资源共享随心所欲

1、资源共享随心所欲用组策略管理网络共享在局域网环境中，为了方便与他人交流信息，我们常常会将自己计算机中的一些重要信息共享出来，以便于局域网其他用户调用。不过在共享访问过程中，我们常常会受到一些安全攻击或者遇到一些共享访问故障;为了提高共享访问效率，减少共享安全隐患，我们往往需要学会一些共享资源控制、管理技巧。这不，本文下面就从系统组策略出发，为各位推荐几则管理、控制共享资源的技巧，相信各位在下面技巧的“指挥”下一定能精彩进行共享访问操作!1、剥夺匿名用户共享访问权限在安装有Windows XP系统的工作站中，匿名用户在默认状态下往往会拥有与Everyone帐号一样的访问权限，要是我们不小心给Ev

2、eryone帐号赋予比较高的共享访问权限时，那么匿名用户随之也会拥有比较高的共享访问权限，这显然会给共享访问带来很大的安全隐患。为了确保文件夹共享访问的绝对安全性，我们有必要通过修改系统组策略的方法，最大限度剥夺匿名用户的共享访问权限，下面就是具体的设置方法:首先单击系统桌面中的“开始”按钮，在弹出的系统“开始”菜单中选择“运行”项目，打开系统的运行对话框，然后在其中输入系统组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的系统组策略编辑窗口;在该编辑窗口的左侧列表窗格中，用鼠标展开“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Win

3、dows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗格中，找到“网络访问:让每个人权限应用于匿名用户”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图1所示的目标策略属性设置界面;图1在该设置界面中，检查一下“网络访问:让每个人权限应用于匿名用户”此时的策略是否已经处于“已启用”状态，一旦发现该目标策略已经被启动的话，我们必须及时将它设置为“已停用”，最后单击“确定”按钮，那么匿名用户日后在尝试共享访问操作时由于无法获得足够权限，从而无法对共享访问带来潜在安全威胁。当然，为安全、稳妥起见，我们也不应该为本地计算机的Everyone帐号授予太

4、高的共享访问权限。2、限定匿名用户共享访问内容在默认状态下，Windows XP工作站系统会允许匿名用户访问本地系统的不少共享资源，这显然会给本地计算机的安全带来一定的威胁。为了降低系统的安全威胁，我们完全可以限定匿名用户只能访问本地系统指定的共享文件夹，而且在允许匿名用户访问该目标共享文件夹之前，我们还需要对其NTFS权限进行合适设置，确保匿名用户只能对目标共享文件夹有最小的操作权限。例如，假设我们希望匿名用户只能访问本地系统F盘中的“aaa”共享文件夹时，而无权访问其他共享资源时，就可以按照如下操作步骤来设置系统组策略:首先单击系统桌面中的“开始”按钮，在弹出的系统“开始”菜单中选择“运行

5、”项目，打开系统的运行对话框，然后在其中输入系统组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的系统组策略编辑窗口;在该编辑窗口的左侧列表窗格中，用鼠标展开“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗格中，找到“网络访问:可匿名访问的共享”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图2所示的目标策略属性设置界面;图2在该设置界面中，先将系统默认允许访问的共享资源全部选中，并按一下键盘上的DEL键将它全部删除干净;之后

6、，根据实际情况，将那些的确需要向匿名用户长期开放的目标共享文件夹“F:aaa”添加进来，再单击“确定”按钮，那么日后匿名用户只能访问“F:aaa”共享文件夹中的资源了。当然，在将“F:aaa”文件夹向匿名用户开放之前，我们必须先将该目标文件夹的NTFS权限设置成“读取”，确保匿名用户对目标共享文件夹拥有最小的访问权限。完成上面的操作后，我们还需要打开“网络访问:可匿名访问的命名管道”策略的属性设置窗口和“网络访问:可远程访问的注册表路径”策略的属性设置窗口，然后依次将这两个窗口中多余的共享资源项目全部删除掉，这么一来匿名用户就只能访问指定的共享文件夹了。3、阻止非法获取超级帐号名称我们知道，不

7、少非法攻击者常常通过超级管理员帐号的SID标识，来获取超级帐号的管理员名称信息，然后以管理员真实名称信息尝试登录共享资源所在的计算机系统，从而获取对共享资源的最高控制权限，很明显这种做法会对本地共享资源的安全造成极大的威胁。有鉴于此，我们可以通过修改系统的组策略，禁止非法用户通过SID来窃取超级管理员的真实名称信息，下面就是具体的设置方法:依次单击“开始”/“运行”命令，打开系统的运行对话框，然后在其中输入系统组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的系统组策略编辑窗口;用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支，在对应该分支

8、选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗格中，找到“网络访问:允许匿名SID/名称转换”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图3所示的目标策略属性设置界面;图3在该设置界面中，检查一下“网络访问:允许匿名SID/名称转换”此时的策略是否已经处于“已启用”状态，一旦发现该目标策略已经被启动的话，我们必须及时将它设置为“已禁用”，最后单击“确定”按钮，那么非法用户日后就无法通过管理员的SID标识信息获取管理员的真实名称信息了，这么一来本地共享资源受到非法控制的危险就会大大下降了。当然，要是局域

9、网环境有多个不同版本的工作站系统时，禁用“网络访问:允许匿名SID/名称转换”这个策略时，就容易导致共享访问出现一些莫名其妙的问题，这一点大家需要注意。4、限定特定用户进行共享访问有时候，我们希望只有指定的用户才能通过网络访问本地系统的共享资源，而严格禁止包括系统管理员在内的其他用户随意通过网络访问本地资源时，我们就可以按照如下方法设置系统组策略，来限定特定用户进行共享访问:依次单击“开始”/“运行”命令，打开系统的运行对话框，然后在其中输入系统组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的系统组策略编辑窗口;用鼠标展开该编辑窗口左侧显示区域的

10、“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/用户权利指派”项目，在“用户权利指派”项目所对应的右侧显示窗格中，找到“从网络访问此计算机”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图4所示的目标策略属性设置界面;图4在该设置界面中，先将默认存在的Guest帐号、Everyone帐号选中并删除，然后单击“添加用户或组”按钮，打开一个标题为“选择用户或组”的设置窗口，在其中将指定的用户帐号添加进来，最后单击“确定”按钮，这么一来特定用户日后就能通过网络访问到本地系统中的共享资源了，而其他用户是无法通过网络进行共享访问操作

11、的。5、让共享访问时正常输入用户名在局域网环境中，当我们尝试从其中的一台工作站去访问另外一台工作站中的共享资源时，屏幕上有时会弹出密码登录对话框，可是在其中我们却无法正确输入用户名，而只能输入访问密码，这么一来我们就无法使用自己的帐号访问对方的共享资源。遇到这种共享访问故障现象时，我们究竟该怎样进行应对呢?事实上，这种现象多半是系统的组策略设置不当造成的，此时我们不妨按照下面步骤来修改一下系统组策略:依次单击“开始”/“运行”命令，打开系统的运行对话框，然后在其中输入系统组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的系统组策略编辑窗口;用鼠标展

12、开该编辑窗口左侧显示区域的“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目，在“安全选项”项目所对应的右侧显示窗格中，找到“网络访问:本地帐户的共享和安全模式”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图5所示的目标策略属性设置界面;在该设置界面中，看看“网络访问:本地帐户的共享和安全模式”策略此时是否已被设置成“经典本地用户以自己的身份验证”，如果不是的话，必须及时将它修改过来，最后单击“确定”按钮，这样一来我们日后再次进行共享访问操作时，就能正常输入共享访问帐号名称进行共享资源的访问操作了。图56、及

13、时记录用户共享访问痕迹为了防止一些心术不正的局域网用户在对共享文件夹的访问过程中，做出对目标共享资源不利的事情出来，我们应该想个办法跟踪任何一位访问目标共享资源的局域网用户，并对他们的共享访问痕迹进行自动记录;以后一旦遇到共享资源中的隐私信息被破坏或转移时，我们可以查看相应的日志记录，就能将“罪槐祸首”轻松找到。事实上，通过下面的步骤我们就可以及时记录用户共享访问痕迹了:首先进入系统资源管理器界面，找到目标共享文件夹并用鼠标右击之，执行快捷菜单中的“属性”菜单命令，打开目标共享文件夹的属性设置窗口;单击其中的“安全”选项卡，并在对应的选项设置页面中单击一下“高级”按钮，进入共享文件夹的高级安全

14、设置页面，单击该页面中的“审核”标签，再在对应标签页面中单击“添加”按钮。随后，计算机将自动显示出本地系统中所有用户帐号，此时我们可以将有权访问该共享文件夹的用户帐号选中，再单击“确定”按钮;在其后弹出的审核选项设置界面中，我们可以按需选择一些失败和成功的审核项目，最后单击“确定”按钮退出共享文件夹属性设置界面。接下来依次单击“开始”/“运行”命令，打开系统的运行对话框，然后在其中输入系统组策略编辑字符串命令“gpedit.msc”，单击该对话框中的“确定”按钮后，进入到本地计算机的系统组策略编辑窗口。用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支，在对应该分支选项下面依次用鼠标双击

15、“Windows设置/安全设置/本地策略/审核策略”项目，在“审核策略”项目所对应的右侧显示窗格中，找到“审核对象访问”选项并用鼠标右键单击之，从弹出的快捷菜单中执行“属性”命令，打开如图6所示的目标策略属性设置界面;图6在该设置界面中，选中其中的“成功”项目或“失败”项目，再单击“确定”按钮;以后我们要是发现目标共享文件夹遇到安全威胁现象时，就可以打开系统的日志记录，来查看事件ID标号为“564”、“562”、“560”的相关日志记录了，从中就能发现破坏共享文件夹安全的“罪槐祸首”了。在Windows服务器系统中，每当服务器启动成功时，系统的C盘、D盘等都会被自动设置成隐藏共享，尽管通过这些

16、默认共享可以让服务器管理维护起来更方便一些;但在享受方便的同时，这些默认共享常常会被一些非法攻击者利用，从而容易给服务器造成安全威胁。如果你不想让服务器轻易遭受到非法攻击的话，就必须及时切断服务器的默认共享“通道”。下面，本文就为大家推荐以下几则妙招，以便让你轻松禁止掉服务器的默认共享。功能配置法这种方法是通过Windows XP或Windows 2003系统中的msconfig命令，来实现切断服务器默认共享“通道”目的的。使用该方法时，可以按照如下步骤来进行：依次单击“开始”/“运行”命令，在随后出现的系统运行设置框中，输入字符串命令“msconfig”，单击“确定”按钮后，打开一个标题为系

17、统配置实用程序的设置窗口;单击该窗口中的“服务”选项卡，在其后打开的如图1所示的选项设置页面中，找到其中的“Server”项目，并检查该项目前面是否有勾号存在，要是有的话必须将其取消掉，最后单击一下“确定”按钮，以后重新启动服务器系统时，服务器的C盘、D盘等就不会被自动设置成默认共享了。小提示：尽管windows 2000服务器系统没有系统配置实用程序功能，但考虑到该系统的内核与Windows 2003系统内核比较接近，因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中，以后你也可以在该系统的运行对

18、话框中，直接启动系统配置实用程序功能了。如果在启动该功能的过程中，遇到有错误提示窗口弹出时，你可以不必理会，不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。“强行”停止法所谓“强行”停止法，其实就是借助Windows服务器的计算机管理功能，来对已经存在的默认共享文件夹，“强制”停止共享命令，以便让其共享状态取消，同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时，你可以按照下面的步骤来进行：依次单击“开始”/“运行”命令，在打开的系统运行设置框中，输入字符串命令“compmgmt.msc”，单击“确定”按钮后，打开打开Windows服务器系统的“计算

19、机管理”界面;在该界面的左侧列表区域中，用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹，在对应“共享”文件夹右边的子窗口中，你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了，其中共享名称后面带有“$”符号的共享文件夹，就是服务器自动生成的默认共享文件夹;要取消这些共享文件夹的共享状态，你只要先用鼠标逐一选中它们，然后再用右键单击之，在其后打开的快捷菜单中，选中“停止共享”选项，随后屏幕上将打开一个如图2所示的对话框，要求你确认一下是否真的想停止已经选择的共享，此时你再单击一下“是”按钮，所有选中的默认共享文件夹的共享标志就会自动消失了，这表明它们的共享状态已经被“强

20、行”停止了，以后哪怕是重新启动服务器系统，服务器的C盘、D盘也不会被自动设置成默认共享了。逐一删除法所谓“逐一删除法”，其实就是借助Windows服务器内置的“net share”命令，来将已经处于共享状态的默认共享文件夹，一个一个地删除掉(当然这里的删除，仅仅表示删除默认共享文件夹的共享状态，而不是删除默认文件夹中的内容)，但该方法有一个致命的缺陷，就是无法实现“一劳永逸”的删除效果，只要服务器系统重新启动一下，默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时，可以参考如下的操作步骤：首先在系统的开始菜单中，执行“运行”命令，打开系统运行设置框，在该对话框中输入字符串命令“cmd”后，再单击“确定”按钮，这样Windows服务器系统就会自动切换到DOS命令行工作状态;然后在DOS命令行中，输入字符串命令“net share c$ /del”，单击回车键后，服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话，你可以按照相同的办法，分别执行字符串命令“net share d$ /d