用组策略管理网络共享

1、用组策略管理网络共享在局域网环境中，为了方便与他人交流信息，我们常常会将自己计算机中的一些重要信息共享出来，以便于局域网其他用户调用。不过在共享访问过程中，我们常常会受到一些安全攻击或者遇到一些共享访问故障;为了提高共享访问效率，减少共享安全隐患，我们往往需要学会一些共享资源控制、管理技巧。这不，本文下面就从系统组策略出发，为各位推荐几则管理、控制共享资源的技巧，相信各位在下面技巧的“指挥”下一定能精彩进行共享访问操作! 1、剥夺匿名用户共享访问权限 在安安装有WWinddowss XPP系统的的工作站站中，匿匿名用户户在默认认状态下下往往会会拥有与与Eveeryoone帐帐号一样样的访问问权

2、限，要是我我们不小小心给EEverryonne帐号号赋予比比较高的的共享访访问权限限时，那那么匿名名用户随随之也会会拥有比比较高的的共享访访问权限限，这显显然会给给共享访访问带来来很大的的安全隐隐患。为为了确保保文件夹夹共享访访问的绝绝对安全全性，我我们有必必要通过过修改系系统组策策略的方方法，最最大限度度剥夺匿匿名用户户的共享享访问权权限，下下面就是是具体的的设置方方法: 首先先单击系系统桌面面中的“开始”按钮，在弹出出的系统统“开始始”菜单单中选择择“运行行”项目目，打开开系统的的运行对对话框，然后在在其中输输入系统统组策略略编辑字字符串命命令“ggpeddit.mscc”，单单击该对对话

3、框中中的“确确定”按按钮后，进入到到本地计计算机的的系统组组策略编编辑窗口口; 网网管联盟盟bittsCNN_coom 在该该编辑窗窗口的左左侧列表表窗格中中，用鼠鼠标展开开“计算算机配置置”策略略分支，在对应应该分支支选项下下面依次次用鼠标标双击“Winndowws设置置/安全全设置/本地策策略/安安全选项项”项目目，在“安全选选项”项项目所对对应的右右侧显示示窗格中中，找到到“ HYPERLINK /network/ 网络络访问:让每个个人权限限应用于于匿名用用户”选选项并用用鼠标右右键单击击之，从从弹出的的快捷菜菜单中执执行“属属性”命命令，打打开如图图1所示示的目标标策略属属性设置置界

4、面; 网管管网wwww_bbitsscn_comm 图1 在该该设置界界面中，检查一一下“ HYPERLINK /network/ 网网络访问问:让每每个人权权限应用用于匿名名用户”此时的的策略是是否已经经处于“已启用用”状态态，一旦旦发现该该目标策策略已经经被启动动的话，我们必必须及时时将它设设置为“已停用用”，最最后单击击“确定定”按钮钮，那么么匿名用用户日后后在尝试试共享访访问操作作时由于于无法获获得足够够权限，从而无无法对共共享访问问带来潜潜在安全全威胁。当然，为安全全、稳妥妥起见，我们也也不应该该为本地地计算机机的Evveryyonee帐号授授予太高高的共享享访问权权限。 2、限定匿

5、匿名用户户共享访访问内容容 网管联联盟biitsCCN_ccom 在默认状状态下，Winndowws XXP工作作站系统统会允许许匿名用用户访问问本地系系统的不不少共享享资源，这显然然会给本本地计算算机的安安全带来来一定的的威胁。为了降降低系统统的安全全威胁，我们完完全可以以限定匿匿名用户户只能访访问本地地系统指指定的共共享文件件夹，而而且在允允许匿名名用户访访问该目目标共享享文件夹夹之前，我们还还需要对对其NTTFS权权限进行行合适设设置，确确保匿名名用户只只能对目目标共享享文件夹夹有最小小的操作作权限。例如，假设我我们希望望匿名用用户只能能访问本本地系统统F盘中中的“aaaa”共享文文件夹

6、时时，而无无权访问问其他共共享资源源时，就就可以按按照如下下操作步步骤来设设置系统统组策略略:首先先单击系系统桌面面中的“开始”按钮，在弹出出的系统统“开始始”菜单单中选择择“运行行”项目目，打开开系统的的运行对对话框，然后在在其中输输入系统统组策略略编辑字字符串命命令“ggpeddit.mscc”，单单击该对对话框中中的“确确定”按按钮后，进入到到本地计计算机的的系统组组策略编编辑窗口口; 在该该编辑窗窗口的左左侧列表表窗格中中，用鼠鼠标展开开“计算算机配置置”策略略分支，在对应应该分支支选项下下面依次次用鼠标标双击“Winndowws设置置/安全全设置/本地策策略/安安全选项项”项目目，在

7、“安全选选项”项项目所对对应的右右侧显示示窗格中中，找到到“ HYPERLINK /network/ 网络络访问:可匿名名访问的的共享”选项并并用鼠标标右键单单击之，从弹出出的快捷捷菜单中中执行“属性”命令，打开如如图2所所示的目目标策略略属性设设置界面面; 图2 在该该设置界界面中，先将系系统默认认允许访访问的共共享资源源全部选选中，并并按一下下键盘上上的DEEL键将将它全部部删除干干净;之之后，根根据实际际情况，将那些些的确需需要向匿匿名用户户长期开开放的目目标共享享文件夹夹“F:aaaa”添添加进来来，再单单击“确确定”按按钮，那那么日后后匿名用用户只能能访问“F:aaaa”共享享文件夹

8、夹中的资资源了。当然，在将“F:aaaa”文件件夹向匿匿名用户户开放之之前，我我们必须须先将该该目标文文件夹的的NTFFS权限限设置成成“读取取”，确确保匿名名用户对对目标共共享文件件夹拥有有最小的的访问权权限。 完成成上面的的操作后后，我们们还需要要打开“ HYPERLINK /network/ 网络访问问:可匿匿名访问问的命名名管道”策略的的属性设设置窗口口和“ HYPERLINK /network/ 网网络访问问:可远远程访问问的注册册表路径径”策略略的属性性设置窗窗口，然然后依次次将这两两个窗口口中多余余的共享享资源项项目全部部删除掉掉，这么么一来匿匿名用户户就只能能访问指指定的共共享

9、文件件夹了。 3、阻止止非法获获取超级级帐号名名称 网管网网wwww_biitsccn_ccom 我们们知道，不少非非法攻击击者常常常通过超超级管理理员帐号号的SIID标识识，来获获取超级级帐号的的管理员员名称信信息，然然后以管管理员真真实名称称信息尝尝试登录录 共享享资源所所在的计计算机系系统，从从而获取取对共享享资源的的最高控控制权限限，很明明显这种种做法会会对本地地共享资资源的安安全造成成极大的的威胁。有鉴于于此，我我们可以以通过修修改系统统的组策策略，禁禁止非法法用户通通过SIID来窃窃取超级级管理员员的真实实名称信信息，下下面就是是具体的的设置方方法: 网管朋朋友网wwww_bitt

10、scnn_neet 依次次单击“开始”/“运运行”命命令，打打开系统统的运行行对话框框，然后后在其中中输入系系统组策策略编辑辑字符串串命令“gpeeditt.mssc”，单击该该对话框框中的“确定”按钮后后，进入入到本地地计算机机的系统统组策略略编辑窗窗口; 中国网网管联盟盟bittsCNN.coom 用鼠鼠标展开开该编辑辑窗口左左侧显示示区域的的“计算算机配置置”策略略分支，在对应应该分支支选项下下面依次次用鼠标标双击“Winndowws设置置/安全全设置/本地策策略/安安全选项项”项目目，在“安全选选项”项项目所对对应的右右侧显示示窗格中中，找到到“ HYPERLINK /network/

11、 网络络访问:允许匿匿名SIID/名名称转换换”选项项并用鼠鼠标右键键单击之之，从弹弹出的快快捷菜单单中执行行“属性性”命令令，打开开如图33所示的的目标策策略属性性设置界界面; 网管论论坛bbbs_bbitssCN_comm 图3 网网管下载载dl.bittscnn.coom 在该该设置界界面中，检查一一下“ HYPERLINK /network/ 网网络访问问:允许许匿名SSID/名称转转换”此此时的策策略是否否已经处处于“已已启用”状态，一旦发发现该目目标策略略已经被被启动的的话，我我们必须须及时将将它设置置为“已已禁用”，最后后单击“确定”按钮，那么非非法用户户日后就就无法通通过管理理

12、员的SSID标标识信息息获取管管理员的的真实名名称信息息了，这这么一来来本地共共享资源源受到非非法控制制的危险险就会大大大下降降了。当当然，要要是局域域网环境境有多个个不同版版本的工工作站系系统时，禁用“ HYPERLINK /network/ 网络访问问:允许许匿名SSID/名称转转换”这这个策略略时，就就容易导导致共享享访问出出现一些些莫名其其妙的问问题，这这一点大大家需要要注意。 网管管bittscnn_coom 4、限定特特定用户户进行共共享访问问 有时时候，我我们希望望只有指指定的用用户才能能通过 HYPERLINK /network/ 网网络访问问本地系系统的共共享资源源，而严严格

13、禁止止包括系系统管理理员在内内的其他他用户随随意通过过 HYPERLINK /network/ 网络访问问本地资资源时，我们就就可以按按照如下下方法设设置系统统组策略略，来限限定特定定用户进进行共享享访问: 网管管联盟bbitssCNcomm 依次次单击“开始”/“运运行”命命令，打打开系统统的运行行对话框框，然后后在其中中输入系系统组策策略编辑辑字符串串命令“gpeeditt.mssc”，单击该该对话框框中的“确定”按钮后后，进入入到本地地计算机机的系统统组策略略编辑窗窗口; 用鼠鼠标展开开该编辑辑窗口左左侧显示示区域的的“计算算机配置置”策略略分支，在对应应该分支支选项下下面依次次用鼠标标

14、双击“Winndowws设置置/安全全设置/本地策策略/用用户权利利指派”项目，在“用用户权利利指派”项目所所对应的的右侧显显示窗格格中，找找到“从从 HYPERLINK /network/ 网络访问问此计算算机”选选项并用用鼠标右右键单击击之，从从弹出的的快捷菜菜单中执执行“属属性”命命令，打打开如图图4所示示的目标标策略属属性设置置界面; 网管管朋友网网wwww_biitsccn_nnet 图4 网网管联盟盟bittsCNNcoom 在该该设置界界面中，先将默默认存在在的Guuestt帐号、Eveeryoone帐帐号选中中并删除除，然后后单击“添加用用户或组组”按钮钮，打开开一个标标题为“

15、选择用用户或组组”的设设置窗口口，在其其中将指指定的用用户帐号号添加进进来，最最后单击击“确定定”按钮钮，这么么一来特特定用户户日后就就能通过过 HYPERLINK /network/ 网络访问问到本地地系统中中的共享享资源了了，而其其他用户户是无法法通过 HYPERLINK /network/ 网网络进行行共享访访问操作作的。5、让共共享访问问时正常常输入用用户名 在局局域网环环境中，当我们们尝试从从其中的的一台工工作站去去访问另另外一台台工作站站中的共共享资源源时，屏屏幕上有有时会弹弹出密码码登录对对话框，可是在在其中我我们却无无法正确确输入用用户名，而只能能输入访访问密码码，这么么一来我

16、我们就无无法使用用自己的的帐号访访问对方方的共享享资源。遇到这这种共享享访问故故障现象象时，我我们究竟竟该怎样样进行应应对呢? 事实实上，这这种现象象多半是是系统的的组策略略设置不不当造成成的，此此时我们们不妨按按照下面面步骤来来修改一一下系统统组策略略: 网网管网wwww_bittscnn_coom 依次次单击“开始”/“运运行”命命令，打打开系统统的运行行对话框框，然后后在其中中输入系系统组策策略编辑辑字符串串命令“gpeeditt.mssc”，单击该该对话框框中的“确定”按钮后后，进入入到本地地计算机机的系统统组策略略编辑窗窗口; 用鼠鼠标展开开该编辑辑窗口左左侧显示示区域的的“计算算机

17、配置置”策略略分支，在对应应该分支支选项下下面依次次用鼠标标双击“Winndowws设置置/安全全设置/本地策策略/安安全选项项”项目目，在“安全选选项”项项目所对对应的右右侧显示示窗格中中，找到到“ HYPERLINK /network/ 网络络访问:本地帐帐户的共共享和安安全模式式”选项项并用鼠鼠标右键键单击之之，从弹弹出的快快捷菜单单中执行行“属性性”命令令，打开开如图55所示的的目标策策略属性性设置界界面;在在该设置置界面中中，看看看“ HYPERLINK /network/ 网络络访问:本地帐帐户的共共享和安安全模式式”策略略此时是是否已被被设置成成“经典典本地地用户以以自己的的身份

18、验验证”，如果不不是的话话，必须须及时将将它修改改过来，最后单单击“确确定”按按钮，这这样一来来我们日日后再次次进行共共享访问问操作时时，就能能正常输输入共享享访问帐帐号名称称进行共共享资源源的访问问操作了了。 图5 网网管u家家wwww.biitsccn.nnet 6、及时记记录用户户共享访访问痕迹迹 网管朋朋友网wwww_bittscnn_neet 为了了防止一一些心术术不正的的局域网网用户在在对共享享文件夹夹的访问问过程中中，做出出对目标标共享资资源不利利的事情情出来，我们应应该想个个办法跟跟踪任何何一位访访问目标标共享资资源的局局域网用用户，并并对他们们的共享享访问痕痕迹进行行自动记记

19、录;以以后一旦旦遇到共共享资源源中的隐隐私信息息被破坏坏或转移移时，我我们可以以查看相相应的日日志记录录，就能能将“罪罪槐祸首首”轻松松找到。事实上上，通过过下面的的步骤我我们就可可以及时时记录用用户共享享访问痕痕迹了: 网管管网m 首先先进入系系统资源源管理器器界面，找到目目标共享享文件夹夹并用鼠鼠标右击击之，执执行快捷捷菜单中中的“属属性”菜菜单命令令，打开开目标共共享文件件夹的属属性设置置窗口;单击其其中的“安全”选项卡卡，并在在对应的的选项设设置页面面中单击击一下“高级”按钮，进入共共享文件件夹的高高级安全全设置页页面，单单击该页页面中的的“审核核”标签签，再在在对应标标签页面面中单击击“添加加”按钮钮。随后后，计算算机将自自动显示示出本地地系统中中所有用用户帐号号，此时时我们可可以将有有权