在日常的辦公應用中,為了使用的方便,我們習慣於將自己計算機上的一些文檔、目錄共享出來,以便於別人調用。但是對於共享的文件夾常常無法做到在使用後即將其關閉,這樣網絡上一些別有用心的人則可能對我們的共享文件進行破壞,對於這種情況,我們可以借助組策略來對共享內容提供保護。
一、禁止共享空密碼
Windows默認狀態下,允許遠程用戶可以使用空用戶連接方式獲得網絡上某一台計算機的共享資源列表和所有帳戶名稱。這個功能的開放,則容易讓非未能用戶使用空密碼或暴力破解得到共享的密碼,從而達到侵入共享目錄的目的。
對於這種情況,我們首先可以關閉SAM賬號和共享的匿名枚舉功能。打開開始菜單中的“運行”窗口,輸入“gpedit.msc”打開組策略編輯器,在左側依次找到“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,雙擊右側的“網絡訪問:不允許SAM賬號和共享的匿名枚舉”項,在彈出的窗口中選中“已啟用”選項,最後單擊“確定”按鈕保存設置。經過這樣的設置之後,非法用戶就無法直接獲得共享信息和賬戶列表了。
二、禁止匿名SID/名稱轉換
在前面我們已經禁止非法用戶直接獲得賬戶列表,但是非法用戶仍然可以使用管理員賬號的SID來獲取默認的administrator的真實名稱。對此,我們需要在組策略中打開“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,然後修改“網絡訪問:允許匿名SID/名稱轉換”為“已停用”。不過這樣一來,可能會造成網絡上低版本的用戶在訪問共享資源時出現 一些問題。因此網絡有多個版本的操作系統時須謹慎使用該項配置。
三、修改匿名訪問對象
從安全角度和實用角度來看,Windows XP很多默認設置並不符合用戶的需要,針對網絡訪問的匿名訪問設置包括共享、命名管道和注冊表路徑等。
對此,我們需要進入組策略編輯器,選擇“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”,雙擊“網絡訪問:可匿名訪問的共享”,在打開的窗口中將所有的項目刪除,然後根據自己的實際使用需要,將一些確實需要讓所有用戶長期訪問的文件夾添加進來即可。天家軟件站提醒大家在添加這些共享文件夾時,必須提前做好其NTFS操作權限設置。在設置權限的時候,必須遵循權限的最小性原則。最小性原則包括不要對賬戶授予多余的權限,不要為多余賬戶授予權限。
同理,在修改好可匿名訪問的共享後,需要繼續雙擊打開“網絡訪問:可匿名訪問的命名管道”和“網絡訪問:可遠程訪問的注冊表路徑”,將多余的項目都刪除掉。
四、禁止非授權訪問
為了符合權限的最小性原則,我們可以對網絡訪問的賬戶作出嚴格限制。在打開的組策略編輯器中,依次選擇“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“用戶權利指派”,雙擊右側的“從網絡訪問此計算機”,然後將一些必須使用網絡訪問的賬戶添加進來,然後將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠程登錄,同樣可以將其刪除,而只保留用於訪問共享目錄的授權帳戶;然後再打開“拒絕從網絡訪問這台計算機”,同樣的道理只將用於訪問共享目錄的授權帳戶添加進來,將其它用戶全部刪除。
五、設置正確訪問模式
對於共享文件的訪問,Windows XP提供了經典和僅來賓兩種不同的模式。為了使用的方便,很多人選擇了“僅來賓”方式,這樣這樣所有的登錄將自動使用Guest賬戶訪問共享目錄,即所有人都可以自由訪問,這樣無法對共享資源提供精確的訪問控制。
因此,我們建議大家在“安全選項”列表右側雙擊“網絡訪問:本地賬戶的共享和安全模式”,將其設置為“經典-本地用戶以用戶的身份驗證”項即可。不過需要注意的是,使用經典模式,雖然需要知道本地帳戶名稱方可訪問,但由於很多用戶帳戶並沒有設置密碼,這樣仍然是不安全的,必須設置密碼以保護本地帳戶。
六、預防EveryOny組權限延伸
很多人都認為匿名用戶的權限和Everyone組的權限是一樣的,其實這種看法是極其錯誤的。雖然兩者之間的權限有部分是相同的,但並不是完全一致的。默認情況下Everyone組的權限要大於匿名用戶。但是在Windows XP中,卻允許將“Everyone”組權限應用於匿名用戶。
對此,我們需要禁止這種做法。在組策略中打開“安全選項”,然後在右側雙擊“網絡訪問:讓每個人權限應用於匿名用戶”,將其設置為“已停用”即可。不過,雖然我們將該項已設置為停用,但是我們仍然不建議用戶將過多的權限直接授予Everyone組,因為這不符合權限授予的最小性原則。
七、禁止非空密碼交互式登錄
為了防止管理員添加賬號時沒有設置密碼,並且對沒有密碼的本地賬戶進行了授權訪問。對此,我們可以禁止空白密碼的本地賬戶進行交互式登錄訪問共享目錄。
在“安全選項”下雙擊“賬戶:使用空白密碼的本地賬戶只允許進行控制台登錄”,將其設置為“已啟用”。同時為了防止管理員設置過於簡單的密碼,還需要在組策略編輯器的“安全設置”下,選擇“帳戶策略”—“密碼策略”,然後設置“密碼長度最小值”和“密碼必須符合復雜性要求”選項。
八、做好訪問記錄
通過日志,可以記錄所有賬戶對共享目錄的訪問、操作情況。不過要想日志進行記錄,必須啟用審核對象訪問。打開組策略編輯器,在“本地策略”下選擇“審核策略”,然後雙擊右側的“審核對象訪問”,在打開的窗口中將“成功”和“失敗”項全部選中。