科技时代新浪首页 > 科技时代 > 学园 > 正文

资源共享随心所欲 用组策略管理网络共享(3)


http://www.sina.com.cn 2006年11月27日 08:51 天极yesky

  3、阻止非法获取超级帐号名称

  我们知道,不少非法攻击者常常通过超级管理员帐号的SID标识,来获取超级帐号的管理员名称信息,然后以管理员真实名称信息尝试登录

  共享资源所在的计算机系统,从而获取对共享资源的最高控制权限,很明显这种做法会对本地共享资源的安全造成极大的威胁。有鉴于此,我们可以通过修改系统的组策略,禁止非法用户通过SID来窃取超级管理员的真实名称信息,下面就是具体的设置方法:

  依次单击“开始”/“运行”命令,打开系统的运行对话框,然后在其中输入系统组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的系统组策略编辑窗口;

  用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/安全选项”项目,在“安全选项”项目所对应的右侧显示窗格中,找到“网络访问:允许匿名SID/名称转换”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图3所示的目标策略属性设置界面;

资源共享随心所欲用组策略管理网络共享(3)
图3

  在该设置界面中,检查一下“网络访问:允许匿名SID/名称转换”此时的策略是否已经处于“已启用”状态,一旦发现该目标策略已经被启动的话,我们必须及时将它设置为“已禁用”,最后单击“确定”按钮,那么非法用户日后就无法通过管理员的SID标识信息获取管理员的真实名称信息了,这么一来本地共享资源受到非法控制的危险就会大大下降了。当然,要是局域网环境有多个不同版本的工作站系统时,禁用“网络访问:允许匿名SID/名称转换”这个策略时,就容易导致共享访问出现一些莫名其妙的问题,这一点大家需要注意。

  4、限定特定用户进行共享访问

  有时候,我们希望只有指定的用户才能通过网络访问本地系统的共享资源,而严格禁止包括系统管理员在内的其他用户随意通过网络访问本地资源时,我们就可以按照如下方法设置系统组策略,来限定特定用户进行共享访问:

  依次单击“开始”/“运行”命令,打开系统的运行对话框,然后在其中输入系统组策略编辑字符串命令“gpedit.msc”,单击该对话框中的“确定”按钮后,进入到本地计算机的系统组策略编辑窗口;

  用鼠标展开该编辑窗口左侧显示区域的“计算机配置”策略分支,在对应该分支选项下面依次用鼠标双击“Windows设置/安全设置/本地策略/用户权利指派”项目,在“用户权利指派”项目所对应的右侧显示窗格中,找到“从网络访问此计算机”选项并用鼠标右键单击之,从弹出的快捷菜单中执行“属性”命令,打开如图4所示的目标策略属性设置界面;

资源共享随心所欲用组策略管理网络共享(3)
图4

  在该设置界面中,先将默认存在的Guest帐号、Everyone帐号选中并删除,然后单击“添加用户或组”按钮,打开一个标题为“选择用户或组”的设置窗口,在其中将指定的用户帐号添加进来,最后单击“确定”按钮,这么一来特定用户日后就能通过网络访问到本地系统中的共享资源了,而其他用户是无法通过网络进行共享访问操作的。

[上一页] [1] [2] [3] [4] [下一页]

本文导航:
·剥夺匿名用户共享访问权限
·限定匿名用户共享访问内容
·阻止非法获取超级帐号名称
·让共享访问时正常输入用户名

发表评论 _COUNT_条

爱问(iAsk.com) 相关网页共约2,690,000



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有