在日常的辦公應用中,為了方便,我們習慣於將自己計算機上的一些文檔、目錄共享出來,以便於別人調用。但是,共享目錄的安全往往難以得到保障,一些非法用戶則可能對我們的共享文件進行訪問甚至破壞,這種情況,組策略就派上了用場。
一,禁止共享空密碼
Windows默認狀態下,允許遠程用戶可以使用空用戶連接方式獲得網絡上某一台計算機的共享資源列表和所有帳戶名稱。這個功能的開放,則容易讓非法用戶使用空密碼或暴力破譯得到共享的密碼,從而達到侵入共享目錄的目的。
對於這種情況,我們首先可以關閉SAM賬號和共享的匿名枚舉功能。打開開始菜單中的“運行”窗口,輸入“gpedit.msc”打開組策略編輯器,在左側依次找到“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,雙擊右側的“網絡訪問:不允許SAM賬號和共享的匿名枚舉”項,在彈出的窗口中選中“已啟用”選項,最後單擊“確定”按鈕保存設置。經過這樣的設置之後,非法用戶就無法直接獲得共享信息和賬戶列表了。
圖一
圖二
二,禁止非授權訪問
為了符合權限的最小性原則,我們可以對網絡訪問的賬戶作出嚴格限制。在打開的組策略編輯器中,依次選擇“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“用戶權限分配”,雙擊右側的“從網絡訪問此計算機”,然後將一些必須使用網絡訪問的賬戶添加進來,並將例如Everyone、Guest之類的賬戶刪除。然後再打開“拒絕從網絡訪問這台計算機”,同樣的道理,只將需要訪問共享目錄的授權帳戶添加進來,將其它用戶全部刪除。這兩條策略同時作用時,前者取代後者。
圖三
三,禁止匿名SID/名稱轉換
在前面我們已經禁止非法用戶直接獲得賬戶列表,但是非法用戶仍然可以使用管理員賬號的SID來獲取默認的administrator的真實名稱。對此,我們需要在組策略中打開“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,然後修改“網絡訪問:允許匿名SID/名稱轉換”為“已停用”。不過這樣一來,可能會造成網絡上低版本的用戶在訪問共享資源時出現 一些問題。因此網絡有多個版本的系統時須謹慎使用該項配置。
圖五
結語:共享目錄方便了我們應用計算機,提高了我們的工作效率,有了以上這些並不復雜的措施,其潛在的危險性會大大降低。
前期閱讀:組策略怎麼用 玩轉電腦組策略技巧
