用組策略管理網(wǎng)絡(luò)共享

1、用組策略管理網(wǎng)絡(luò)共享在局域網(wǎng)環(huán)境中，為了方便與他人交流信息，我們常常會(huì)將自己計(jì)算機(jī)中的一些重要信息共享出來(lái)，以便于局域網(wǎng)其他用戶調(diào)用。不過(guò)在共享訪問(wèn)過(guò)程中，我們常常會(huì)受到一些安全攻擊或者遇到一些共享訪問(wèn)故障;為了提高共享訪問(wèn)效率，減少共享安全隱患，我們往往需要學(xué)會(huì)一些共享資源控制、管理技巧。這不，本文下面就從系統(tǒng)組策略出發(fā)，為各位推薦幾則管理、控制共享資源的技巧，相信各位在下面技巧的“指揮”下一定能精彩進(jìn)行共享訪問(wèn)操作! 1、剝奪匿名用戶共享訪問(wèn)權(quán)限 在安安裝有WWinddowss XPP系統(tǒng)的的工作站站中，匿匿名用戶戶在默認(rèn)認(rèn)狀態(tài)下下往往會(huì)會(huì)擁有與與Eveeryoone帳帳號(hào)一樣樣的訪問(wèn)問(wèn)權(quán)

2、限，要是我我們不小小心給EEverryonne帳號(hào)號(hào)賦予比比較高的的共享訪訪問(wèn)權(quán)限限時(shí)，那那么匿名名用戶隨隨之也會(huì)會(huì)擁有比比較高的的共享訪訪問(wèn)權(quán)限限，這顯顯然會(huì)給給共享訪訪問(wèn)帶來(lái)來(lái)很大的的安全隱隱患。為為了確保保文件夾夾共享訪訪問(wèn)的絕絕對(duì)安全全性，我我們有必必要通過(guò)過(guò)修改系系統(tǒng)組策策略的方方法，最最大限度度剝奪匿匿名用戶戶的共享享訪問(wèn)權(quán)權(quán)限，下下面就是是具體的的設(shè)置方方法: 首先先單擊系系統(tǒng)桌面面中的“開始”按鈕，在彈出出的系統(tǒng)統(tǒng)“開始始”菜單單中選擇擇“運(yùn)行行”項(xiàng)目目，打開開系統(tǒng)的的運(yùn)行對(duì)對(duì)話框，然后在在其中輸輸入系統(tǒng)統(tǒng)組策略略編輯字字符串命命令“ggpeddit.mscc”，單單擊該對(duì)對(duì)話

3、框中中的“確確定”按按鈕后，進(jìn)入到到本地計(jì)計(jì)算機(jī)的的系統(tǒng)組組策略編編輯窗口口; 網(wǎng)網(wǎng)管聯(lián)盟盟bittsCNN_coom 在該該編輯窗窗口的左左側(cè)列表表窗格中中，用鼠鼠標(biāo)展開開“計(jì)算算機(jī)配置置”策略略分支，在對(duì)應(yīng)應(yīng)該分支支選項(xiàng)下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項(xiàng)項(xiàng)”項(xiàng)目目，在“安全選選項(xiàng)”項(xiàng)項(xiàng)目所對(duì)對(duì)應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問(wèn):讓每個(gè)個(gè)人權(quán)限限應(yīng)用于于匿名用用戶”選選項(xiàng)并用用鼠標(biāo)右右鍵單擊擊之，從從彈出的的快捷菜菜單中執(zhí)執(zhí)行“屬屬性”命命令，打打開如圖圖1所示示的目標(biāo)標(biāo)策略屬屬性設(shè)置置界

4、面; 網(wǎng)管管網(wǎng)wwww_bbitsscn_comm 圖1 在該該設(shè)置界界面中，檢查一一下“ HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問(wèn)問(wèn):讓每每個(gè)人權(quán)權(quán)限應(yīng)用用于匿名名用戶”此時(shí)的的策略是是否已經(jīng)經(jīng)處于“已啟用用”狀態(tài)態(tài)，一旦旦發(fā)現(xiàn)該該目標(biāo)策策略已經(jīng)經(jīng)被啟動(dòng)動(dòng)的話，我們必必須及時(shí)時(shí)將它設(shè)設(shè)置為“已停用用”，最最后單擊擊“確定定”按鈕鈕，那么么匿名用用戶日后后在嘗試試共享訪訪問(wèn)操作作時(shí)由于于無(wú)法獲獲得足夠夠權(quán)限，從而無(wú)無(wú)法對(duì)共共享訪問(wèn)問(wèn)帶來(lái)潛潛在安全全威脅。當(dāng)然，為安全全、穩(wěn)妥妥起見(jiàn)，我們也也不應(yīng)該該為本地地計(jì)算機(jī)機(jī)的Evveryyonee帳號(hào)授授予太高高的共享享訪問(wèn)權(quán)權(quán)限。 2、限定匿

5、匿名用戶戶共享訪訪問(wèn)內(nèi)容容 網(wǎng)管聯(lián)聯(lián)盟biitsCCN_ccom 在默認(rèn)狀狀態(tài)下，Winndowws XXP工作作站系統(tǒng)統(tǒng)會(huì)允許許匿名用用戶訪問(wèn)問(wèn)本地系系統(tǒng)的不不少共享享資源，這顯然然會(huì)給本本地計(jì)算算機(jī)的安安全帶來(lái)來(lái)一定的的威脅。為了降降低系統(tǒng)統(tǒng)的安全全威脅，我們完完全可以以限定匿匿名用戶戶只能訪訪問(wèn)本地地系統(tǒng)指指定的共共享文件件夾，而而且在允允許匿名名用戶訪訪問(wèn)該目目標(biāo)共享享文件夾夾之前，我們還還需要對(duì)對(duì)其NTTFS權(quán)權(quán)限進(jìn)行行合適設(shè)設(shè)置，確確保匿名名用戶只只能對(duì)目目標(biāo)共享享文件夾夾有最小小的操作作權(quán)限。例如，假設(shè)我我們希望望匿名用用戶只能能訪問(wèn)本本地系統(tǒng)統(tǒng)F盤中中的“aaaa”共享文文件夾

6、時(shí)時(shí)，而無(wú)無(wú)權(quán)訪問(wèn)問(wèn)其他共共享資源源時(shí)，就就可以按按照如下下操作步步驟來(lái)設(shè)設(shè)置系統(tǒng)統(tǒng)組策略略:首先先單擊系系統(tǒng)桌面面中的“開始”按鈕，在彈出出的系統(tǒng)統(tǒng)“開始始”菜單單中選擇擇“運(yùn)行行”項(xiàng)目目，打開開系統(tǒng)的的運(yùn)行對(duì)對(duì)話框，然后在在其中輸輸入系統(tǒng)統(tǒng)組策略略編輯字字符串命命令“ggpeddit.mscc”，單單擊該對(duì)對(duì)話框中中的“確確定”按按鈕后，進(jìn)入到到本地計(jì)計(jì)算機(jī)的的系統(tǒng)組組策略編編輯窗口口; 在該該編輯窗窗口的左左側(cè)列表表窗格中中，用鼠鼠標(biāo)展開開“計(jì)算算機(jī)配置置”策略略分支，在對(duì)應(yīng)應(yīng)該分支支選項(xiàng)下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項(xiàng)項(xiàng)”項(xiàng)目目，在

7、“安全選選項(xiàng)”項(xiàng)項(xiàng)目所對(duì)對(duì)應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問(wèn):可匿名名訪問(wèn)的的共享”選項(xiàng)并并用鼠標(biāo)標(biāo)右鍵單單擊之，從彈出出的快捷捷菜單中中執(zhí)行“屬性”命令，打開如如圖2所所示的目目標(biāo)策略略屬性設(shè)設(shè)置界面面; 圖2 在該該設(shè)置界界面中，先將系系統(tǒng)默認(rèn)認(rèn)允許訪訪問(wèn)的共共享資源源全部選選中，并并按一下下鍵盤上上的DEEL鍵將將它全部部刪除干干凈;之之后，根根據(jù)實(shí)際際情況，將那些些的確需需要向匿匿名用戶戶長(zhǎng)期開開放的目目標(biāo)共享享文件夾夾“F:aaaa”添添加進(jìn)來(lái)來(lái)，再單單擊“確確定”按按鈕，那那么日后后匿名用用戶只能能訪問(wèn)“F:aaaa”共享享文件夾

8、夾中的資資源了。當(dāng)然，在將“F:aaaa”文件件夾向匿匿名用戶戶開放之之前，我我們必須須先將該該目標(biāo)文文件夾的的NTFFS權(quán)限限設(shè)置成成“讀取取”，確確保匿名名用戶對(duì)對(duì)目標(biāo)共共享文件件夾擁有有最小的的訪問(wèn)權(quán)權(quán)限。 完成成上面的的操作后后，我們們還需要要打開“ HYPERLINK /network/ 網(wǎng)絡(luò)訪問(wèn)問(wèn):可匿匿名訪問(wèn)問(wèn)的命名名管道”策略的的屬性設(shè)設(shè)置窗口口和“ HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問(wèn)問(wèn):可遠(yuǎn)遠(yuǎn)程訪問(wèn)問(wèn)的注冊(cè)冊(cè)表路徑徑”策略略的屬性性設(shè)置窗窗口，然然后依次次將這兩兩個(gè)窗口口中多余余的共享享資源項(xiàng)項(xiàng)目全部部刪除掉掉，這么么一來(lái)匿匿名用戶戶就只能能訪問(wèn)指指定的共共享

9、文件件夾了。 3、阻止止非法獲獲取超級(jí)級(jí)帳號(hào)名名稱 網(wǎng)管網(wǎng)網(wǎng)wwww_biitsccn_ccom 我們們知道，不少非非法攻擊擊者常常常通過(guò)超超級(jí)管理理員帳號(hào)號(hào)的SIID標(biāo)識(shí)識(shí)，來(lái)獲獲取超級(jí)級(jí)帳號(hào)的的管理員員名稱信信息，然然后以管管理員真真實(shí)名稱稱信息嘗嘗試登錄錄 共享享資源所所在的計(jì)計(jì)算機(jī)系系統(tǒng)，從從而獲取取對(duì)共享享資源的的最高控控制權(quán)限限，很明明顯這種種做法會(huì)會(huì)對(duì)本地地共享資資源的安安全造成成極大的的威脅。有鑒于于此，我我們可以以通過(guò)修修改系統(tǒng)統(tǒng)的組策策略，禁禁止非法法用戶通通過(guò)SIID來(lái)竊竊取超級(jí)級(jí)管理員員的真實(shí)實(shí)名稱信信息，下下面就是是具體的的設(shè)置方方法: 網(wǎng)管朋朋友網(wǎng)wwww_bitt

10、scnn_neet 依次次單擊“開始”/“運(yùn)運(yùn)行”命命令，打打開系統(tǒng)統(tǒng)的運(yùn)行行對(duì)話框框，然后后在其中中輸入系系統(tǒng)組策策略編輯輯字符串串命令“gpeeditt.mssc”，單擊該該對(duì)話框框中的“確定”按鈕后后，進(jìn)入入到本地地計(jì)算機(jī)機(jī)的系統(tǒng)統(tǒng)組策略略編輯窗窗口; 中國(guó)網(wǎng)網(wǎng)管聯(lián)盟盟bittsCNN.coom 用鼠鼠標(biāo)展開開該編輯輯窗口左左側(cè)顯示示區(qū)域的的“計(jì)算算機(jī)配置置”策略略分支，在對(duì)應(yīng)應(yīng)該分支支選項(xiàng)下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項(xiàng)項(xiàng)”項(xiàng)目目，在“安全選選項(xiàng)”項(xiàng)項(xiàng)目所對(duì)對(duì)應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/

11、 網(wǎng)絡(luò)絡(luò)訪問(wèn):允許匿匿名SIID/名名稱轉(zhuǎn)換換”選項(xiàng)項(xiàng)并用鼠鼠標(biāo)右鍵鍵單擊之之，從彈彈出的快快捷菜單單中執(zhí)行行“屬性性”命令令，打開開如圖33所示的的目標(biāo)策策略屬性性設(shè)置界界面; 網(wǎng)管論論壇bbbs_bbitssCN_comm 圖3 網(wǎng)網(wǎng)管下載載dl.bittscnn.coom 在該該設(shè)置界界面中，檢查一一下“ HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問(wèn)問(wèn):允許許匿名SSID/名稱轉(zhuǎn)轉(zhuǎn)換”此此時(shí)的策策略是否否已經(jīng)處處于“已已啟用”狀態(tài)，一旦發(fā)發(fā)現(xiàn)該目目標(biāo)策略略已經(jīng)被被啟動(dòng)的的話，我我們必須須及時(shí)將將它設(shè)置置為“已已禁用”，最后后單擊“確定”按鈕，那么非非法用戶戶日后就就無(wú)法通通過(guò)管理理

12、員的SSID標(biāo)標(biāo)識(shí)信息息獲取管管理員的的真實(shí)名名稱信息息了，這這么一來(lái)來(lái)本地共共享資源源受到非非法控制制的危險(xiǎn)險(xiǎn)就會(huì)大大大下降降了。當(dāng)當(dāng)然，要要是局域域網(wǎng)環(huán)境境有多個(gè)個(gè)不同版版本的工工作站系系統(tǒng)時(shí)，禁用“ HYPERLINK /network/ 網(wǎng)絡(luò)訪問(wèn)問(wèn):允許許匿名SSID/名稱轉(zhuǎn)轉(zhuǎn)換”這這個(gè)策略略時(shí)，就就容易導(dǎo)導(dǎo)致共享享訪問(wèn)出出現(xiàn)一些些莫名其其妙的問(wèn)問(wèn)題，這這一點(diǎn)大大家需要要注意。 網(wǎng)管管bittscnn_coom 4、限定特特定用戶戶進(jìn)行共共享訪問(wèn)問(wèn) 有時(shí)時(shí)候，我我們希望望只有指指定的用用戶才能能通過(guò) HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問(wèn)問(wèn)本地系系統(tǒng)的共共享資源源，而嚴(yán)嚴(yán)格

13、禁止止包括系系統(tǒng)管理理員在內(nèi)內(nèi)的其他他用戶隨隨意通過(guò)過(guò) HYPERLINK /network/ 網(wǎng)絡(luò)訪問(wèn)問(wèn)本地資資源時(shí)，我們就就可以按按照如下下方法設(shè)設(shè)置系統(tǒng)統(tǒng)組策略略，來(lái)限限定特定定用戶進(jìn)進(jìn)行共享享訪問(wèn): 網(wǎng)管管聯(lián)盟bbitssCNcomm 依次次單擊“開始”/“運(yùn)運(yùn)行”命命令，打打開系統(tǒng)統(tǒng)的運(yùn)行行對(duì)話框框，然后后在其中中輸入系系統(tǒng)組策策略編輯輯字符串串命令“gpeeditt.mssc”，單擊該該對(duì)話框框中的“確定”按鈕后后，進(jìn)入入到本地地計(jì)算機(jī)機(jī)的系統(tǒng)統(tǒng)組策略略編輯窗窗口; 用鼠鼠標(biāo)展開開該編輯輯窗口左左側(cè)顯示示區(qū)域的的“計(jì)算算機(jī)配置置”策略略分支，在對(duì)應(yīng)應(yīng)該分支支選項(xiàng)下下面依次次用鼠標(biāo)標(biāo)

14、雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/用用戶權(quán)利利指派”項(xiàng)目，在“用用戶權(quán)利利指派”項(xiàng)目所所對(duì)應(yīng)的的右側(cè)顯顯示窗格格中，找找到“從從 HYPERLINK /network/ 網(wǎng)絡(luò)訪問(wèn)問(wèn)此計(jì)算算機(jī)”選選項(xiàng)并用用鼠標(biāo)右右鍵單擊擊之，從從彈出的的快捷菜菜單中執(zhí)執(zhí)行“屬屬性”命命令，打打開如圖圖4所示示的目標(biāo)標(biāo)策略屬屬性設(shè)置置界面; 網(wǎng)管管朋友網(wǎng)網(wǎng)wwww_biitsccn_nnet 圖4 網(wǎng)網(wǎng)管聯(lián)盟盟bittsCNNcoom 在該該設(shè)置界界面中，先將默默認(rèn)存在在的Guuestt帳號(hào)、Eveeryoone帳帳號(hào)選中中并刪除除，然后后單擊“添加用用戶或組組”按鈕鈕，打開開一個(gè)標(biāo)標(biāo)題為“

15、選擇用用戶或組組”的設(shè)設(shè)置窗口口，在其其中將指指定的用用戶帳號(hào)號(hào)添加進(jìn)進(jìn)來(lái)，最最后單擊擊“確定定”按鈕鈕，這么么一來(lái)特特定用戶戶日后就就能通過(guò)過(guò) HYPERLINK /network/ 網(wǎng)絡(luò)訪問(wèn)問(wèn)到本地地系統(tǒng)中中的共享享資源了了，而其其他用戶戶是無(wú)法法通過(guò) HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)進(jìn)行行共享訪訪問(wèn)操作作的。5、讓共共享訪問(wèn)問(wèn)時(shí)正常常輸入用用戶名 在局局域網(wǎng)環(huán)環(huán)境中，當(dāng)我們們嘗試從從其中的的一臺(tái)工工作站去去訪問(wèn)另另外一臺(tái)臺(tái)工作站站中的共共享資源源時(shí)，屏屏幕上有有時(shí)會(huì)彈彈出密碼碼登錄對(duì)對(duì)話框，可是在在其中我我們卻無(wú)無(wú)法正確確輸入用用戶名，而只能能輸入訪訪問(wèn)密碼碼，這么么一來(lái)我

16、我們就無(wú)無(wú)法使用用自己的的帳號(hào)訪訪問(wèn)對(duì)方方的共享享資源。遇到這這種共享享訪問(wèn)故故障現(xiàn)象象時(shí)，我我們究竟竟該怎樣樣進(jìn)行應(yīng)應(yīng)對(duì)呢? 事實(shí)實(shí)上，這這種現(xiàn)象象多半是是系統(tǒng)的的組策略略設(shè)置不不當(dāng)造成成的，此此時(shí)我們們不妨按按照下面面步驟來(lái)來(lái)修改一一下系統(tǒng)統(tǒng)組策略略: 網(wǎng)網(wǎng)管網(wǎng)wwww_bittscnn_coom 依次次單擊“開始”/“運(yùn)運(yùn)行”命命令，打打開系統(tǒng)統(tǒng)的運(yùn)行行對(duì)話框框，然后后在其中中輸入系系統(tǒng)組策策略編輯輯字符串串命令“gpeeditt.mssc”，單擊該該對(duì)話框框中的“確定”按鈕后后，進(jìn)入入到本地地計(jì)算機(jī)機(jī)的系統(tǒng)統(tǒng)組策略略編輯窗窗口; 用鼠鼠標(biāo)展開開該編輯輯窗口左左側(cè)顯示示區(qū)域的的“計(jì)算算機(jī)

17、配置置”策略略分支，在對(duì)應(yīng)應(yīng)該分支支選項(xiàng)下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項(xiàng)項(xiàng)”項(xiàng)目目，在“安全選選項(xiàng)”項(xiàng)項(xiàng)目所對(duì)對(duì)應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問(wèn):本地帳帳戶的共共享和安安全模式式”選項(xiàng)項(xiàng)并用鼠鼠標(biāo)右鍵鍵單擊之之，從彈彈出的快快捷菜單單中執(zhí)行行“屬性性”命令令，打開開如圖55所示的的目標(biāo)策策略屬性性設(shè)置界界面;在在該設(shè)置置界面中中，看看看“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問(wèn):本地帳帳戶的共共享和安安全模式式”策略略此時(shí)是是否已被被設(shè)置成成“經(jīng)典典本地地用戶以以自己的的身份

18、驗(yàn)驗(yàn)證”，如果不不是的話話，必須須及時(shí)將將它修改改過(guò)來(lái)，最后單單擊“確確定”按按鈕，這這樣一來(lái)來(lái)我們?nèi)杖蘸笤俅未芜M(jìn)行共共享訪問(wèn)問(wèn)操作時(shí)時(shí)，就能能正常輸輸入共享享訪問(wèn)帳帳號(hào)名稱稱進(jìn)行共共享資源源的訪問(wèn)問(wèn)操作了了。 圖5 網(wǎng)網(wǎng)管u家家wwww.biitsccn.nnet 6、及時(shí)記記錄用戶戶共享訪訪問(wèn)痕跡跡 網(wǎng)管朋朋友網(wǎng)wwww_bittscnn_neet 為了了防止一一些心術(shù)術(shù)不正的的局域網(wǎng)網(wǎng)用戶在在對(duì)共享享文件夾夾的訪問(wèn)問(wèn)過(guò)程中中，做出出對(duì)目標(biāo)標(biāo)共享資資源不利利的事情情出來(lái)，我們應(yīng)應(yīng)該想個(gè)個(gè)辦法跟跟蹤任何何一位訪訪問(wèn)目標(biāo)標(biāo)共享資資源的局局域網(wǎng)用用戶，并并對(duì)他們們的共享享訪問(wèn)痕痕跡進(jìn)行行自動(dòng)記記

19、錄;以以后一旦旦遇到共共享資源源中的隱隱私信息息被破壞壞或轉(zhuǎn)移移時(shí)，我我們可以以查看相相應(yīng)的日日志記錄錄，就能能將“罪罪槐禍?zhǔn)资住陛p松松找到。事實(shí)上上，通過(guò)過(guò)下面的的步驟我我們就可可以及時(shí)時(shí)記錄用用戶共享享訪問(wèn)痕痕跡了: 網(wǎng)管管網(wǎng)m 首先先進(jìn)入系系統(tǒng)資源源管理器器界面，找到目目標(biāo)共享享文件夾夾并用鼠鼠標(biāo)右擊擊之，執(zhí)執(zhí)行快捷捷菜單中中的“屬屬性”菜菜單命令令，打開開目標(biāo)共共享文件件夾的屬屬性設(shè)置置窗口;單擊其其中的“安全”選項(xiàng)卡卡，并在在對(duì)應(yīng)的的選項(xiàng)設(shè)設(shè)置頁(yè)面面中單擊擊一下“高級(jí)”按鈕，進(jìn)入共共享文件件夾的高高級(jí)安全全設(shè)置頁(yè)頁(yè)面，單單擊該頁(yè)頁(yè)面中的的“審核核”標(biāo)簽簽，再在在對(duì)應(yīng)標(biāo)標(biāo)簽頁(yè)面面中單擊擊“添加加”按鈕鈕。隨后后，計(jì)算算機(jī)將自自動(dòng)顯示示出本地地系統(tǒng)中中所有用用戶帳號(hào)號(hào)，此時(shí)時(shí)我們可可以將有有權(quán)