欢迎来到天天文库
浏览记录
ID:46260859
大小:288.55 KB
页数:7页
时间:2019-11-22
《用Windows组策略管理网络共享的技巧》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、1、剥夺匿名用户共享访问权限在安装有WindowsXI)系统的工作站中,匿需用户在默认状态下往往会拥有与Everyone帐号一样的访问权限,耍是我们不小心给Everyone帐号赋予比綾高的共享访问权限时,那么匿名用八随Z也会拥有比较高的共享访问权限,这显然会给共享访问带来很人的女全隐患。为了确保文件夹共享访问的绝对安全性,我们有必要通过修改Windows组策略的方法,最人限度剥夺匿名用户的共享访问权限,下而就是具体的设置方法:首先单击系统桌血中的“开始”按钮,在弹出的系统“开始”菜单中选择“运行”项目,打开系统的运行对话框,然后在其中输入Wind
2、ows组策略编辑字符串命令“gpcdit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口;在该编辑窗口的左侧列表窗格中,用鼠标展开“计算机配置”策略分支,在对应该分支选项下而依次用鼠标双击"Windows设置/安全设置/木地策略/安全选项”项目,在“安全选项”项目所对应的右侧显示窗格中,找到“网络访问:让每个人权限应用于匿名用户”选项并川鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图1所示的H标策略属性设置界而;图1在该设置界而中,检查一下“网络访问:让每个人权限应用于匿名用户”此时的策略是
3、否已经处于“已启用”状态,一旦发现该目标策略已经被启动的话,我们必须及时将它设置为停用”,最后单击“确定”按钮,那么匿名用户口后在尝试共享访问操作时山于无法获得足够权限,从而无法对共亨访问带來潜在安全威胁。当然,为女全、稳妥起见,我们也不应该为本地计算机的Everyone帐号授予太高的共享访问权限。2、限定匿名用户共享访问内容在默认状态下,WindowsXP工作站系统会允许匿名川户访问木地系统的不少共享资源,这显然会给本地计算机的安全带来一定的威胁。为了降低系统的安全威胁,我们完全可以限定匿名用八只能访问木地系统指定的共享文件夹,而且在允许匿名用
4、户访问该H标共享文件夹之前,我们还需要对其NTFS权限进行合适设置,确保匿名川户只能对]I标共享文件夹有最小的操作权限。例如,假设我们希與匿名川户只能访问本地系统F盘中的“saa”共享文件夹时,而无权访问其他共享资源时,就可以按照如下操作步骤来设置Windows组策略:首先单击系统桌面屮的"开始”按钮,在弹出的系统"开始”菜单屮选择''运行”项目,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpedit.msc",单击该对话框中的“确定”按钮后,进入到木地计算机的Windows组策略编辑窗口;在该编辑窗口的左侧列表窗格
5、中,用鼠标展开“计算机配置”策略分支,在对应该分支选项下血依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项忖,在“安全选项”项1=1所对应的右侧显示窗格中,找到“网络访问:可匿名访问的共亨”选项并用鼠标右键单击Z,从弹出的快捷菜单中执行“属性”命令,打开如图2所示的廿标策略属性设置界面;图2在该设置界血中,先将系统默认允许访问的共亨资源全部选屮,并按一下键盘上的DEL键将它全部删除干净;之后,根据实际情况,将那些的确需要向匿金用八长期开放的目标共享文件夹“F:aaa”添加进来,再单击“确定”按钮,那么日后匿名用户只能访问“F
6、:aaa”共事文件夹中的资源了。当然,在将"F:aaa”文件夹向匿名用八开放之前,我们必须先将该目标文件夹的NTFS权限设習成“读取”,确保匿名用户对11标共享文件夹拥有最小的访问权限。完成上面的操作后,我们还需要打开“网络访问:可匿名访问的命名管道”策略的属性设置窗口和“网络访问:可远程访问的注册表路径”策略的属性设置窗口,然后依次将这两个窗口屮多余的共享资源项目全部删除掉,这么-来匿名川户就只能访问指定的共享文件夹To3、阻止非法获取超级帐号名称我们知道,不少非法攻击者常常通过超级管理员帐号的SII)标识,来获取超级帐号的管理员名称信息,
7、然后以管理员真实名称信息尝试登录共亭资源所在的计算机系统,从而获取对共享资源的最高控制权限,很明显这种做法会对木地共亨资源的安全造成极人的威胁。有鉴于此,我们可以通过修改系统的纽策略,禁止非法川八通过STD來窃取超级管理员的真实名称信息,卜而就是具体的设置方法:依次单击“开始”/“运行”命令,打开系统的运行对话框,然后在其中输入Windows组策略编辑字符串命令“gpcdit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的Windows组策略编辑窗口;川鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支,在对应该分支选项F面依次
8、用鼠标双击“Windows设置/安全设置/木地策略/女全选项”项廿,在“女全选项”项目所对应的右侧显示窗格中,找到“网络访问:允许匿名S
此文档下载收益归作者所有