收藏
下载资源

组策略安全组策略保障共享目录安全

上传人:206****923 文档编号:46504504 上传时间:2018-06-26 格式:PDF 页数:3 大小:149.23KB
返回 下载 相关 举报
组策略安全组策略保障共享目录安全_第1页
第1页 / 共3页
组策略安全组策略保障共享目录安全_第2页
第2页 / 共3页
组策略安全组策略保障共享目录安全_第3页
第3页 / 共3页
亲,该文档总共3页,全部预览完了,如果喜欢就下载吧!
资源描述

《组策略安全组策略保障共享目录安全》由会员分享,可在线阅读,更多相关《组策略安全组策略保障共享目录安全(3页珍藏版)》请在金锄头文库上搜索。

1、组策略安全:组策略保障共享目录安全 疯狂代码 http:/CrazyC :http:/CrazyC 在日常办公应用中为了使用方便我们习惯于将自己电脑上些文档、目录共享出来以便于别人但是对 于共享文件夹常常无法做到在使用后即将其关闭这样网络上些别有用心人则可能对我们共享文件进行破坏对于 这种情况我们可以借助组策略来保护共享内容 、禁止共享空密码 Windows默认状态下允许远程用户可以使用空用户连接方式获得网络上某台计算机共享资源列表和所有帐 户名称这个功能开放则容易让非未能用户使用空密码或暴力破解得到共享密码从而达到侵入共享目录目 对于这种情况我们首先可以关闭SAM账号和共享匿名枚举功能打开开

2、始菜单中“运行”窗口输入 “gpedit.msc”打开组策略编辑器在左侧依次找到“计算机配置”“Windows设置”“安全设置 ”“本地策略”“安全选项”双击右侧“网络访问:不允许SAM账号和共享匿名枚举”项在弹出窗口中选中 “已启用”选项最后单击“确定”按钮保存设置经过这样设置的后非法用户就无法直接获得共享信息和账户列 表了 2、禁止匿名SID/名称转换 在前面我们已经禁止非法用户直接获得账户列表但是非法用户仍然可以使用管理员账号SID来获取默认 administrator真实名称对此我们需要在组策略中打开“计算机配置”“Windows设置”“安全设置 ”“本地策略”“安全选项”然后修改“网

3、络访问:允许匿名SID/名称转换”为“已停用”不过这样来可能 会造成网络上低版本用户在访问共享资源时出现 些问题因此网络有多个版本系统时须谨慎使用该项配置 3、修改匿名访问对象 从安全角度和实用角度来看Windows XP很多默认设置并不符合用户需要针对网络访问匿名访问设置包括 共享、命名管道和注册表路径等 对此我们需要进入组策略编辑器选择“计算机配置”“Windows设置”“安全设置”“本地策略 ”“安全选项”双击“网络访问:可匿名访问共享”在打开窗口中将所有项目删除然后根据自己实际使用需要 将些确实需要让所有用户长期访问文件夹添加进来即可注意在添加这些共享文件夹时必须提前做好其NTFS操作

4、 权限设置在设置权限时候必须遵循权限最小性原则最小性原则包括不要对账户授予多余权限不要为多余账户授 予权限 同理在修改好可匿名访问共享后需要继续双击打开“网络访问:可匿名访问命名管道”和“网络访问:可远程 访问注册表路径”将多余项目都删除掉 4、禁止非授权访问 为了符合权限最小性原则我们可以对网络访问账户作出严格限制在打开组策略编辑器中依次选择“计算机 配置”“Windows设置”“安全设置”“本地策略”“用户权利指派”双击右侧“从网络访问此计 算机”然后将些必须使用网络访问账户添加进来然后将例如Everyone、Guest的类账户删除如果管理员不需要 远程登录同样可以将其删除而只保留用于访问

5、共享目录授权帐户;然后再打开“拒绝从网络访问这台计算机”同 样道理只将用于访问共享目录授权帐户添加进来将其它用户全部删除 5、设置正确访问模式 对于共享文件访问Windows XP提供了经典和仅来宾两种区别模式为了使用方便很多人选择了“仅来宾 ”方式这样这样所有登录将自动使用Guest账户访问共享目录即所有人都可以自由访问这样无法对共享资源提 供精确访问控制 因此我们建议大家在“安全选项”列表右侧双击“网络访问:本地账户共享和安全模式”将其设置为“经典- 本地用户以用户身份验证”项即可不过需要注意是使用经典模式虽然需要知道本地帐户名称方可访问但由于很 多用户帐户并没有设置密码这样仍然是不安全必

6、须设置密码以保护本地帐户 6、预防EveryOny组权限延伸 很多人都认为匿名用户权限和Everyone组权限是样其实这种看法是极其虽然两者的间权限有部分是相同但 并不是完全致默认情况下Everyone组权限要大于匿名用户但是在Windows XP中却允许将“Everyone”组权 限应用于匿名用户 对此我们需要禁止这种做法在组策略中打开“安全选项”然后在右侧双击“网络访问:让每个人权限应用于 匿名用户”将其设置为“已停用”即可不过虽然我们将该项已设置为停用但是我们仍然不建议用户将过多权限 直接授予Everyone组这不符合权限授予最小性原则 7、禁止非空密码交互式登录 为了防止管理员添加账号

7、时没有设置密码并且对没有密码本地账户进行了授权访问对此我们可以禁止空白 密码本地账户进行交互式登录访问共享目录 在“安全选项”下双击“账户:使用空白密码本地账户只允许进行控制台登录”将其设置为“已启用”同时 为了防止管理员设置过于简单密码还需要在组策略编辑器“安全设置”下选择“帐户策略”“密码策略”然 后设置“密码长度最小值”和“密码必须符合复杂性要求”选项 8、做好访问记录 通过日志可以记录所有账户对共享目录访问、操作情况不过要想日志进行记录必须启用审核对象访问打开 组策略编辑器在“本地策略”下选择“审核策略”然后双击右侧“审核对象访问”在打开窗口中将“成功”和 “失败”项全部选中 接下来再打开共享目录属性窗口在“安全”标签中单击“高级”按钮切换到“审核”标签单击“添加”按 钮将所有有权访问共享目录账户都添加进来并保存设置 经过这样设置后我们就可以进入“控制面板”“管理工具”文件夹双击其中“事件查看器”然后查找ID号 为560、562、564事件即可了解详细访问情况了 其实安全问题并非我们想象中那样复杂只要我们平时注意做好防范能够用好系统提供保护措施那么即可防 范绝大部分入侵破坏活动 2009-1-16 2:58:06 疯狂代码 http:/CrazyC

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号