組策略解決共享訪(fǎng)問(wèn)五大稀奇難題

1、為了充分發(fā)揮網(wǎng)絡(luò)作用，現(xiàn)在許多單位的重要信息都開(kāi)始發(fā)布到局域網(wǎng)中，單位中的所有員工都可以通過(guò)共享訪(fǎng)問(wèn)方式來(lái)快速、及時(shí)瀏覽它們。然而許多員工在嘗試訪(fǎng)問(wèn)單位共享信息的時(shí)候，經(jīng)常會(huì)遭遇一些稀奇古怪的共享訪(fǎng)問(wèn)麻煩，甚至?xí)龅揭恍┠涿畹墓蚕碓L(fǎng)問(wèn)故障，面對(duì)這些共享訪(fǎng)問(wèn)麻煩、故障，許多員工常常手無(wú)足措，根本不知道該如何進(jìn)行有效應(yīng)對(duì)!其實(shí)對(duì)于許多共享訪(fǎng)問(wèn)麻煩或故障來(lái)說(shuō)，我們只要巧妙地修改系統(tǒng)組策略，就能輕易將它們給解決了!共享難題1、無(wú)法輸入共享訪(fǎng)問(wèn)帳號(hào)名稱(chēng)在單位局域網(wǎng)網(wǎng)絡(luò)中，當(dāng)員工嘗試從自己的工作站系統(tǒng)中去訪(fǎng)問(wèn)另外局域網(wǎng)中的另外一臺(tái)工作站中的重要共享信息時(shí)，系統(tǒng)屏幕上可能會(huì)出現(xiàn)一個(gè)共享訪(fǎng)問(wèn)登錄設(shè)置框，原

2、本員工只要正確輸入共享訪(fǎng)問(wèn)帳號(hào)名稱(chēng)以及密碼信息，就能打開(kāi)對(duì)方工作站的共享文件夾窗口，并進(jìn)行共享資源的訪(fǎng)問(wèn)了;可實(shí)際上，有的員工會(huì)發(fā)現(xiàn)用戶(hù)名信息有時(shí)無(wú)法輸入，那樣的話(huà)員工就不能使用自己的共享訪(fǎng)問(wèn)帳號(hào)來(lái)訪(fǎng)問(wèn)目標(biāo)共享資源了。面對(duì)類(lèi)似這種現(xiàn)象的共享訪(fǎng)問(wèn)難題時(shí)，我們?cè)摬扇∈裁崔k法來(lái)幫助這位員工正確輸入自己的帳號(hào)名稱(chēng)進(jìn)行共享訪(fǎng)問(wèn)呢?一旦不幸遇到這樣的共享訪(fǎng)問(wèn)難題時(shí)，多半是員工本地工作站系統(tǒng)的組策略沒(méi)有設(shè)置正確引起的，這個(gè)時(shí)候我們只要按照如下步驟來(lái)編輯組策略就可以了：首先在本地工作站系統(tǒng)桌面中單擊“開(kāi)始”按鈕，從彈出的“開(kāi)始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.

3、msc”字符串命令，并單擊回車(chē)鍵，打開(kāi)系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪(fǎng)問(wèn)：本地帳戶(hù)的共享和安全模式”項(xiàng)目，打開(kāi)如圖1所示的“網(wǎng)絡(luò)訪(fǎng)問(wèn)：本地帳戶(hù)的共享和安全模式”組策略屬性窗口。 在該屬性窗口中，仔細(xì)檢查“經(jīng)典本地用戶(hù)以自己的身份驗(yàn)證”選項(xiàng)是否被選中，要是發(fā)現(xiàn)該選項(xiàng)沒(méi)有被選中的話(huà)，我們就應(yīng)該及時(shí)將它選中，同時(shí)單擊該屬性窗口中的“確定”按鈕，那樣的話(huà)無(wú)法輸入共享訪(fǎng)問(wèn)帳號(hào)名稱(chēng)的難題就能被順利

4、地解決了。共享難題2、非法用戶(hù)隨意進(jìn)行共享訪(fǎng)問(wèn)很多場(chǎng)合下，單位領(lǐng)導(dǎo)都希望只有特殊權(quán)限的員工才能通過(guò)局域網(wǎng)網(wǎng)絡(luò)訪(fǎng)問(wèn)到單位發(fā)布出來(lái)的重要共享信息，而不希望單位普通員工甚至有一定權(quán)限的高級(jí)用戶(hù)隨意訪(fǎng)問(wèn)重要的共享信息。但實(shí)際上，一旦我們把重要共享信息發(fā)布到網(wǎng)絡(luò)中后，在默認(rèn)狀態(tài)下基本上所有局域網(wǎng)員工都能訪(fǎng)問(wèn)到這些重要的共享信息;那么我們能否經(jīng)過(guò)合適限制，讓普通員工或非法用戶(hù)不能隨意訪(fǎng)問(wèn)局域網(wǎng)中的重要共享信息呢?答案是肯定的，我們可以通過(guò)編輯系統(tǒng)組策略中的相關(guān)選項(xiàng)參數(shù)，來(lái)禁止非法用戶(hù)隨意進(jìn)行共享訪(fǎng)問(wèn)：首先在保存有共享資源的工作站系統(tǒng)桌面中單擊“開(kāi)始”按鈕，從彈出的“開(kāi)始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工

5、作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車(chē)鍵，打開(kāi)系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶(hù)權(quán)利指派”子項(xiàng)，在對(duì)應(yīng)“用戶(hù)權(quán)利指派”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”項(xiàng)目，打開(kāi)如圖2所示的“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”組策略屬性窗口;下面再在該屬性窗口中，將Guest、EVEryone之類(lèi)的默認(rèn)訪(fǎng)問(wèn)帳號(hào)依次選中并執(zhí)行刪除操作，之后再單擊對(duì)應(yīng)屬性窗口中的“添加用戶(hù)或組”按鈕，進(jìn)入“選擇用戶(hù)或組”設(shè)置對(duì)話(huà)框，在其中將特殊權(quán)

6、限的員工帳號(hào)逐一添加進(jìn)來(lái)，在相關(guān)帳號(hào)正確導(dǎo)入后再單擊“確定”按鈕，如此一來(lái)局域網(wǎng)中的非法用戶(hù)就不能通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)對(duì)應(yīng)工作站中的重要共享資源了。 共享難題3、匿名用戶(hù)訪(fǎng)問(wèn)內(nèi)容無(wú)法限制在缺省狀態(tài)下，安裝了Windows XP系統(tǒng)的工作站能夠允許員工以匿名帳號(hào)訪(fǎng)問(wèn)該工作站中的許多共享信息，很明顯這會(huì)影響本地工作站中的信息安全。那么我們能否對(duì)匿名用戶(hù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行適當(dāng)限制，讓匿名帳號(hào)只能訪(fǎng)問(wèn)我們事先分配給它們的指定共享內(nèi)容呢?答案是肯定的!例如，假設(shè)我們要求匿名帳號(hào)只能訪(fǎng)問(wèn)本地工作站中的“X:share”共享文件夾，而不能訪(fǎng)問(wèn)其他共享文件夾時(shí)，我們可以按照如下步驟來(lái)設(shè)置系統(tǒng)的組策略參數(shù)：首先在保存有共享

7、資源的工作站系統(tǒng)桌面中單擊“開(kāi)始”按鈕，從彈出的“開(kāi)始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車(chē)鍵，打開(kāi)系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”的右側(cè)顯示區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪(fǎng)問(wèn)：可匿名訪(fǎng)問(wèn)的共享”組策略選項(xiàng)，打開(kāi)如圖3所示的“網(wǎng)絡(luò)訪(fǎng)問(wèn)：可匿名訪(fǎng)問(wèn)的共享”選項(xiàng)設(shè)置界面; 下面再在該設(shè)置窗口中，將本地工作站缺省允許訪(fǎng)問(wèn)的共享資源一一刪除;緊接著，將我們事先指定

8、的“X:share”共享文件夾路徑填寫(xiě)在這里，再單擊“確定”按鈕，如此一來(lái)單位員工日后以匿名帳號(hào)訪(fǎng)問(wèn)本地工作站系統(tǒng)時(shí)，只能看到“X:share”共享文件夾中的資源了。當(dāng)然，在將“X:share”文件夾的訪(fǎng)問(wèn)權(quán)限向匿名帳號(hào)開(kāi)放之前，我們還需要對(duì)目標(biāo)共享文件夾的訪(fǎng)問(wèn)屬性進(jìn)行修改，讓其訪(fǎng)問(wèn)權(quán)限調(diào)整為“讀取”，以便保證匿名帳號(hào)不能隨意修改或刪除目標(biāo)共享文件夾中的內(nèi)容。大家知道，在缺省狀態(tài)下匿名帳號(hào)擁有的訪(fǎng)問(wèn)權(quán)限幾乎與Everyone帳號(hào)是相同的，也就是說(shuō)我們要是賦予了EVEryone帳號(hào)相對(duì)高一些的訪(fǎng)問(wèn)權(quán)限時(shí)，那么匿名帳號(hào)的訪(fǎng)問(wèn)權(quán)限也會(huì)隨之提高，很明顯這會(huì)給共享資源的安全訪(fǎng)問(wèn)帶來(lái)不小的挑戰(zhàn)。為了保證共

9、享資源的安全性，我們完全可以通過(guò)如下設(shè)置操作，來(lái)禁止使用匿名帳號(hào)：首先在本地工作站系統(tǒng)桌面中單擊“開(kāi)始”按鈕，從彈出的“開(kāi)始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車(chē)鍵，打開(kāi)系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪(fǎng)問(wèn)：讓每個(gè)人權(quán)限應(yīng)用于匿名用戶(hù)”組策略選項(xiàng)，在其后出現(xiàn)的組策略屬性窗口中看看“網(wǎng)絡(luò)訪(fǎng)問(wèn)：讓每個(gè)人權(quán)限應(yīng)用于匿名用戶(hù)

10、”是否處于啟用狀態(tài)，如果該組策略選項(xiàng)被啟動(dòng)的話(huà)，我們應(yīng)該將它調(diào)整為“已停用”，并單擊“確定”按鈕結(jié)束組策略屬性設(shè)置操作。共享難題4、共享訪(fǎng)問(wèn)痕跡無(wú)法及時(shí)捕獲許多心術(shù)不正的單位員工在訪(fǎng)問(wèn)局域網(wǎng)中的目標(biāo)共享文件夾時(shí)，可能會(huì)對(duì)目標(biāo)共享文件夾做出不利的舉動(dòng)出來(lái)，可惜的是系統(tǒng)在默認(rèn)狀態(tài)下不會(huì)自動(dòng)對(duì)共享訪(fǎng)問(wèn)操作進(jìn)行追蹤、記錄，那么我們就無(wú)法在第一時(shí)間捕捉到非法共享訪(fǎng)問(wèn)痕跡，這樣的話(huà)我們就不能及時(shí)采取對(duì)應(yīng)措施來(lái)保護(hù)共享資源的訪(fǎng)問(wèn)安全性。其實(shí)，要讓本地工作站系統(tǒng)自動(dòng)捕獲共享訪(fǎng)問(wèn)痕跡，我們只要按照如下操作設(shè)置一下系統(tǒng)組策略參數(shù)就可以了：首先在本地工作站系統(tǒng)中依次單擊“開(kāi)始”/“程序”/“附件”/“Windows

11、資源管理器”命令，在彈出的資源管理器窗口中，用鼠標(biāo)右鍵單擊目標(biāo)共享文件夾，從彈出的右鍵菜單中執(zhí)行“屬性”命令，進(jìn)入目標(biāo)共享資源的屬性界面;在該屬性界面中單擊“安全”標(biāo)簽，再單擊對(duì)應(yīng)標(biāo)簽頁(yè)面中的“高級(jí)”按鈕，打開(kāi)目標(biāo)共享資源的高級(jí)安全對(duì)話(huà)框;在該安全對(duì)話(huà)框中單擊“審核”標(biāo)簽，再單擊其后頁(yè)面中的“添加”按鈕。下面，我們從用戶(hù)帳號(hào)列表窗口中，選中那些能夠訪(fǎng)問(wèn)目標(biāo)共享資源的所有用戶(hù)帳號(hào)，再單擊“確定”按鈕;當(dāng)屏幕出現(xiàn)審核選項(xiàng)設(shè)置對(duì)話(huà)框時(shí)，我們可以根據(jù)實(shí)際需要挑選一些失敗和成功的審核選項(xiàng)，再單擊“確定”按鈕結(jié)束目標(biāo)共享資源的屬性設(shè)置操作。下面在本地工作站系統(tǒng)桌面中單擊“開(kāi)始”按鈕，從彈出的“開(kāi)始”菜單中

12、選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車(chē)鍵，打開(kāi)系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”子項(xiàng)，在對(duì)應(yīng)“審核策略”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“審核對(duì)象訪(fǎng)問(wèn)”組策略選項(xiàng)，打開(kāi)如圖4所示的“審核對(duì)象訪(fǎng)問(wèn)”屬性設(shè)置窗口; 之后，選中該屬性設(shè)置窗口中的“成功”或“失敗”選項(xiàng)，再單擊一下“確定”按鈕;我們?nèi)蘸笠坏┌l(fā)現(xiàn)目標(biāo)共享資源遇到非法訪(fǎng)問(wèn)現(xiàn)象時(shí)，只要打開(kāi)本地工作站系統(tǒng)的日志記錄，通過(guò)查看標(biāo)識(shí)號(hào)為

13、560、562、564之類(lèi)的事件日志記錄，就能找到非法訪(fǎng)問(wèn)痕跡了。 共享難題5、特權(quán)帳號(hào)受到非法偷竊使用一些非法攻擊者或黑客有時(shí)會(huì)利用系統(tǒng)管理員帳號(hào)的SID標(biāo)識(shí)，來(lái)得到系統(tǒng)管理員的用戶(hù)名信息，之后再用系統(tǒng)管理員的真實(shí)帳號(hào)嘗試去訪(fǎng)問(wèn)目標(biāo)工作站系統(tǒng)中的共享資源，最終獲得對(duì)應(yīng)工作站的所有訪(fǎng)問(wèn)權(quán)限，很顯然一旦特權(quán)帳號(hào)受到非法偷竊使用，那么對(duì)應(yīng)系統(tǒng)中的共享訪(fǎng)問(wèn)安全性將會(huì)受到極大挑戰(zhàn)。為了保護(hù)共享資源的訪(fǎng)問(wèn)安全性，我們可以想辦法阻止非法攻擊者或黑客利用SID標(biāo)識(shí)來(lái)獲取系統(tǒng)管理員的用戶(hù)名稱(chēng)信息，下面的方法其實(shí)就是通過(guò)修改系統(tǒng)組策略來(lái)完成的：首先在本地工作站系統(tǒng)桌面中單擊“開(kāi)始”按鈕，從彈出的“開(kāi)始”菜單中選擇“運(yùn)行”命令，進(jìn)入本地工作站的系統(tǒng)運(yùn)行框，在其中直接輸入“gpedit.msc”字符串命令，并單擊回車(chē)鍵，打開(kāi)系統(tǒng)組策略編輯界面;其次在該組策略編輯界面左側(cè)顯示區(qū)域，選中“計(jì)算機(jī)配置”分支項(xiàng)目，再用鼠標(biāo)依次選擇該分支項(xiàng)目下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”子項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪(fǎng)問(wèn)：允許匿名SID/名稱(chēng)轉(zhuǎn)換