用组策略管理网络共享71584.docx

《用组策略管理网络共享71584.docx》由会员分享，可在线阅读，更多相关《用组策略管理网络共享71584.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、用组策略管理网络共享在局域网环境中，为了方便与他人交流信息，我们常常会将自己计算机中的一些重要信息共享出来，以便于局域网其他用户调用。不过在共享访问过程中，我们常常会受到一些安全攻击或者遇到一些共享访问故障;为了提高共享访问效率，减少共享安全隐患，我们往往需要学会一些共享资源控制、管理技巧。这不，本文下面就从系统组策略出发，为各位推荐几则管理、控制共享资源的技巧，相信各位在下面技巧的“指挥”下一定能精彩进行共享访问操作! 1、剥剥夺匿名名用户共共享访问问权限 在安装装有Wiindoows XP系系统的工工作站中中，匿名名用户在在默认状状态下往往往会拥拥有与EEverryonne帐号号一样的的访

2、问权权限，要要是我们们不小心心给Evveryyonee帐号赋赋予比较较高的共共享访问问权限时时，那么么匿名用用户随之之也会拥拥有比较较高的共共享访问问权限，这这显然会会给共享享访问带带来很大大的安全全隐患。为为了确保保文件夹夹共享访访问的绝绝对安全全性，我我们有必必要通过过修改系系统组策策略的方方法，最最大限度度剥夺匿匿名用户户的共享享访问权权限，下下面就是是具体的的设置方方法: 首先单单击系统统桌面中中的“开开始”按按钮，在在弹出的的系统“开开始”菜菜单中选选择“运运行”项项目，打打开系统统的运行行对话框框，然后后在其中中输入系系统组策策略编辑辑字符串串命令“ggpeddit.mscc”，单

3、单击该对对话框中中的“确确定”按按钮后，进进入到本本地计算算机的系系统组策策略编辑辑窗口; 网管管联盟bbitssCN_comm 在该编编辑窗口口的左侧侧列表窗窗格中，用用鼠标展展开“计计算机配配置”策策略分支支，在对对应该分分支选项项下面依依次用鼠鼠标双击击“Wiindoows设设置/安安全设置置/本地地策略/安全选选项”项项目，在在“安全全选项”项项目所对对应的右右侧显示示窗格中中，找到到“网络络访问:让每个个人权限限应用于于匿名用用户”选选项并用用鼠标右右键单击击之，从从弹出的的快捷菜菜单中执执行“属属性”命命令，打打开如图图1所示示的目标标策略属属性设置置界面; 网管管网wwww_bb

4、itsscn_comm 图1 在该设设置界面面中，检检查一下下“网络络访问:让每个个人权限限应用于于匿名用用户”此此时的策策略是否否已经处处于“已已启用”状状态，一一旦发现现该目标标策略已已经被启启动的话话，我们们必须及及时将它它设置为为“已停停用”，最最后单击击“确定定”按钮钮，那么么匿名用用户日后后在尝试试共享访访问操作作时由于于无法获获得足够够权限，从从而无法法对共享享访问带带来潜在在安全威威胁。当当然，为为安全、稳稳妥起见见，我们们也不应应该为本本地计算算机的EEverryonne帐号号授予太太高的共共享访问问权限。 2、限限定匿名名用户共共享访问问内容 网管联联盟biitsCCN_c

5、com 在默认状态态下，WWinddowss XPP工作站站系统会会允许匿匿名用户户访问本本地系统统的不少少共享资资源，这这显然会会给本地地计算机机的安全全带来一一定的威威胁。为为了降低低系统的的安全威威胁，我我们完全全可以限限定匿名名用户只只能访问问本地系系统指定定的共享享文件夹夹，而且且在允许许匿名用用户访问问该目标标共享文文件夹之之前，我我们还需需要对其其NTFFS权限限进行合合适设置置，确保保匿名用用户只能能对目标标共享文文件夹有有最小的的操作权权限。例例如，假假设我们们希望匿匿名用户户只能访访问本地地系统FF盘中的的“aaaa”共共享文件件夹时，而而无权访访问其他他共享资资源时，就就

6、可以按按照如下下操作步步骤来设设置系统统组策略略:首先单单击系统统桌面中中的“开开始”按按钮，在在弹出的的系统“开开始”菜菜单中选选择“运运行”项项目，打打开系统统的运行行对话框框，然后后在其中中输入系系统组策策略编辑辑字符串串命令“ggpeddit.mscc”，单单击该对对话框中中的“确确定”按按钮后，进进入到本本地计算算机的系系统组策策略编辑辑窗口; 在该编编辑窗口口的左侧侧列表窗窗格中，用用鼠标展展开“计计算机配配置”策策略分支支，在对对应该分分支选项项下面依依次用鼠鼠标双击击“Wiindoows设设置/安安全设置置/本地地策略/安全选选项”项项目，在在“安全全选项”项项目所对对应的右右

7、侧显示示窗格中中，找到到“网络络访问:可匿名名访问的的共享”选选项并用用鼠标右右键单击击之，从从弹出的的快捷菜菜单中执执行“属属性”命命令，打打开如图图2所示示的目标标策略属属性设置置界面; 图2 在该设设置界面面中，先先将系统统默认允允许访问问的共享享资源全全部选中中，并按按一下键键盘上的的DELL键将它它全部删删除干净净;之后后，根据据实际情情况，将将那些的的确需要要向匿名名用户长长期开放放的目标标共享文文件夹“FF:aaaa”添添加进来来，再单单击“确确定”按按钮，那那么日后后匿名用用户只能能访问“FF:aaaa”共共享文件件夹中的的资源了了。当然然，在将将“F:aaaa”文文件夹向向匿

8、名用用户开放放之前，我我们必须须先将该该目标文文件夹的的NTFFS权限限设置成成“读取取”，确确保匿名名用户对对目标共共享文件件夹拥有有最小的的访问权权限。 完成上上面的操操作后，我我们还需需要打开开“网络络访问:可匿名名访问的的命名管管道”策策略的属属性设置置窗口和和“网络络访问:可远程程访问的的注册表表路径”策策略的属属性设置置窗口，然然后依次次将这两两个窗口口中多余余的共享享资源项项目全部部删除掉掉，这么么一来匿匿名用户户就只能能访问指指定的共共享文件件夹了。 3、阻止非非法获取取超级帐帐号名称称 网管网网wwww_biitsccn_ccom 我们知知道，不不少非法法攻击者者常常通通过超

9、级级管理员员帐号的的SIDD标识，来来获取超超级帐号号的管理理员名称称信息，然然后以管管理员真真实名称称信息尝尝试登录录 共享资资源所在在的计算算机系统统，从而而获取对对共享资资源的最最高控制制权限，很很明显这这种做法法会对本本地共享享资源的的安全造造成极大大的威胁胁。有鉴鉴于此，我我们可以以通过修修改系统统的组策策略，禁禁止非法法用户通通过SIID来窃窃取超级级管理员员的真实实名称信信息，下下面就是是具体的的设置方方法: 网管朋朋友网wwww_bittscnn_neet 依次单单击“开开始”/“运行行”命令令，打开开系统的的运行对对话框，然然后在其其中输入入系统组组策略编编辑字符符串命令令“

10、gppediit.mmsc”，单单击该对对话框中中的“确确定”按按钮后，进进入到本本地计算算机的系系统组策策略编辑辑窗口; 中国国网管联联盟biitsCCN.ccom 用鼠标标展开该该编辑窗窗口左侧侧显示区区域的“计计算机配配置”策策略分支支，在对对应该分分支选项项下面依依次用鼠鼠标双击击“Wiindoows设设置/安安全设置置/本地地策略/安全选选项”项项目，在在“安全全选项”项项目所对对应的右右侧显示示窗格中中，找到到“网络络访问:允许匿匿名SIID/名名称转换换”选项项并用鼠鼠标右键键单击之之，从弹弹出的快快捷菜单单中执行行“属性性”命令令，打开开如图33所示的的目标策策略属性性设置界界

11、面; 网管论论坛bbbs_bbitssCN_comm 图3 网管管下载m 在该设设置界面面中，检检查一下下“网络络访问:允许匿匿名SIID/名名称转换换”此时时的策略略是否已已经处于于“已启启用”状状态，一一旦发现现该目标标策略已已经被启启动的话话，我们们必须及及时将它它设置为为“已禁禁用”，最最后单击击“确定定”按钮钮，那么么非法用用户日后后就无法法通过管管理员的的SIDD标识信信息获取取管理员员的真实实名称信信息了，这这么一来来本地共共享资源源受到非非法控制制的危险险就会大大大下降降了。当当然，要要是局域域网环境境有多个个不同版版本的工工作站系系统时，禁禁用“网网络访问问:允许许匿名SSI

12、D/名称转转换”这这个策略略时，就就容易导导致共享享访问出出现一些些莫名其其妙的问问题，这这一点大大家需要要注意。 网管bbitsscn_comm 4、限限定特定定用户进进行共享享访问 有时候候，我们们希望只只有指定定的用户户才能通通过网络络访问本本地系统统的共享享资源，而而严格禁禁止包括括系统管管理员在在内的其其他用户户随意通通过网络络访问本本地资源源时，我我们就可可以按照照如下方方法设置置系统组组策略，来来限定特特定用户户进行共共享访问问: 网网管联盟盟bittsCNNcoom 依次单单击“开开始”/“运行行”命令令，打开开系统的的运行对对话框，然然后在其其中输入入系统组组策略编编辑字符符

13、串命令令“gppediit.mmsc”，单单击该对对话框中中的“确确定”按按钮后，进进入到本本地计算算机的系系统组策策略编辑辑窗口; 用鼠标标展开该该编辑窗窗口左侧侧显示区区域的“计计算机配配置”策策略分支支，在对对应该分分支选项项下面依依次用鼠鼠标双击击“Wiindoows设设置/安安全设置置/本地地策略/用户权权利指派派”项目目，在“用用户权利利指派”项项目所对对应的右右侧显示示窗格中中，找到到“从网网络访问问此计算算机”选选项并用用鼠标右右键单击击之，从从弹出的的快捷菜菜单中执执行“属属性”命命令，打打开如图图4所示示的目标标策略属属性设置置界面; 网管管朋友网网wwww_biitscc

14、n_nnet 图4 网管管联盟bbitssCNcomm 在该设设置界面面中，先先将默认认存在的的Gueest帐帐号、EEverryonne帐号号选中并并删除，然然后单击击“添加加用户或或组”按按钮，打打开一个个标题为为“选择择用户或或组”的的设置窗窗口，在在其中将将指定的的用户帐帐号添加加进来，最最后单击击“确定定”按钮钮，这么么一来特特定用户户日后就就能通过过网络访问问到本地地系统中中的共享享资源了了，而其其他用户户是无法法通过网网络进行行共享访访问操作作的。5、让共享享访问时时正常输输入用户户名 在局域域网环境境中，当当我们尝尝试从其其中的一一台工作作站去访访问另外外一台工工作站中中的共享

15、享资源时时，屏幕幕上有时时会弹出出密码登登录对话话框，可可是在其其中我们们却无法法正确输输入用户户名，而而只能输输入访问问密码，这这么一来来我们就就无法使使用自己己的帐号号访问对对方的共共享资源源。遇到到这种共共享访问问故障现现象时，我我们究竟竟该怎样样进行应应对呢? 事实上上，这种种现象多多半是系系统的组组策略设设置不当当造成的的，此时时我们不不妨按照照下面步步骤来修修改一下下系统组组策略: 网管管网wwww_bbitsscn_comm 依次单单击“开开始”/“运行行”命令令，打开开系统的的运行对对话框，然然后在其其中输入入系统组组策略编编辑字符符串命令令“gppediit.mmsc”，单单

16、击该对对话框中中的“确确定”按按钮后，进进入到本本地计算算机的系系统组策策略编辑辑窗口; 用鼠标标展开该该编辑窗窗口左侧侧显示区区域的“计计算机配配置”策策略分支支，在对对应该分分支选项项下面依依次用鼠鼠标双击击“Wiindoows设设置/安安全设置置/本地地策略/安全选选项”项项目，在在“安全全选项”项项目所对对应的右右侧显示示窗格中中，找到到“网络络访问:本地帐帐户的共共享和安安全模式式”选项项并用鼠鼠标右键键单击之之，从弹弹出的快快捷菜单单中执行行“属性性”命令令，打开开如图55所示的的目标策策略属性性设置界界面;在在该设置置界面中中，看看看“网络络访问:本地帐帐户的共共享和安安全模式式

17、”策略略此时是是否已被被设置成成“经典典本地地用户以以自己的的身份验验证”，如如果不是是的话，必必须及时时将它修修改过来来，最后后单击“确确定”按按钮，这这样一来来我们日日后再次次进行共共享访问问操作时时，就能能正常输输入共享享访问帐帐号名称称进行共共享资源源的访问问操作了了。 图5 网管管u家wwww.bittscnn.neet 6、及及时记录录用户共共享访问问痕迹 网管朋朋友网wwww_bittscnn_neet 为了防防止一些些心术不不正的局局域网用用户在对对共享文文件夹的的访问过过程中，做做出对目目标共享享资源不不利的事事情出来来，我们们应该想想个办法法跟踪任任何一位位访问目目标共享享

18、资源的的局域网网用户，并并对他们们的共享享访问痕痕迹进行行自动记记录;以以后一旦旦遇到共共享资源源中的隐隐私信息息被破坏坏或转移移时，我我们可以以查看相相应的日日志记录录，就能能将“罪罪槐祸首首”轻松松找到。事事实上，通通过下面面的步骤骤我们就就可以及及时记录录用户共共享访问问痕迹了了: 网网管网wwww.bittscnn.coom 首先进进入系统统资源管管理器界界面，找找到目标标共享文文件夹并并用鼠标标右击之之，执行行快捷菜菜单中的的“属性性”菜单单命令，打打开目标标共享文文件夹的的属性设设置窗口口;单击击其中的的“安全全”选项项卡，并并在对应应的选项项设置页页面中单单击一下下“高级级”按钮

19、钮，进入入共享文文件夹的的高级安安全设置置页面，单单击该页页面中的的“审核核”标签签，再在在对应标标签页面面中单击击“添加加”按钮钮。随后后，计算算机将自自动显示示出本地地系统中中所有用用户帐号号，此时时我们可可以将有有权访问问该共享享文件夹夹的用户户帐号选选中，再再单击“确确定”按按钮;在在其后弹弹出的审审核选项项设置界界面中，我我们可以以按需选选择一些些失败和和成功的的审核项项目，最最后单击击“确定定”按钮钮退出共共享文件件夹属性性设置界界面。 接下来来依次单单击“开开始”/“运行行”命令令，打开开系统的的运行对对话框，然然后在其其中输入入系统组组策略编编辑字符符串命令令“gppediit

20、.mmsc”，单单击该对对话框中中的“确确定”按按钮后，进进入到本本地计算算机的系系统组策策略编辑辑窗口。 用鼠标标展开该该编辑窗窗口左侧侧显示区区域的“计计算机配配置”策策略分支支，在对对应该分分支选项项下面依依次用鼠鼠标双击击“Wiindoows设设置/安安全设置置/本地地策略/审核策策略”项项目，在在“审核核策略”项项目所对对应的右右侧显示示窗格中中，找到到“审核核对象访访问”选选项并用用鼠标右右键单击击之，从从弹出的的快捷菜菜单中执执行“属属性”命命令，打打开如图图6所示示的目标标策略属属性设置置界面; 图6 网管管论坛bbbs_bittsCNN_coom 在该设设置界面面中，选选中其中中的“成成功”项项目或“失失败”项项目，再再单击“确确定”按按钮;以以后我们们要是发发现目标标共享文文件夹遇遇到安全全威胁现现象时，就就可以打打开系统统的日志志记录，来来查看事事件IDD标号为为“5664”、“5562”、“5560”的的相关日日志记录录了，从从中就能能发现破破坏共享享文件夹夹安全的的“罪槐槐祸首”了了。