用組策略管理網(wǎng)絡(luò)共享_第1頁
用組策略管理網(wǎng)絡(luò)共享_第2頁
用組策略管理網(wǎng)絡(luò)共享_第3頁
用組策略管理網(wǎng)絡(luò)共享_第4頁
用組策略管理網(wǎng)絡(luò)共享_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

用組策略管理網(wǎng)絡(luò)共享在局域網(wǎng)環(huán)境中,為了方便與他人交流信息,我們常常會(huì)將自己計(jì)算機(jī)中的一些重要信息共享出來,以便于局域網(wǎng)其他用戶調(diào)用。不過在共享訪問過程中,我們常常會(huì)受到一些平安攻擊或者遇到一些共享訪問故障;為了提高共享訪問效率,減少共享平安隱患,我們往往需要學(xué)會(huì)一些共享資源控制、管理技巧。這不,本文下面就從系統(tǒng)組策略出發(fā),為各位推薦幾那么管理、控制共享資源的技巧,相信各位在下面技巧的“指揮〞下一定能精彩進(jìn)行共享訪問操作!1、剝奪匿名用戶共享訪問權(quán)限在安裝有WindowsXP系統(tǒng)的工作站中,匿名用戶在默認(rèn)狀態(tài)下往往會(huì)擁有與Everyone帳號一樣的訪問權(quán)限,要是我們不小心給Everyone帳號賦予比擬高的共享訪問權(quán)限時(shí),那么匿名用戶隨之也會(huì)擁有比擬高的共享訪問權(quán)限,這顯然會(huì)給共享訪問帶來很大的平安隱患。為了確保文件夾共享訪問的絕對平安性,我們有必要通過修改系統(tǒng)組策略的方法,最大限度剝奪匿名用戶的共享訪問權(quán)限,下面就是具體的設(shè)置方法:首先單擊系統(tǒng)桌面中的“開始〞按鈕,在彈出的系統(tǒng)“開始〞菜單中選擇“運(yùn)行〞工程,翻開系統(tǒng)的運(yùn)行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc〞,單擊該對話框中的“確定〞按鈕后,進(jìn)入到本地計(jì)算機(jī)的系統(tǒng)組策略編輯窗口;網(wǎng)管聯(lián)盟bitsCN_com在該編輯窗口的左側(cè)列表窗格中,用鼠標(biāo)展開“計(jì)算機(jī)配置〞策略分支,在對應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/平安設(shè)置/本地策略/平安選項(xiàng)〞工程,在“平安選項(xiàng)〞工程所對應(yīng)的右側(cè)顯示窗格中,找到“網(wǎng)絡(luò)訪問:讓每個(gè)人權(quán)限應(yīng)用于匿名用戶〞選項(xiàng)并用鼠標(biāo)右鍵單擊之,從彈出的快捷菜單中執(zhí)行“屬性〞命令,翻開如圖1所示的目標(biāo)策略屬性設(shè)置界面;網(wǎng)管網(wǎng)www_bitscn_com

圖1在該設(shè)置界面中,檢查一下“網(wǎng)絡(luò)訪問:讓每個(gè)人權(quán)限應(yīng)用于匿名用戶〞此時(shí)的策略是否已經(jīng)處于“已啟用〞狀態(tài),一旦發(fā)現(xiàn)該目標(biāo)策略已經(jīng)被啟動(dòng)的話,我們必須及時(shí)將它設(shè)置為“已停用〞,最后單擊“確定〞按鈕,那么匿名用戶日后在嘗試共享訪問操作時(shí)由于無法獲得足夠權(quán)限,從而無法對共享訪問帶來潛在平安威脅。當(dāng)然,為平安、穩(wěn)妥起見,我們也不應(yīng)該為本地計(jì)算機(jī)的Everyone帳號授予太高的共享訪問權(quán)限。2、限定匿名用戶共享訪問內(nèi)容網(wǎng)管聯(lián)盟bitsCN_com在默認(rèn)狀態(tài)下,WindowsXP工作站系統(tǒng)會(huì)允許匿名用戶訪問本地系統(tǒng)的不少共享資源,這顯然會(huì)給本地計(jì)算機(jī)的平安帶來一定的威脅。為了降低系統(tǒng)的平安威脅,我們完全可以限定匿名用戶只能訪問本地系統(tǒng)指定的共享文件夾,而且在允許匿名用戶訪問該目標(biāo)共享文件夾之前,我們還需要對其NTFS權(quán)限進(jìn)行適宜設(shè)置,確保匿名用戶只能對目標(biāo)共享文件夾有最小的操作權(quán)限。例如,假設(shè)我們希望匿名用戶只能訪問本地系統(tǒng)F盤中的“aaa〞共享文件夾時(shí),而無權(quán)訪問其他共享資源時(shí),就可以按照如下操作步驟來設(shè)置系統(tǒng)組策略:首先單擊系統(tǒng)桌面中的“開始〞按鈕,在彈出的系統(tǒng)“開始〞菜單中選擇“運(yùn)行〞工程,翻開系統(tǒng)的運(yùn)行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc〞,單擊該對話框中的“確定〞按鈕后,進(jìn)入到本地計(jì)算機(jī)的系統(tǒng)組策略編輯窗口;在該編輯窗口的左側(cè)列表窗格中,用鼠標(biāo)展開“計(jì)算機(jī)配置〞策略分支,在對應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/平安設(shè)置/本地策略/平安選項(xiàng)〞工程,在“平安選項(xiàng)〞工程所對應(yīng)的右側(cè)顯示窗格中,找到“網(wǎng)絡(luò)訪問:可匿名訪問的共享〞選項(xiàng)并用鼠標(biāo)右鍵單擊之,從彈出的快捷菜單中執(zhí)行“屬性〞命令,翻開如圖2所示的目標(biāo)策略屬性設(shè)置界面;

圖2在該設(shè)置界面中,先將系統(tǒng)默認(rèn)允許訪問的共享資源全部選中,并按一下鍵盤上的DEL鍵將它全部刪除干凈;之后,根據(jù)實(shí)際情況,將那些確實(shí)需要向匿名用戶長期開放的目標(biāo)共享文件夾“F:\aaa〞添加進(jìn)來,再單擊“確定〞按鈕,那么日后匿名用戶只能訪問“F:\aaa〞共享文件夾中的資源了。當(dāng)然,在將“F:\aaa〞文件夾向匿名用戶開放之前,我們必須先將該目標(biāo)文件夾的NTFS權(quán)限設(shè)置成“讀取〞,確保匿名用戶對目標(biāo)共享文件夾擁有最小的訪問權(quán)限。完成上面的操作后,我們還需要翻開“網(wǎng)絡(luò)訪問:可匿名訪問的命名管道〞策略的屬性設(shè)置窗口和“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑〞策略的屬性設(shè)置窗口,然后依次將這兩個(gè)窗口中多余的共享資源工程全部刪除掉,這么一來匿名用戶就只能訪問指定的共享文件夾了。3、阻止非法獲取超級帳號名稱網(wǎng)管網(wǎng)www_bitscn_com我們知道,不少非法攻擊者常常通過超級管理員帳號的SID標(biāo)識,來獲取超級帳號的管理員名稱信息,然后以管理員真實(shí)名稱信息嘗試登錄共享資源所在的計(jì)算機(jī)系統(tǒng),從而獲取對共享資源的最高控制權(quán)限,很明顯這種做法會(huì)對本地共享資源的平安造成極大的威脅。有鑒于此,我們可以通過修改系統(tǒng)的組策略,禁止非法用戶通過SID來竊取超級管理員的真實(shí)名稱信息,下面就是具體的設(shè)置方法:網(wǎng)管朋友網(wǎng)www_bitscn_net依次單擊“開始〞/“運(yùn)行〞命令,翻開系統(tǒng)的運(yùn)行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc〞,單擊該對話框中的“確定〞按鈕后,進(jìn)入到本地計(jì)算機(jī)的系統(tǒng)組策略編輯窗口;中國網(wǎng)管聯(lián)盟bitsCN用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置〞策略分支,在對應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/平安設(shè)置/本地策略/平安選項(xiàng)〞工程,在“平安選項(xiàng)〞工程所對應(yīng)的右側(cè)顯示窗格中,找到“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換〞選項(xiàng)并用鼠標(biāo)右鍵單擊之,從彈出的快捷菜單中執(zhí)行“屬性〞命令,翻開如圖3所示的目標(biāo)策略屬性設(shè)置界面;網(wǎng)管論壇bbs_bitsCN_com

圖3網(wǎng)管下載dl.bitscn在該設(shè)置界面中,檢查一下“HYPERLINK網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換〞此時(shí)的策略是否已經(jīng)處于“已啟用〞狀態(tài),一旦發(fā)現(xiàn)該目標(biāo)策略已經(jīng)被啟動(dòng)的話,我們必須及時(shí)將它設(shè)置為“已禁用〞,最后單擊“確定〞按鈕,那么非法用戶日后就無法通過管理員的SID標(biāo)識信息獲取管理員的真實(shí)名稱信息了,這么一來本地共享資源受到非法控制的危險(xiǎn)就會(huì)大大下降了。當(dāng)然,要是局域網(wǎng)環(huán)境有多個(gè)不同版本的工作站系統(tǒng)時(shí),禁用“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換〞這個(gè)策略時(shí),就容易導(dǎo)致共享訪問出現(xiàn)一些莫名其妙的問題,這一點(diǎn)大家需要注意。網(wǎng)管bitscn_com4、限定特定用戶進(jìn)行共享訪問有時(shí)候,我們希望只有指定的用戶才能通過網(wǎng)絡(luò)訪問本地系統(tǒng)的共享資源,而嚴(yán)格禁止包括系統(tǒng)管理員在內(nèi)的其他用戶隨意通過網(wǎng)絡(luò)訪問本地資源時(shí),我們就可以按照如下方法設(shè)置系統(tǒng)組策略,來限定特定用戶進(jìn)行共享訪問:網(wǎng)管聯(lián)盟bitsCN@com依次單擊“開始〞/“運(yùn)行〞命令,翻開系統(tǒng)的運(yùn)行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc〞,單擊該對話框中的“確定〞按鈕后,進(jìn)入到本地計(jì)算機(jī)的系統(tǒng)組策略編輯窗口;用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置〞策略分支,在對應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/平安設(shè)置/本地策略/用戶權(quán)利指派〞工程,在“用戶權(quán)利指派〞工程所對應(yīng)的右側(cè)顯示窗格中,找到“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)〞選項(xiàng)并用鼠標(biāo)右鍵單擊之,從彈出的快捷菜單中執(zhí)行“屬性〞命令,翻開如圖4所示的目標(biāo)策略屬性設(shè)置界面;網(wǎng)管朋友網(wǎng)www_bitscn_net

圖4網(wǎng)管聯(lián)盟bitsCN@com在該設(shè)置界面中,先將默認(rèn)存在的Guest帳號、Everyone帳號選中并刪除,然后單擊“添加用戶或組〞按鈕,翻開一個(gè)標(biāo)題為“選擇用戶或組〞的設(shè)置窗口,在其中將指定的用戶帳號添加進(jìn)來,最后單擊“確定〞按鈕,這么一來特定用戶日后就能通過網(wǎng)絡(luò)訪問到本地系統(tǒng)中的共享資源了,而其他用戶是無法通過網(wǎng)絡(luò)進(jìn)行共享訪問操作的。5、讓共享訪問時(shí)正常輸入用戶名在局域網(wǎng)環(huán)境中,當(dāng)我們嘗試從其中的一臺(tái)工作站去訪問另外一臺(tái)工作站中的共享資源時(shí),屏幕上有時(shí)會(huì)彈出密碼登錄對話框,可是在其中我們卻無法正確輸入用戶名,而只能輸入訪問密碼,這么一來我們就無法使用自己的帳號訪問對方的共享資源。遇到這種共享訪問故障現(xiàn)象時(shí),我們究竟該怎樣進(jìn)行應(yīng)對呢?事實(shí)上,這種現(xiàn)象多半是系統(tǒng)的組策略設(shè)置不當(dāng)造成的,此時(shí)我們不妨按照下面步驟來修改一下系統(tǒng)組策略:網(wǎng)管網(wǎng)www_bitscn_com依次單擊“開始〞/“運(yùn)行〞命令,翻開系統(tǒng)的運(yùn)行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc〞,單擊該對話框中的“確定〞按鈕后,進(jìn)入到本地計(jì)算機(jī)的系統(tǒng)組策略編輯窗口;用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置〞策略分支,在對應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊“Windows設(shè)置/平安設(shè)置/本地策略/平安選項(xiàng)〞工程,在“平安選項(xiàng)〞工程所對應(yīng)的右側(cè)顯示窗格中,找到“網(wǎng)絡(luò)訪問:本地帳戶的共享和平安模式〞選項(xiàng)并用鼠標(biāo)右鍵單擊之,從彈出的快捷菜單中執(zhí)行“屬性〞命令,翻開如圖5所示的目標(biāo)策略屬性設(shè)置界面;在該設(shè)置界面中,看看“網(wǎng)絡(luò)訪問:本地帳戶的共享和平安模式〞策略此時(shí)是否已被設(shè)置成“經(jīng)典—本地用戶以自己的身份驗(yàn)證〞,如果不是的話,必須及時(shí)將它修改正來,最后單擊“確定〞按鈕,這樣一來我們?nèi)蘸笤俅芜M(jìn)行共享訪問操作時(shí),就能正常輸入共享訪問帳號名稱進(jìn)行共享資源的訪問操作了。

圖56、及時(shí)記錄用戶共享訪問痕跡網(wǎng)管朋友網(wǎng)www_bitscn_net為了防止一些心術(shù)不正的局域網(wǎng)用戶在對共享文件夾的訪問過程中,做出對目標(biāo)共享資源不利的事情出來,我們應(yīng)該想個(gè)方法跟蹤任何一位訪問目標(biāo)共享資源的局域網(wǎng)用戶,并對他們的共享訪問痕跡進(jìn)行自動(dòng)記錄;以后一旦遇到共享資源中的隱私信息被破壞或轉(zhuǎn)移時(shí),我們可以查看相應(yīng)的日志記錄,就能將“罪槐禍?zhǔn)专曒p松找到。事實(shí)上,通過下面的步驟我們就可以及時(shí)記錄用戶共享訪問痕跡了:首先進(jìn)入系統(tǒng)資源管理器界面,找到目標(biāo)共享文件夾并用鼠標(biāo)右擊之,執(zhí)行快捷菜單中的“屬性〞菜單命令,翻開目標(biāo)共享文件夾的屬性設(shè)置窗口;單擊其中的“平安〞選項(xiàng)卡,并在對應(yīng)的選項(xiàng)設(shè)置頁面中單擊一下“高級〞按鈕,進(jìn)入共享文件夾的高級平安設(shè)置頁面,單擊該頁面中的“審核〞標(biāo)簽,再在對應(yīng)標(biāo)簽頁面中單擊“添加〞按鈕。隨后,計(jì)算機(jī)將自動(dòng)顯示出本地系統(tǒng)中所有用戶帳號,此時(shí)我們可以將有權(quán)訪問該共享文件夾的用戶帳號選中,再單擊“確定〞按鈕;在其后彈出的審核選項(xiàng)設(shè)置界面中,我們可以按需選擇一些失敗和成功的審核工程,最后單擊“確定〞按鈕退出共享文件夾屬性設(shè)置界面。接下來依次單擊“開始〞/“運(yùn)行〞命令,翻開系統(tǒng)的運(yùn)行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc〞,單擊該對話框中的“確定〞按鈕后,進(jìn)入到本地計(jì)算機(jī)的系統(tǒng)組策略編輯窗口。用鼠標(biāo)展開該編輯窗口左側(cè)顯示區(qū)域的“計(jì)算機(jī)配置〞策略分支,在對應(yīng)該分支選項(xiàng)下面依次用鼠標(biāo)雙擊

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論