返回
如何运用组策略保护电脑

如何运用组策略保护电脑

ID:38131290

大小:53.00 KB

页数:5页

时间:2019-05-27

如何运用组策略保护电脑_第1页
如何运用组策略保护电脑_第2页
如何运用组策略保护电脑_第3页
如何运用组策略保护电脑_第4页
如何运用组策略保护电脑_第5页
资源描述:

《如何运用组策略保护电脑》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、如何运用组策略保护电脑  在日常的办公应用中,为了使用的方便,我们习惯于将自己计算机上的一些文档、目录共享出来,以便于别人调用。  但是对于共享的文件夹常常无法做到在使用后即将其关闭,这样网络上一些别有用心的人则可能对我们的共享文件进行破坏,对于这种情况,我们可以借助组策略来保护共享内容。  一、禁止共享空密码  Windows默认状态下,允许远程用户可以使用空用户连接方式获得网络上某一台计算机的共享资源列表和所有用户名称。这个功能的开放,则容易让非未能用户使用空密码或暴力破译得到共享的密码,从而达到侵入共享目录的目的。  对于这种情况,我们首先可以关闭SAM账号和共享的匿名枚举功能。打开

2、开始菜单中的“运行”窗口,输入“gpedit.msc”打开组策略编辑器,在左侧依次找到“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,双击右侧的“网络访问:不允许SAM账号和共享的匿名枚举”项,在弹出的窗口中选中“已启用”选项,最后单击“确定”按钮保存设置。经过这样的设置之后,非法用户就无法直接获得共享信息和账户列表了。  二、禁止匿名SID/名称转换  在前面我们已经禁止非法用户直接获得账户列表,但是非法用户仍然可以使用管理员账号的SID来获取默认的administrator的真实名称。对此,我们需要在组策略中打开“计算机配置”—“Windows设置”—

3、“安全设置”—“本地策略”—“安全选项”,然后修改“网络访问:允许匿名SID/名称转换”为“已停用”。不过这样一来,可能会造成网络上低版本的用户在访问共享资源时出现一些问题。因此网络有多个版本的系统时须谨慎使用该项配置。  三、修改匿名访问对象  从安全角度和实用角度来看,WindowsXP很多默认设置并不符合用户的需要,针对网络访问的匿名访问设置包括共享、命名管道和注册表路径等。  对此,我们需要打开组策略编辑器,选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,双击“网络访问:可匿名访问的共享”,在打开的窗口中将所有的项目删除,然后根据自己的实际使用

4、需要,将一些确实需要让所有用户长期访问的文件夹添加进来即可。注意,在添加这些共享文件夹时,必须提前做好其NTFS操作权限设置。在设置权限的时候,必须遵循权限的最小性原则。最小性原则包括不要对账户授予多余的权限,不要为多余账户授予权限。  同理,在修改好可匿名访问的共享后,需要继续双击打开“网络访问:可匿名访问的命名管道”和“网络访问:可远程访问的注册表路径”,将多余的项目都删除掉。  四、禁止非授权访问作者:江西新华电脑学院  为了符合权限的最小性原则,我们可以对网络访问的账户作出严格限制。在打开的组策略编辑器中,依次选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—

5、“用户权利指派”,双击右侧的“从网络访问此计算机”,然后将一些必须使用网络访问的账户添加进来,然后将例如Everyone、Guest之类的账户删除。如果管理员不需要远程登录,同样可以将其删除,而只保留用于访问共享目录的授权帐户;然后再打开“拒绝从网络访问这台计算机”,同样的道理只将用于访问共享目录的授权帐户添加进来,将其它用户全部删除。  五、设置正确访问模式  对于共享文件的访问,WindowsXP提供了经典和仅来宾两种不同的模式。为了使用的方便,很多人选择了“仅来宾”方式,这样所有的登录将自动使用Guest账户访问共享目录,即所有人都可以自由访问,这样无法对共享资源提供精确的访问控制。

6、  因此,我们建议大家在“安全选项”列表右侧双击“网络访问:本地账户的共享和安全模式”,将其设置为“经典-本地用户以用户的身份验证”项即可。不过需要注意的是,使用经典模式,虽然需要知道本地帐户名称方可访问,但由于很多用户并没有设置密码,这样仍然是不安全的,必须设置密码以保护本地帐户。  六、预防EveryOny组权限延伸  很多人都认为匿名用户的权限和Everyone组的权限是一样的,其实这种看法是极其错误的。虽然两者之间的权限有部分是相同的,但并不是完全一致的。默认情况下Everyone组的权限要大于匿名用户。但是在WindowsXP中,却允许将“Everyone”组权限应用于匿名用户。

7、  对此,我们需要禁止这种做法。在组策略中打开“安全选项”,然后在右侧双击“网络访问:让每个人权限应用于匿名用户”,将其设置为“已停用”即可。不过,虽然我们将该项已设置为停用,但是我们仍然不建议用户将过多的权限直接授予Everyone组,因为这不符合权限授予的最小性原则。  七、禁止非空密码交互式登录  为了防止管理员添加账号时没有设置密码,并且对没有密码的本地账户进行了授权访问。对此,我们可以禁止空白密码的本地账户进行

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。