資源共享隨心所欲用組策略管理網(wǎng)絡共享

字號:

在局域網(wǎng)環(huán)境中,為了方便與他人交流信息,我們常常會將自己計算機中的一些重要信息共享出來,以便于局域網(wǎng)其他用戶調(diào)用。不過在共享訪問過程中,我們常常會受到一些安全攻擊或者遇到一些共享訪問故障;為了提高共享訪問效率,減少共享安全隱患,我們往往需要學會一些共享資源控制、管理技巧。這不,本文下面就從系統(tǒng)組策略出發(fā),為各位推薦幾則管理、控制共享資源的技巧,相信各位在下面技巧的“指揮”下一定能精彩進行共享訪問操作!
    1、剝奪匿名用戶共享訪問權限
    在安裝有Windows XP系統(tǒng)的工作站中,匿名用戶在默認狀態(tài)下往往會擁有與Everyone帳號一樣的訪問權限,要是我們不小心給Everyone帳號賦予比較高的共享訪問權,那么匿名用戶隨之也會擁有比較高的共享訪問權限,這顯然會給共享訪問帶來很大的安全隱患。為了確保文件夾共享訪問的絕對安全性,我們有必要通過修改系統(tǒng)組策略的方法,限度剝奪匿名用戶的共享訪問權限,下面就是具體的設置方法:
    首先單擊系統(tǒng)桌面中的“開始”按鈕,在彈出的系統(tǒng)“開始”菜單中選擇“運行”項目,打開系統(tǒng)的運行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的系統(tǒng)組策略編輯窗口;
    在該編輯窗口的左側列表窗格中,用鼠標展開“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/安全選項”項目,在“安全選項”項目所對應的右側顯示窗格中,找到“網(wǎng)絡訪問:讓每個人權限應用于匿名用戶”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執(zhí)行“屬性”命令,打開如圖1所示的目標策略屬性設置界面;
    在該設置界面中,檢查一下“網(wǎng)絡訪問:讓每個人權限應用于匿名用戶”此時的策略是否已經(jīng)處于“已啟用”狀態(tài),一旦發(fā)現(xiàn)該目標策略已經(jīng)被啟動的話,我們必須及時將它設置為“已停用”,最后單擊“確定”按鈕,那么匿名用戶日后在嘗試共享訪問操作時由于無法獲得足夠權限,從而無法對共享訪問帶來潛在安全威脅。當然,為安全、穩(wěn)妥起見,我們也不應該為本地計算機的Everyone帳號授予太高的共享訪問權限。
    2、限定匿名用戶共享訪問內(nèi)容
    在默認狀態(tài)下,Windows XP工作站系統(tǒng)會允許匿名用戶訪問本地系統(tǒng)的不少共享資源,這顯然會給本地計算機的安全帶來一定的威脅。為了降低系統(tǒng)的安全威脅,我們完全可以限定匿名用戶只能訪問本地系統(tǒng)指定的共享文件夾,而且在允許匿名用戶訪問該目標共享文件夾之前,我們還需要對其NTFS權限進行合適設置,確保匿名用戶只能對目標共享文件夾有最小的操作權限。例如,假設我們希望匿名用戶只能訪問本地系統(tǒng)F盤中的“aaa”共享文件夾時,而無權訪問其他共享資源時,就可以按照如下操作步驟來設置系統(tǒng)組策略:
    首先單擊系統(tǒng)桌面中的“開始”按鈕,在彈出的系統(tǒng)“開始”菜單中選擇“運行”項目,打開系統(tǒng)的運行對話框,然后在其中輸入系統(tǒng)組策略編輯字符串命令“gpedit.msc”,單擊該對話框中的“確定”按鈕后,進入到本地計算機的系統(tǒng)組策略編輯窗口;
    在該編輯窗口的左側列表窗格中,用鼠標展開“計算機配置”策略分支,在對應該分支選項下面依次用鼠標雙擊“Windows設置/安全設置/本地策略/安全選項”項目,在“安全選項”項目所對應的右側顯示窗格中,找到“網(wǎng)絡訪問:可匿名訪問的共享”選項并用鼠標右鍵單擊之,從彈出的快捷菜單中執(zhí)行“屬性”命令,打開如圖2所示的目標策略屬性設置界面;
    在該設置界面中,先將系統(tǒng)默認允許訪問的共享資源全部選中,并按一下鍵盤上的DEL鍵將它全部刪除干凈;之后,根據(jù)實際情況,將那些的確需要向匿名用戶長期開放的目標共享文件夾“F:\aaa”添加進來,再單擊“確定”按鈕,那么日后匿名用戶只能訪問“F:\aaa”共享文件夾中的資源了。當然,在將“F:\aaa”文件夾向匿名用戶開放之前,我們必須先將該目標文件夾的NTFS權限設置成“讀取”,確保匿名用戶對目標共享文件夾擁有最小的訪問權限。
    完成上面的操作后,我們還需要打開“網(wǎng)絡訪問:可匿名訪問的命名管道”策略的屬性設置窗口和“網(wǎng)絡訪問:可遠程訪問的注冊表路徑”策略的屬性設置窗口,然后依次將這兩個窗口中多余的共享資源項目全部刪除掉,這么一來匿名用戶就只能訪問指定的共享文件夾了。