编辑窗口的左侧列表窗格中,用鼠标展开“计算机

配置”策略分支,在对应该分支选项下面依次用鼠标双击

“Windows设置/安全设置/本地策略/安全选项”项目,在

“安全选项”项目所对应的右侧显示窗格中,找到“访问:

让每个人权限应用于匿名用户”选项并用鼠标右键单击之,

从弹出的快捷菜单中执行“属性”命令,打开如图1所示的

目标策略属性设置界面; 网管网_bitscn_com

图1

在该设置界面中,检查一下“访问:让每个人权限应用

于匿名用户”此时的策略是否已经处于“已启用”状态,一

旦发现该目标策略已经被启动的话,我们必须及时将它设置

为“已停用”,最后单击“确定”按钮,那么匿名用户日后

在尝试共享访问操作时由于无法获得足够权限,从而无法对

共享访问带来潜在安全威胁.当然,为安全、稳妥起见,我们

也不应该为本地计算机的Everyone帐号授予太高的共享访

问权限.

2、限定匿名用户共享访问内容 网管联盟bitsCN_com

在默认状态下,Windows XP工作站系统会允许匿名用户访

问本地系统的不少共享资源,这显然会给本地计算机的安全

带来一定的威胁.为了降低系统的安全威胁,我们完全可以

限定匿名用户只能访问本地系统指定的共享文件夹,而且在

允许匿名用户访问该目标共享文件夹之前,我们还需要对其

NTFS权限进行合适设置,确保匿名用户只能对目标共享文件

夹有最小的操作权限.例如,假设我们希望匿名用户只能访

问本地系统F盘中的“aaa”共享文件夹时,而无权访问其他

共享资源时,就可以按照如下操作步骤来设置系统组策略:

首先单击系统桌面中的“开始”按钮,在弹出的系

统“开始”菜单中选择“运行”项目,打开系统的运行对话

框,然后在其中输入系统组策略编辑字符串命令“”,单击

该对话框中的“确定”按钮后,进入到本地计算机的系统组

策略编辑窗口;

在该编辑窗口的左侧列表窗格中,用鼠标展开“计算机

配置”策略分支,在对应该分支选项下面依次用鼠标双击

“Windows设置/安全设置/本地策略/安全选项”项目,在

“安全选项”项目所对应的右侧显示窗格中,找到“访问:

可匿名访问的共享”选项并用鼠标右键单击之,从弹出的快

捷菜单中执行“属性”命令,打开如图2所示的目标策略属

性设置界面;

图2

在该设置界面中,先将系统默认允许访问的共享资源全

部选中,并按一下键盘上的DEL键将它全部删除干净;之后,

根据实际情况,将那些的确需要向匿名用户长期开放的目标

共享文件夹“F:aaa”添加进来,再单击“确定”按钮,那

么日后匿名用户只能访问“F:aaa”共享文件夹中的资源

了.当然,在将“F:aaa”文件夹向匿名用户开放之前,我们

必须先将该目标文件夹的NTFS权限设置成“读取”,确保匿

名用户对目标共享文件夹拥有最小的访问权限.

完成上面的操作后,我们还需要打开“访问:可匿名访

问的命名管道”策略的属性设置窗口和“访问:可远程访问

的注册表路径”策略的属性设置窗口,然后依次将这两个窗

口中多余的共享资源项目全部删除掉,这么一来匿名用户就

只能访问指定的共享文件夹了.

3、阻止非法获取超级帐号名称 网管网_bitscn_com

我们知道,不少非法攻击者常常通过超级管理员帐号的

SID标识,来获取超级帐号的管理员名称信息,然后以管理员

真实名称信息尝试登录

共享资源所在的计算机系统,从而获取对共享资源的最

高控制权限,很明显这种做法会对本地共享资源的安全造成

极大的威胁.有鉴于此,我们可以通过修改系统的组策略,禁

止非法用户通过SID来窃取超级管理员的真实名称信息,下

面就是具体的设置方法: 网管朋友网_bitscn_net

依次单击“开始”/“运行”命令,打开系统的运行对

话框,然后在其中输入系统组策略编辑字符串命令“”,单

击该对话框中的“确定”按钮后,进入到本地计算机的系统

组策略编辑窗口; 中国网管联盟

用鼠标展开该编辑窗口左侧显示区域的“计算机配

置”策略分支,在对应该分支选项下面依次用鼠标双击

“Windows设置/安全设置/本地策略/安全选项”项目,在

“安全选项”项目所对应的右侧显示窗格中,找到“访问:

允许匿名SID/名称转换”选项并用鼠标右键单击之,从弹出

的快捷菜单中执行“属性”命令,打开如图3所示的目标策

略属性设置界面; 网管论坛bbs_bitsCN_com

图3 网管下载

在该设置界面中,检查一下“访问:允许匿名SID/名称

转换”此时的策略是否已经处于“已启用”状态,一旦发现

该目标策略已经被启动的话,我们必须及时将它设置为“已

禁用”,最后单击“确定”按钮,那么非法用户日后就无法

通过管理员的SID标识信息获取管理员的真实名称信息了,

这么一来本地共享资源受到非法控制的危险就会大大下降

了.当然,要是局域网环境有多个不同版本的工作站系统时,

禁用“访问:允许匿名SID/名称转换”这个策略时,就容易

导致共享访问出现一些莫名其妙的问题,这一点大家需要注

意. 网管bitscn_com

4、限定特定用户进行共享访问

有时候,我们希望只有指定的用户才能通过访问本地系

统的共享资源,而严格禁止包括系统管理员在内的其他用户

随意通过访问本地资源时,我们就可以按照如下方法设置系

统组策略,来限定特定用户进行共享访问: 网管联盟

bitsCNcom

依次单击“开始”/“运行”命令,打开系统的运行对

话框,然后在其中输入系统组策略编辑字符串命令“”,单

击该对话框中的“确定”按钮后,进入到本地计算机的系统

组策略编辑窗口;

用鼠标展开该编辑窗口左侧显示区域的“计算机配

置”策略分支,在对应该分支选项下面依次用鼠标双击

“Windows设置/安全设置/本地策略/用户权利指派”项目,

在“用户权利指派”项目所对应的右侧显示窗格中,找到

“从访问此计算机”选项并用鼠标右键单击之,从弹出的快

捷菜单中执行“属性”命令,打开如图4所示的目标策略属

性设置界面; 网管朋友网_bitscn_net

图4 网管联盟bitsCNcom

在该设置界面中,先将默认存在的Guest帐号、Everyone

帐号选中并删除,然后单击“添加用户或组”按钮,打开一

个标题为“选择用户或组”的设置窗口,在其中将指定的用

户帐号添加进来,最后单击“确定”按钮,这么一来特定用

户日后就能通过访问到本地系统中的共享资源了,而其他用

户是无法通过进行共享访问操作的.

5、让共享访问时正常输入用户名

在局域网环境中,当我们尝试从其中的一台工作站去访

问另外一台工作站中的共享资源时,屏幕上有时会弹出密码

登录对话框,可是在其中我们却无法正确输入用户名,而只

能输入访问密码,这么一来我们就无法使用自己的帐号访问

对方的共享资源.遇到这种共享访问故障现象时,我们究竟

该怎样进行应对呢

事实上,这种现象多半是系统的组策略设置不当造成的,

此时我们不妨按照下面步骤来修改一下系统组策略: 网管

网_bitscn_com

依次单击“开始”/“运行”命令,打开系统的运行对

话框,然后在其中输入系统组策略编辑字符串命令“”,单

击该对话框中的“确定”按钮后,进入到本地计算机的系统

组策略编辑窗口;

用鼠标展开该编辑窗口左侧显示区域的“计算机配

置”策略分支,在对应该分支选项下面依次用鼠标双击

“Windows设置/安全设置/本地策略/安全选项”项目,在

“安全选项”项目所对应的右侧显示窗格中,找到“访问:

本地帐户的共享和安全模式”选项并用鼠标右键单击之,从

弹出的快捷菜单中执行“属性”命令,打开如图5所示的目

标策略属性设置界面;在该设置界面中,看看“访问:本地帐

户的共享和安全模式”策略此时是否已被设置成“经典—

本地用户以自己的身份验证”,如果不是的话,必须及时将

它修改过来,最后单击“确定”按钮,这样一来我们日后再

次进行共享访问操作时,就能正常输入共享访问帐号名称进

行共享资源的访问操作了.

图5 网管u家

6、及时记录用户共享访问痕迹 网管朋友网

_bitscn_net

为了防止一些心术不正的局域网用户在对共享文件夹

的访问过程中,做出对目标共享资源不利的事情出来,我们

应该想个办法跟踪任何一位访问目标共享资源的局域网用

户,并对他们的共享访问痕迹进行自动记录;以后一旦遇到

共享资源中的隐私信息被破坏或转移时,我们可以查看相应

的日志记录,就能将“罪槐祸首”轻松找到.事实上,通过下

面的步骤我们就可以及时记录用户共享访问痕迹了: 网管

网

首先进入系统资源管理器界面,找到目标共享文件夹并

用鼠标右击之,执行快捷菜单中的“属性”菜单命令,打开

目标共享文件夹的属性设置窗口;单击其中的“安全”选项

卡,并在对应的选项设置页面中单击一下“高级”按钮,进

入共享文件夹的高级安全设置页面,单击该页面中的“审

核”标签,再在对应标签页面中单击“添加”按钮.随后,计

算机将自动显示出本地系统中所有用户帐号,此时我们可以

将有权访问该共享文件夹的用户帐号选中,再单击“确定”

按钮;在其后弹出的审核选项设置界面中,我们可以按需选

择一些失败和成功的审核项目,最后单击“确定”按钮退出

共享文件夹属性设置界面.

接下来依次单击“开始”/“运行”命令,打开系统的

运行对话框,然后在其中输入系统组策略编辑字符串命令

“”,单击该对话框中的“确定”按钮后,进入到本地计算

机的系统组策略编辑窗口.

用鼠标展开该编辑窗口左侧显示区域的“计算机配

置”策略分支,在对应该分支选项下面依次用鼠标双击

“Windows设置/安全设置/本地策略/审核策略”项目,在

“审核策略”项目所对应的右侧显示窗格中,找到“审核对

象访问”选项并用鼠标右键单击之,从弹出的快捷菜单中执

行“属性”命令,打开如图6所示的目标策略属性设置界面;

图6 网管论坛

bbs_bitsCN_com

在该设置界面中,选中其中的“成功”项目或“失败”

项目,再单击“确定”按钮;以后我们要是发现目标共享文

件夹遇到安全威胁现象时,就可以打开系统的日志记录,来

查看事件ID标号为“564”、“562”、“560”的相关日志

记录了,从中就能发现破坏共享文件夹安全的“罪槐祸首”

了.