用組策略管理網(wǎng)絡(luò)共享

1、用組策略管理網(wǎng)絡(luò)共享在局域網(wǎng)環(huán)境中，為了方便與他人交流信息，我們常常會將自己計算機中的一些重要信息共享出來，以便于局域網(wǎng)其他用戶調(diào)用。不過在共享訪問過程中，我們常常會受到一些安全攻擊或者遇到一些共享訪問故障;為了提高共享訪問效率，減少共享安全隱患，我們往往需要學(xué)會一些共享資源控制、管理技巧。這不，本文下面就從系統(tǒng)組策略出發(fā)，為各位推薦幾則管理、控制共享資源的技巧，相信各位在下面技巧的“指揮”下一定能精彩進行共享訪問操作! 1、剝奪匿名用戶共享訪問權(quán)限 在安安裝有WWinddowss XPP系統(tǒng)的的工作站站中，匿匿名用戶戶在默認認狀態(tài)下下往往會會擁有與與Eveeryoone帳帳號一樣樣的訪問問權(quán)

2、限，要是我我們不小小心給EEverryonne帳號號賦予比比較高的的共享訪訪問權(quán)限限時，那那么匿名名用戶隨隨之也會會擁有比比較高的的共享訪訪問權(quán)限限，這顯顯然會給給共享訪訪問帶來來很大的的安全隱隱患。為為了確保保文件夾夾共享訪訪問的絕絕對安全全性，我我們有必必要通過過修改系系統(tǒng)組策策略的方方法，最最大限度度剝奪匿匿名用戶戶的共享享訪問權(quán)權(quán)限，下下面就是是具體的的設(shè)置方方法: 首先先單擊系系統(tǒng)桌面面中的“開始”按鈕，在彈出出的系統(tǒng)統(tǒng)“開始始”菜單單中選擇擇“運行行”項目目，打開開系統(tǒng)的的運行對對話框，然后在在其中輸輸入系統(tǒng)統(tǒng)組策略略編輯字字符串命命令“ggpeddit.mscc”，單單擊該對對話

3、框中中的“確確定”按按鈕后，進入到到本地計計算機的的系統(tǒng)組組策略編編輯窗口口; 網(wǎng)網(wǎng)管聯(lián)盟盟bittsCNN_coom 在該該編輯窗窗口的左左側(cè)列表表窗格中中，用鼠鼠標(biāo)展開開“計算算機配置置”策略略分支，在對應(yīng)應(yīng)該分支支選項下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項項”項目目，在“安全選選項”項項目所對對應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問:讓每個個人權(quán)限限應(yīng)用于于匿名用用戶”選選項并用用鼠標(biāo)右右鍵單擊擊之，從從彈出的的快捷菜菜單中執(zhí)執(zhí)行“屬屬性”命命令，打打開如圖圖1所示示的目標(biāo)標(biāo)策略屬屬性設(shè)置置界

4、面; 網(wǎng)管管網(wǎng)wwww_bbitsscn_comm 圖1 在該該設(shè)置界界面中，檢查一一下“ HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問問:讓每每個人權(quán)權(quán)限應(yīng)用用于匿名名用戶”此時的的策略是是否已經(jīng)經(jīng)處于“已啟用用”狀態(tài)態(tài)，一旦旦發(fā)現(xiàn)該該目標(biāo)策策略已經(jīng)經(jīng)被啟動動的話，我們必必須及時時將它設(shè)設(shè)置為“已停用用”，最最后單擊擊“確定定”按鈕鈕，那么么匿名用用戶日后后在嘗試試共享訪訪問操作作時由于于無法獲獲得足夠夠權(quán)限，從而無無法對共共享訪問問帶來潛潛在安全全威脅。當(dāng)然，為安全全、穩(wěn)妥妥起見，我們也也不應(yīng)該該為本地地計算機機的Evveryyonee帳號授授予太高高的共享享訪問權(quán)權(quán)限。 2、限定匿

5、匿名用戶戶共享訪訪問內(nèi)容容 網(wǎng)管聯(lián)聯(lián)盟biitsCCN_ccom 在默認狀狀態(tài)下，Winndowws XXP工作作站系統(tǒng)統(tǒng)會允許許匿名用用戶訪問問本地系系統(tǒng)的不不少共享享資源，這顯然然會給本本地計算算機的安安全帶來來一定的的威脅。為了降降低系統(tǒng)統(tǒng)的安全全威脅，我們完完全可以以限定匿匿名用戶戶只能訪訪問本地地系統(tǒng)指指定的共共享文件件夾，而而且在允允許匿名名用戶訪訪問該目目標(biāo)共享享文件夾夾之前，我們還還需要對對其NTTFS權(quán)權(quán)限進行行合適設(shè)設(shè)置，確確保匿名名用戶只只能對目目標(biāo)共享享文件夾夾有最小小的操作作權(quán)限。例如，假設(shè)我我們希望望匿名用用戶只能能訪問本本地系統(tǒng)統(tǒng)F盤中中的“aaaa”共享文文件夾

6、時時，而無無權(quán)訪問問其他共共享資源源時，就就可以按按照如下下操作步步驟來設(shè)設(shè)置系統(tǒng)統(tǒng)組策略略:首先先單擊系系統(tǒng)桌面面中的“開始”按鈕，在彈出出的系統(tǒng)統(tǒng)“開始始”菜單單中選擇擇“運行行”項目目，打開開系統(tǒng)的的運行對對話框，然后在在其中輸輸入系統(tǒng)統(tǒng)組策略略編輯字字符串命命令“ggpeddit.mscc”，單單擊該對對話框中中的“確確定”按按鈕后，進入到到本地計計算機的的系統(tǒng)組組策略編編輯窗口口; 在該該編輯窗窗口的左左側(cè)列表表窗格中中，用鼠鼠標(biāo)展開開“計算算機配置置”策略略分支，在對應(yīng)應(yīng)該分支支選項下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項項”項目目，在

7、“安全選選項”項項目所對對應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問:可匿名名訪問的的共享”選項并并用鼠標(biāo)標(biāo)右鍵單單擊之，從彈出出的快捷捷菜單中中執(zhí)行“屬性”命令，打開如如圖2所所示的目目標(biāo)策略略屬性設(shè)設(shè)置界面面; 圖2 在該該設(shè)置界界面中，先將系系統(tǒng)默認認允許訪訪問的共共享資源源全部選選中，并并按一下下鍵盤上上的DEEL鍵將將它全部部刪除干干凈;之之后，根根據(jù)實際際情況，將那些些的確需需要向匿匿名用戶戶長期開開放的目目標(biāo)共享享文件夾夾“F:aaaa”添添加進來來，再單單擊“確確定”按按鈕，那那么日后后匿名用用戶只能能訪問“F:aaaa”共享享文件夾

8、夾中的資資源了。當(dāng)然，在將“F:aaaa”文件件夾向匿匿名用戶戶開放之之前，我我們必須須先將該該目標(biāo)文文件夾的的NTFFS權(quán)限限設(shè)置成成“讀取取”，確確保匿名名用戶對對目標(biāo)共共享文件件夾擁有有最小的的訪問權(quán)權(quán)限。 完成成上面的的操作后后，我們們還需要要打開“ HYPERLINK /network/ 網(wǎng)絡(luò)訪問問:可匿匿名訪問問的命名名管道”策略的的屬性設(shè)設(shè)置窗口口和“ HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問問:可遠遠程訪問問的注冊冊表路徑徑”策略略的屬性性設(shè)置窗窗口，然然后依次次將這兩兩個窗口口中多余余的共享享資源項項目全部部刪除掉掉，這么么一來匿匿名用戶戶就只能能訪問指指定的共共享

9、文件件夾了。 3、阻止止非法獲獲取超級級帳號名名稱 網(wǎng)管網(wǎng)網(wǎng)wwww_biitsccn_ccom 我們們知道，不少非非法攻擊擊者常常常通過超超級管理理員帳號號的SIID標(biāo)識識，來獲獲取超級級帳號的的管理員員名稱信信息，然然后以管管理員真真實名稱稱信息嘗嘗試登錄錄 共享享資源所所在的計計算機系系統(tǒng)，從從而獲取取對共享享資源的的最高控控制權(quán)限限，很明明顯這種種做法會會對本地地共享資資源的安安全造成成極大的的威脅。有鑒于于此，我我們可以以通過修修改系統(tǒng)統(tǒng)的組策策略，禁禁止非法法用戶通通過SIID來竊竊取超級級管理員員的真實實名稱信信息，下下面就是是具體的的設(shè)置方方法: 網(wǎng)管朋朋友網(wǎng)wwww_bitt

10、scnn_neet 依次次單擊“開始”/“運運行”命命令，打打開系統(tǒng)統(tǒng)的運行行對話框框，然后后在其中中輸入系系統(tǒng)組策策略編輯輯字符串串命令“gpeeditt.mssc”，單擊該該對話框框中的“確定”按鈕后后，進入入到本地地計算機機的系統(tǒng)統(tǒng)組策略略編輯窗窗口; 中國網(wǎng)網(wǎng)管聯(lián)盟盟bittsCNN.coom 用鼠鼠標(biāo)展開開該編輯輯窗口左左側(cè)顯示示區(qū)域的的“計算算機配置置”策略略分支，在對應(yīng)應(yīng)該分支支選項下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項項”項目目，在“安全選選項”項項目所對對應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/

11、 網(wǎng)絡(luò)絡(luò)訪問:允許匿匿名SIID/名名稱轉(zhuǎn)換換”選項項并用鼠鼠標(biāo)右鍵鍵單擊之之，從彈彈出的快快捷菜單單中執(zhí)行行“屬性性”命令令，打開開如圖33所示的的目標(biāo)策策略屬性性設(shè)置界界面; 網(wǎng)管論論壇bbbs_bbitssCN_comm 圖3 網(wǎng)網(wǎng)管下載載dl.bittscnn.coom 在該該設(shè)置界界面中，檢查一一下“ HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問問:允許許匿名SSID/名稱轉(zhuǎn)轉(zhuǎn)換”此此時的策策略是否否已經(jīng)處處于“已已啟用”狀態(tài)，一旦發(fā)發(fā)現(xiàn)該目目標(biāo)策略略已經(jīng)被被啟動的的話，我我們必須須及時將將它設(shè)置置為“已已禁用”，最后后單擊“確定”按鈕，那么非非法用戶戶日后就就無法通通過管理理

12、員的SSID標(biāo)標(biāo)識信息息獲取管管理員的的真實名名稱信息息了，這這么一來來本地共共享資源源受到非非法控制制的危險險就會大大大下降降了。當(dāng)當(dāng)然，要要是局域域網(wǎng)環(huán)境境有多個個不同版版本的工工作站系系統(tǒng)時，禁用“ HYPERLINK /network/ 網(wǎng)絡(luò)訪問問:允許許匿名SSID/名稱轉(zhuǎn)轉(zhuǎn)換”這這個策略略時，就就容易導(dǎo)導(dǎo)致共享享訪問出出現(xiàn)一些些莫名其其妙的問問題，這這一點大大家需要要注意。 網(wǎng)管管bittscnn_coom 4、限定特特定用戶戶進行共共享訪問問 有時時候，我我們希望望只有指指定的用用戶才能能通過 HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)訪問問本地系系統(tǒng)的共共享資源源，而嚴嚴格

13、禁止止包括系系統(tǒng)管理理員在內(nèi)內(nèi)的其他他用戶隨隨意通過過 HYPERLINK /network/ 網(wǎng)絡(luò)訪問問本地資資源時，我們就就可以按按照如下下方法設(shè)設(shè)置系統(tǒng)統(tǒng)組策略略，來限限定特定定用戶進進行共享享訪問: 網(wǎng)管管聯(lián)盟bbitssCNcomm 依次次單擊“開始”/“運運行”命命令，打打開系統(tǒng)統(tǒng)的運行行對話框框，然后后在其中中輸入系系統(tǒng)組策策略編輯輯字符串串命令“gpeeditt.mssc”，單擊該該對話框框中的“確定”按鈕后后，進入入到本地地計算機機的系統(tǒng)統(tǒng)組策略略編輯窗窗口; 用鼠鼠標(biāo)展開開該編輯輯窗口左左側(cè)顯示示區(qū)域的的“計算算機配置置”策略略分支，在對應(yīng)應(yīng)該分支支選項下下面依次次用鼠標(biāo)標(biāo)

14、雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/用用戶權(quán)利利指派”項目，在“用用戶權(quán)利利指派”項目所所對應(yīng)的的右側(cè)顯顯示窗格格中，找找到“從從 HYPERLINK /network/ 網(wǎng)絡(luò)訪問問此計算算機”選選項并用用鼠標(biāo)右右鍵單擊擊之，從從彈出的的快捷菜菜單中執(zhí)執(zhí)行“屬屬性”命命令，打打開如圖圖4所示示的目標(biāo)標(biāo)策略屬屬性設(shè)置置界面; 網(wǎng)管管朋友網(wǎng)網(wǎng)wwww_biitsccn_nnet 圖4 網(wǎng)網(wǎng)管聯(lián)盟盟bittsCNNcoom 在該該設(shè)置界界面中，先將默默認存在在的Guuestt帳號、Eveeryoone帳帳號選中中并刪除除，然后后單擊“添加用用戶或組組”按鈕鈕，打開開一個標(biāo)標(biāo)題為“

15、選擇用用戶或組組”的設(shè)設(shè)置窗口口，在其其中將指指定的用用戶帳號號添加進進來，最最后單擊擊“確定定”按鈕鈕，這么么一來特特定用戶戶日后就就能通過過 HYPERLINK /network/ 網(wǎng)絡(luò)訪問問到本地地系統(tǒng)中中的共享享資源了了，而其其他用戶戶是無法法通過 HYPERLINK /network/ 網(wǎng)網(wǎng)絡(luò)進行行共享訪訪問操作作的。5、讓共共享訪問問時正常常輸入用用戶名 在局局域網(wǎng)環(huán)環(huán)境中，當(dāng)我們們嘗試從從其中的的一臺工工作站去去訪問另另外一臺臺工作站站中的共共享資源源時，屏屏幕上有有時會彈彈出密碼碼登錄對對話框，可是在在其中我我們卻無無法正確確輸入用用戶名，而只能能輸入訪訪問密碼碼，這么么一來我

16、我們就無無法使用用自己的的帳號訪訪問對方方的共享享資源。遇到這這種共享享訪問故故障現(xiàn)象象時，我我們究竟竟該怎樣樣進行應(yīng)應(yīng)對呢? 事實實上，這這種現(xiàn)象象多半是是系統(tǒng)的的組策略略設(shè)置不不當(dāng)造成成的，此此時我們們不妨按按照下面面步驟來來修改一一下系統(tǒng)統(tǒng)組策略略: 網(wǎng)網(wǎng)管網(wǎng)wwww_bittscnn_coom 依次次單擊“開始”/“運運行”命命令，打打開系統(tǒng)統(tǒng)的運行行對話框框，然后后在其中中輸入系系統(tǒng)組策策略編輯輯字符串串命令“gpeeditt.mssc”，單擊該該對話框框中的“確定”按鈕后后，進入入到本地地計算機機的系統(tǒng)統(tǒng)組策略略編輯窗窗口; 用鼠鼠標(biāo)展開開該編輯輯窗口左左側(cè)顯示示區(qū)域的的“計算算機

17、配置置”策略略分支，在對應(yīng)應(yīng)該分支支選項下下面依次次用鼠標(biāo)標(biāo)雙擊“Winndowws設(shè)置置/安全全設(shè)置/本地策策略/安安全選項項”項目目，在“安全選選項”項項目所對對應(yīng)的右右側(cè)顯示示窗格中中，找到到“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問:本地帳帳戶的共共享和安安全模式式”選項項并用鼠鼠標(biāo)右鍵鍵單擊之之，從彈彈出的快快捷菜單單中執(zhí)行行“屬性性”命令令，打開開如圖55所示的的目標(biāo)策策略屬性性設(shè)置界界面;在在該設(shè)置置界面中中，看看看“ HYPERLINK /network/ 網(wǎng)絡(luò)絡(luò)訪問:本地帳帳戶的共共享和安安全模式式”策略略此時是是否已被被設(shè)置成成“經(jīng)典典本地地用戶以以自己的的身份

18、驗驗證”，如果不不是的話話，必須須及時將將它修改改過來，最后單單擊“確確定”按按鈕，這這樣一來來我們?nèi)杖蘸笤俅未芜M行共共享訪問問操作時時，就能能正常輸輸入共享享訪問帳帳號名稱稱進行共共享資源源的訪問問操作了了。 圖5 網(wǎng)網(wǎng)管u家家wwww.biitsccn.nnet 6、及時記記錄用戶戶共享訪訪問痕跡跡 網(wǎng)管朋朋友網(wǎng)wwww_bittscnn_neet 為了了防止一一些心術(shù)術(shù)不正的的局域網(wǎng)網(wǎng)用戶在在對共享享文件夾夾的訪問問過程中中，做出出對目標(biāo)標(biāo)共享資資源不利利的事情情出來，我們應(yīng)應(yīng)該想個個辦法跟跟蹤任何何一位訪訪問目標(biāo)標(biāo)共享資資源的局局域網(wǎng)用用戶，并并對他們們的共享享訪問痕痕跡進行行自動記記

19、錄;以以后一旦旦遇到共共享資源源中的隱隱私信息息被破壞壞或轉(zhuǎn)移移時，我我們可以以查看相相應(yīng)的日日志記錄錄，就能能將“罪罪槐禍首首”輕松松找到。事實上上，通過過下面的的步驟我我們就可可以及時時記錄用用戶共享享訪問痕痕跡了: 網(wǎng)管管網(wǎng)m 首先先進入系系統(tǒng)資源源管理器器界面，找到目目標(biāo)共享享文件夾夾并用鼠鼠標(biāo)右擊擊之，執(zhí)執(zhí)行快捷捷菜單中中的“屬屬性”菜菜單命令令，打開開目標(biāo)共共享文件件夾的屬屬性設(shè)置置窗口;單擊其其中的“安全”選項卡卡，并在在對應(yīng)的的選項設(shè)設(shè)置頁面面中單擊擊一下“高級”按鈕，進入共共享文件件夾的高高級安全全設(shè)置頁頁面，單單擊該頁頁面中的的“審核核”標(biāo)簽簽，再在在對應(yīng)標(biāo)標(biāo)簽頁面面中單擊擊“添加加”按鈕鈕。隨后后，計算算機將自自動顯示示出本地地系統(tǒng)中中所有用用戶帳號號，此時時我們可可以將有有權(quán)