組策略解決共享訪問五大稀奇難題

1、為了充分發(fā)揮網(wǎng)絡(luò)作用，現(xiàn)在許多單位的重要信息都開始發(fā)布到局域網(wǎng)中，單位中的所有員工都可以通過共享訪問方式來快速、及時(shí)瀏覽它們。然而許多員工在嘗試訪問單位共享信息的時(shí)候，經(jīng)常會(huì)遭遇一些稀奇古怪的共享訪問麻煩，甚至?xí)龅揭恍┠涿畹墓蚕碓L問故障，面對(duì)這些共享訪問麻煩、故障，許多員工常常手無足措，根本不知道該如何進(jìn)行有效應(yīng)對(duì)!其實(shí)對(duì)于許多共享訪問麻煩或故障來說，我們只要巧妙地修改系統(tǒng)組策略，就能輕易將它們給解決了!共享難題1、無法輸入共享訪問帳號(hào)名稱在單位局域網(wǎng)網(wǎng)絡(luò)中，當(dāng)員工嘗試從自己的工作站系統(tǒng)中去訪問另外局域網(wǎng)中的另外一臺(tái)工作站中的重要共享信息時(shí)，系統(tǒng)屏幕上可能會(huì)出現(xiàn)一個(gè)共享訪問登錄設(shè)置框，原

2、本員工只要正確輸入共享訪問帳號(hào)名稱以及密碼信息，就能打開對(duì)方工作站的共享文件夾窗口，并進(jìn)行共享資源的訪問了;可實(shí)際上，有的員工會(huì)發(fā)現(xiàn)用戶名信息有時(shí)無法輸入，那樣的話員工就不能使用自己的共享訪問帳號(hào)來訪問目標(biāo)共享資源了。面對(duì)類似這種現(xiàn)象的共享訪問難題時(shí)，我們?cè)摬扇∈裁崔k法來幫助這位員工正確輸入自己的帳號(hào)名稱進(jìn)行共享訪問呢?一旦不幸遇到這樣的共享訪問難題時(shí)，多半是員工本地工作站系統(tǒng)的組策略沒有設(shè)置正確引起的，這個(gè)時(shí)候我們只要按照如下步驟來編輯組策略就可以了：首先在本地工作站系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.

3、msc”字符串命令，并單擊回車鍵，打開系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”項(xiàng)目，打開如圖1所示的“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”組策略屬性窗口。 在該屬性窗口中，仔細(xì)檢查“經(jīng)典本地用戶以自己的身份驗(yàn)證”選項(xiàng)是否被選中，要是發(fā)現(xiàn)該選項(xiàng)沒有被選中的話，我們就應(yīng)該及時(shí)將它選中，同時(shí)單擊該屬性窗口中的“確定”按鈕，那樣的話無法輸入共享訪問帳號(hào)名稱的難題就能被順利

4、地解決了。共享難題2、非法用戶隨意進(jìn)行共享訪問很多場合下，單位領(lǐng)導(dǎo)都希望只有特殊權(quán)限的員工才能通過局域網(wǎng)網(wǎng)絡(luò)訪問到單位發(fā)布出來的重要共享信息，而不希望單位普通員工甚至有一定權(quán)限的高級(jí)用戶隨意訪問重要的共享信息。但實(shí)際上，一旦我們把重要共享信息發(fā)布到網(wǎng)絡(luò)中后，在默認(rèn)狀態(tài)下基本上所有局域網(wǎng)員工都能訪問到這些重要的共享信息;那么我們能否經(jīng)過合適限制，讓普通員工或非法用戶不能隨意訪問局域網(wǎng)中的重要共享信息呢?答案是肯定的，我們可以通過編輯系統(tǒng)組策略中的相關(guān)選項(xiàng)參數(shù)，來禁止非法用戶隨意進(jìn)行共享訪問：首先在保存有共享資源的工作站系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工

5、作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車鍵，打開系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶權(quán)利指派”子項(xiàng)，在對(duì)應(yīng)“用戶權(quán)利指派”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”項(xiàng)目，打開如圖2所示的“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”組策略屬性窗口;下面再在該屬性窗口中，將Guest、EVEryone之類的默認(rèn)訪問帳號(hào)依次選中并執(zhí)行刪除操作，之后再單擊對(duì)應(yīng)屬性窗口中的“添加用戶或組”按鈕，進(jìn)入“選擇用戶或組”設(shè)置對(duì)話框，在其中將特殊權(quán)

6、限的員工帳號(hào)逐一添加進(jìn)來，在相關(guān)帳號(hào)正確導(dǎo)入后再單擊“確定”按鈕，如此一來局域網(wǎng)中的非法用戶就不能通過網(wǎng)絡(luò)訪問對(duì)應(yīng)工作站中的重要共享資源了。 共享難題3、匿名用戶訪問內(nèi)容無法限制在缺省狀態(tài)下，安裝了Windows XP系統(tǒng)的工作站能夠允許員工以匿名帳號(hào)訪問該工作站中的許多共享信息，很明顯這會(huì)影響本地工作站中的信息安全。那么我們能否對(duì)匿名用戶的訪問權(quán)限進(jìn)行適當(dāng)限制，讓匿名帳號(hào)只能訪問我們事先分配給它們的指定共享內(nèi)容呢?答案是肯定的!例如，假設(shè)我們要求匿名帳號(hào)只能訪問本地工作站中的“X:share”共享文件夾，而不能訪問其他共享文件夾時(shí)，我們可以按照如下步驟來設(shè)置系統(tǒng)的組策略參數(shù)：首先在保存有共享

7、資源的工作站系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車鍵，打開系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”的右側(cè)顯示區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪問：可匿名訪問的共享”組策略選項(xiàng)，打開如圖3所示的“網(wǎng)絡(luò)訪問：可匿名訪問的共享”選項(xiàng)設(shè)置界面; 下面再在該設(shè)置窗口中，將本地工作站缺省允許訪問的共享資源一一刪除;緊接著，將我們事先指定

8、的“X:share”共享文件夾路徑填寫在這里，再單擊“確定”按鈕，如此一來單位員工日后以匿名帳號(hào)訪問本地工作站系統(tǒng)時(shí)，只能看到“X:share”共享文件夾中的資源了。當(dāng)然，在將“X:share”文件夾的訪問權(quán)限向匿名帳號(hào)開放之前，我們還需要對(duì)目標(biāo)共享文件夾的訪問屬性進(jìn)行修改，讓其訪問權(quán)限調(diào)整為“讀取”，以便保證匿名帳號(hào)不能隨意修改或刪除目標(biāo)共享文件夾中的內(nèi)容。大家知道，在缺省狀態(tài)下匿名帳號(hào)擁有的訪問權(quán)限幾乎與Everyone帳號(hào)是相同的，也就是說我們要是賦予了EVEryone帳號(hào)相對(duì)高一些的訪問權(quán)限時(shí)，那么匿名帳號(hào)的訪問權(quán)限也會(huì)隨之提高，很明顯這會(huì)給共享資源的安全訪問帶來不小的挑戰(zhàn)。為了保證共

9、享資源的安全性，我們完全可以通過如下設(shè)置操作，來禁止使用匿名帳號(hào)：首先在本地工作站系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車鍵，打開系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪問：讓每個(gè)人權(quán)限應(yīng)用于匿名用戶”組策略選項(xiàng)，在其后出現(xiàn)的組策略屬性窗口中看看“網(wǎng)絡(luò)訪問：讓每個(gè)人權(quán)限應(yīng)用于匿名用戶

10、”是否處于啟用狀態(tài)，如果該組策略選項(xiàng)被啟動(dòng)的話，我們應(yīng)該將它調(diào)整為“已停用”，并單擊“確定”按鈕結(jié)束組策略屬性設(shè)置操作。共享難題4、共享訪問痕跡無法及時(shí)捕獲許多心術(shù)不正的單位員工在訪問局域網(wǎng)中的目標(biāo)共享文件夾時(shí)，可能會(huì)對(duì)目標(biāo)共享文件夾做出不利的舉動(dòng)出來，可惜的是系統(tǒng)在默認(rèn)狀態(tài)下不會(huì)自動(dòng)對(duì)共享訪問操作進(jìn)行追蹤、記錄，那么我們就無法在第一時(shí)間捕捉到非法共享訪問痕跡，這樣的話我們就不能及時(shí)采取對(duì)應(yīng)措施來保護(hù)共享資源的訪問安全性。其實(shí)，要讓本地工作站系統(tǒng)自動(dòng)捕獲共享訪問痕跡，我們只要按照如下操作設(shè)置一下系統(tǒng)組策略參數(shù)就可以了：首先在本地工作站系統(tǒng)中依次單擊“開始”/“程序”/“附件”/“Windows

11、資源管理器”命令，在彈出的資源管理器窗口中，用鼠標(biāo)右鍵單擊目標(biāo)共享文件夾，從彈出的右鍵菜單中執(zhí)行“屬性”命令，進(jìn)入目標(biāo)共享資源的屬性界面;在該屬性界面中單擊“安全”標(biāo)簽，再單擊對(duì)應(yīng)標(biāo)簽頁面中的“高級(jí)”按鈕，打開目標(biāo)共享資源的高級(jí)安全對(duì)話框;在該安全對(duì)話框中單擊“審核”標(biāo)簽，再單擊其后頁面中的“添加”按鈕。下面，我們從用戶帳號(hào)列表窗口中，選中那些能夠訪問目標(biāo)共享資源的所有用戶帳號(hào)，再單擊“確定”按鈕;當(dāng)屏幕出現(xiàn)審核選項(xiàng)設(shè)置對(duì)話框時(shí)，我們可以根據(jù)實(shí)際需要挑選一些失敗和成功的審核選項(xiàng)，再單擊“確定”按鈕結(jié)束目標(biāo)共享資源的屬性設(shè)置操作。下面在本地工作站系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中

12、選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車鍵，打開系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”子項(xiàng)，在對(duì)應(yīng)“審核策略”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“審核對(duì)象訪問”組策略選項(xiàng)，打開如圖4所示的“審核對(duì)象訪問”屬性設(shè)置窗口; 之后，選中該屬性設(shè)置窗口中的“成功”或“失敗”選項(xiàng)，再單擊一下“確定”按鈕;我們?nèi)蘸笠坏┌l(fā)現(xiàn)目標(biāo)共享資源遇到非法訪問現(xiàn)象時(shí)，只要打開本地工作站系統(tǒng)的日志記錄，通過查看標(biāo)識(shí)號(hào)為

13、560、562、564之類的事件日志記錄，就能找到非法訪問痕跡了。 共享難題5、特權(quán)帳號(hào)受到非法偷竊使用一些非法攻擊者或黑客有時(shí)會(huì)利用系統(tǒng)管理員帳號(hào)的SID標(biāo)識(shí)，來得到系統(tǒng)管理員的用戶名信息，之后再用系統(tǒng)管理員的真實(shí)帳號(hào)嘗試去訪問目標(biāo)工作站系統(tǒng)中的共享資源，最終獲得對(duì)應(yīng)工作站的所有訪問權(quán)限，很顯然一旦特權(quán)帳號(hào)受到非法偷竊使用，那么對(duì)應(yīng)系統(tǒng)中的共享訪問安全性將會(huì)受到極大挑戰(zhàn)。為了保護(hù)共享資源的訪問安全性，我們可以想辦法阻止非法攻擊者或黑客利用SID標(biāo)識(shí)來獲取系統(tǒng)管理員的用戶名稱信息，下面的方法其實(shí)就是通過修改系統(tǒng)組策略來完成的：首先在本地工作站系統(tǒng)桌面中單擊“開始”按鈕，從彈出的“開始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車鍵，打開系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換