用组策略管理网络共享40231.docx

《用组策略管理网络共享40231.docx》由会员分享，可在线阅读，更多相关《用组策略管理网络共享40231.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、用组策略管理网络共享在局域网环环境中，为为了方便与与他人交流流信息，我我们常常会会将自己计计算机中的的一些重要要信息共享享出来，以以便于局域域网其他用用户调用。不不过在共享享访问过程程中，我们们常常会受受到一些安安全攻击或或者遇到一一些共享访访问故障;为了提高高共享访问问效率，减减少共享安安全隐患，我我们往往需需要学会一一些共享资资源控制、管管理技巧。这这不，本文文下面就从从系统组策策略出发，为为各位推荐荐几则管理理、控制共共享资源的的技巧，相相信各位在在下面技巧巧的“指挥挥”下一定定能精彩进进行共享访访问操作! 1、剥剥夺匿名用用户共享访访问权限 在安装装有Winndowss XP系系统的工

2、作作站中，匿匿名用户在在默认状态态下往往会会拥有与EEveryyone帐帐号一样的的访问权限限，要是我我们不小心心给Eveeryonne帐号赋赋予比较高高的共享访访问权限时时，那么匿匿名用户随随之也会拥拥有比较高高的共享访访问权限，这这显然会给给共享访问问带来很大大的安全隐隐患。为了了确保文件件夹共享访访问的绝对对安全性，我我们有必要要通过修改改系统组策策略的方法法，最大限限度剥夺匿匿名用户的的共享访问问权限，下下面就是具具体的设置置方法: 首先单单击系统桌桌面中的“开开始”按钮钮，在弹出出的系统“开开始”菜单单中选择“运运行”项目目，打开系系统的运行行对话框，然然后在其中中输入系统统组策略编

3、编辑字符串串命令“ggpediit.mssc”，单单击该对话话框中的“确确定”按钮钮后，进入入到本地计计算机的系系统组策略略编辑窗口口; 网管管联盟biitsCNN_comm 在该编编辑窗口的的左侧列表表窗格中，用用鼠标展开开“计算机机配置”策策略分支，在在对应该分分支选项下下面依次用用鼠标双击击“Winndowss设置/安安全设置/本地策略略/安全选选项”项目目，在“安安全选项”项项目所对应应的右侧显显示窗格中中，找到“网络访问:让每个人权限应用于匿名用户”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图1所示的目标策略属性设置界面; 网管网www_bitscn_com

4、图1 在该设设置界面中中，检查一一下“网络络访问:让让每个人权权限应用于于匿名用户户”此时的的策略是否否已经处于于“已启用用”状态，一一旦发现该该目标策略略已经被启启动的话，我我们必须及及时将它设设置为“已已停用”，最最后单击“确确定”按钮钮，那么匿匿名用户日日后在尝试试共享访问问操作时由由于无法获获得足够权权限，从而而无法对共共享访问带带来潜在安安全威胁。当当然，为安安全、稳妥妥起见，我我们也不应应该为本地地计算机的的Everryonee帐号授予予太高的共共享访问权权限。 2、限限定匿名用用户共享访访问内容 网管联盟盟bitssCN_ccom 在默认状态态下，Wiindowws XPP工作站

5、系系统会允许许匿名用户户访问本地地系统的不不少共享资资源，这显显然会给本本地计算机机的安全带带来一定的的威胁。为为了降低系系统的安全全威胁，我我们完全可可以限定匿匿名用户只只能访问本本地系统指指定的共享享文件夹，而而且在允许许匿名用户户访问该目目标共享文文件夹之前前，我们还还需要对其其NTFSS权限进行行合适设置置，确保匿匿名用户只只能对目标标共享文件件夹有最小小的操作权权限。例如如，假设我我们希望匿匿名用户只只能访问本本地系统FF盘中的“aaaa”共共享文件夹夹时，而无无权访问其其他共享资资源时，就就可以按照照如下操作作步骤来设设置系统组组策略:首先单单击系统桌桌面中的“开开始”按钮钮，在弹

6、出出的系统“开开始”菜单单中选择“运运行”项目目，打开系系统的运行行对话框，然然后在其中中输入系统统组策略编编辑字符串串命令“ggpediit.mssc”，单单击该对话话框中的“确确定”按钮钮后，进入入到本地计计算机的系系统组策略略编辑窗口口; 在该编编辑窗口的的左侧列表表窗格中，用用鼠标展开开“计算机机配置”策策略分支，在在对应该分分支选项下下面依次用用鼠标双击击“Winndowss设置/安安全设置/本地策略略/安全选选项”项目目，在“安安全选项”项项目所对应应的右侧显显示窗格中中，找到“网络访问:可匿名访问的共享”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图2所示的

7、目标策略属性设置界面; 图2 在该设设置界面中中，先将系系统默认允允许访问的的共享资源源全部选中中，并按一一下键盘上上的DELL键将它全全部删除干干净;之后后，根据实实际情况，将将那些的确确需要向匿匿名用户长长期开放的的目标共享享文件夹“FF:aaaa”添加加进来，再再单击“确确定”按钮钮，那么日日后匿名用用户只能访访问“F:aaaa”共享文文件夹中的的资源了。当当然，在将将“F:aaa”文文件夹向匿匿名用户开开放之前，我我们必须先先将该目标标文件夹的的NTFSS权限设置置成“读取取”，确保保匿名用户户对目标共共享文件夹夹拥有最小小的访问权权限。 完成上上面的操作作后，我们们还需要打打开“网络

8、络访问:可可匿名访问问的命名管管道”策略略的属性设设置窗口和和“网络访问:可远程访访问的注册册表路径”策策略的属性性设置窗口口，然后依依次将这两两个窗口中中多余的共共享资源项项目全部删删除掉，这这么一来匿匿名用户就就只能访问问指定的共共享文件夹夹了。 3、阻止非非法获取超超级帐号名名称 网管网wwww_bbitsccn_coom 我们知知道，不少少非法攻击击者常常通通过超级管管理员帐号号的SIDD标识，来来获取超级级帐号的管管理员名称称信息，然然后以管理理员真实名名称信息尝尝试登录 共享资资源所在的的计算机系系统，从而而获取对共共享资源的的最高控制制权限，很很明显这种种做法会对对本地共享享资源

9、的安安全造成极极大的威胁胁。有鉴于于此，我们们可以通过过修改系统统的组策略略，禁止非非法用户通通过SIDD来窃取超超级管理员员的真实名名称信息，下下面就是具具体的设置置方法: 网管朋友友网wwww_bittscn_net 依次单单击“开始始”/“运运行”命令令，打开系系统的运行行对话框，然然后在其中中输入系统统组策略编编辑字符串串命令“ggpediit.mssc”，单单击该对话话框中的“确确定”按钮钮后，进入入到本地计计算机的系系统组策略略编辑窗口口; 中国国网管联盟盟bitssCN.ccom 用鼠标标展开该编编辑窗口左左侧显示区区域的“计计算机配置置”策略分分支，在对对应该分支支选项下面面依

10、次用鼠鼠标双击“WWindoows设置置/安全设设置/本地地策略/安安全选项”项项目，在“安安全选项”项项目所对应应的右侧显显示窗格中中，找到“网络访问:允许匿名SID/名称转换”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图3所示的目标策略属性设置界面; 网管论坛bbs_bitsCN_com 图3 网管管下载 在该设设置界面中中，检查一一下“网络络访问:允允许匿名SSID/名名称转换”此此时的策略略是否已经经处于“已已启用”状状态，一旦旦发现该目目标策略已已经被启动动的话，我我们必须及及时将它设设置为“已已禁用”，最最后单击“确确定”按钮钮，那么非非法用户日日后就无法法

11、通过管理理员的SIID标识信信息获取管管理员的真真实名称信信息了，这这么一来本本地共享资资源受到非非法控制的的危险就会会大大下降降了。当然然，要是局局域网环境境有多个不不同版本的的工作站系系统时，禁禁用“网络络访问:允允许匿名SSID/名名称转换”这这个策略时时，就容易易导致共享享访问出现现一些莫名名其妙的问问题，这一一点大家需需要注意。 网管biitscnn_comm 4、限限定特定用用户进行共共享访问 有时候候，我们希希望只有指指定的用户户才能通过过网络访问本本地系统的的共享资源源，而严格格禁止包括括系统管理理员在内的的其他用户户随意通过过网络访问本本地资源时时，我们就就可以按照照如下方法

12、法设置系统统组策略，来来限定特定定用户进行行共享访问问: 网管管联盟biitsCNNcomm 依次单单击“开始始”/“运运行”命令令，打开系系统的运行行对话框，然然后在其中中输入系统统组策略编编辑字符串串命令“ggpediit.mssc”，单单击该对话话框中的“确确定”按钮钮后，进入入到本地计计算机的系系统组策略略编辑窗口口; 用鼠标标展开该编编辑窗口左左侧显示区区域的“计计算机配置置”策略分分支，在对对应该分支支选项下面面依次用鼠鼠标双击“WWindoows设置置/安全设设置/本地地策略/用用户权利指指派”项目目，在“用用户权利指指派”项目目所对应的的右侧显示示窗格中，找找到“从网网络访问此

13、此计算机”选选项并用鼠鼠标右键单单击之，从从弹出的快快捷菜单中中执行“属属性”命令令，打开如如图4所示示的目标策策略属性设设置界面; 网管朋朋友网wwww_biitscnn_nett 图4 网管管联盟biitsCNNcomm 在该设设置界面中中，先将默默认存在的的Guesst帐号、EEveryyone帐帐号选中并并删除，然然后单击“添添加用户或或组”按钮钮，打开一一个标题为为“选择用用户或组”的的设置窗口口，在其中中将指定的的用户帐号号添加进来来，最后单单击“确定定”按钮，这这么一来特特定用户日日后就能通通过网络访问到到本地系统统中的共享享资源了，而而其他用户户是无法通通过网络进行共共享访问操

14、操作的。5、让共享享访问时正正常输入用用户名 在局域域网环境中中，当我们们尝试从其其中的一台台工作站去去访问另外外一台工作作站中的共共享资源时时，屏幕上上有时会弹弹出密码登登录对话框框，可是在在其中我们们却无法正正确输入用用户名，而而只能输入入访问密码码，这么一一来我们就就无法使用用自己的帐帐号访问对对方的共享享资源。遇遇到这种共共享访问故故障现象时时，我们究究竟该怎样样进行应对对呢? 事实上上，这种现现象多半是是系统的组组策略设置置不当造成成的，此时时我们不妨妨按照下面面步骤来修修改一下系系统组策略略: 网管管网wwww_bittscn_com 依次单单击“开始始”/“运运行”命令令，打开系

15、系统的运行行对话框，然然后在其中中输入系统统组策略编编辑字符串串命令“ggpediit.mssc”，单单击该对话话框中的“确确定”按钮钮后，进入入到本地计计算机的系系统组策略略编辑窗口口; 用鼠标标展开该编编辑窗口左左侧显示区区域的“计计算机配置置”策略分分支，在对对应该分支支选项下面面依次用鼠鼠标双击“WWindoows设置置/安全设设置/本地地策略/安安全选项”项项目，在“安安全选项”项项目所对应应的右侧显显示窗格中中，找到“网络访问:本地帐户的共享和安全模式”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图5所示的目标策略属性设置界面;在该设置界面中，看看“网络访问:

16、本地帐户的共享和安全模式”策略此时是否已被设置成“经典本地用户以自己的身份验证”，如果不是的话，必须及时将它修改过来，最后单击“确定”按钮，这样一来我们日后再次进行共享访问操作时，就能正常输入共享访问帐号名称进行共享资源的访问操作了。 图5 网管管u家t 6、及及时记录用用户共享访访问痕迹 网管朋友友网wwww_bittscn_net 为了防防止一些心心术不正的的局域网用用户在对共共享文件夹夹的访问过过程中，做做出对目标标共享资源源不利的事事情出来，我我们应该想想个办法跟跟踪任何一一位访问目目标共享资资源的局域域网用户，并并对他们的的共享访问问痕迹进行行自动记录录;以后一一旦遇到共共享资源中中

17、的隐私信信息被破坏坏或转移时时，我们可可以查看相相应的日志志记录，就就能将“罪罪槐祸首”轻轻松找到。事事实上，通通过下面的的步骤我们们就可以及及时记录用用户共享访访问痕迹了了: 网管管网 首先进进入系统资资源管理器器界面，找找到目标共共享文件夹夹并用鼠标标右击之，执执行快捷菜菜单中的“属属性”菜单单命令，打打开目标共共享文件夹夹的属性设设置窗口;单击其中中的“安全全”选项卡卡，并在对对应的选项项设置页面面中单击一一下“高级级”按钮，进进入共享文文件夹的高高级安全设设置页面，单单击该页面面中的“审审核”标签签，再在对对应标签页页面中单击击“添加”按按钮。随后后，计算机机将自动显显示出本地地系统中

18、所所有用户帐帐号，此时时我们可以以将有权访访问该共享享文件夹的的用户帐号号选中，再再单击“确确定”按钮钮;在其后后弹出的审审核选项设设置界面中中，我们可可以按需选选择一些失失败和成功功的审核项项目，最后后单击“确确定”按钮钮退出共享享文件夹属属性设置界界面。 接下来来依次单击击“开始”/“运行”命命令，打开开系统的运运行对话框框，然后在在其中输入入系统组策策略编辑字字符串命令令“gpeedit.msc”，单单击该对话话框中的“确确定”按钮钮后，进入入到本地计计算机的系系统组策略略编辑窗口口。 用鼠标标展开该编编辑窗口左左侧显示区区域的“计计算机配置置”策略分分支，在对对应该分支支选项下面面依次

19、用鼠鼠标双击“WWindoows设置置/安全设设置/本地地策略/审审核策略”项项目，在“审审核策略”项项目所对应应的右侧显显示窗格中中，找到“审审核对象访访问”选项项并用鼠标标右键单击击之，从弹弹出的快捷捷菜单中执执行“属性性”命令，打打开如图66所示的目目标策略属属性设置界界面; 图6 网管管论坛bbbs_biitsCNN_comm 在该设设置界面中中，选中其其中的“成成功”项目目或“失败败”项目，再再单击“确确定”按钮钮;以后我我们要是发发现目标共共享文件夹夹遇到安全全威胁现象象时，就可可以打开系系统的日志志记录，来来查看事件件ID标号号为“5664”、“5562”、“5560”的的相关日志志记录了，从从中就能发发现破坏共共享文件夹夹安全的“罪罪槐祸首”了了。