充分利用系統的組策略保障共享目錄安全
在日常的辦公應用中,為了使用的方便,我們習慣於將自己電腦上的一些文件、目錄共享出來,以便於別人呼叫。但是對於共享的資料夾常常無法做到在使用後即將其關閉,這樣網路上一些別有用心的人則可能對我們的共享檔案進行破壞,對於這種情況,我們可以藉助組策略來對共享內容提供保護。
一、禁止共享空密碼
Windows預設狀態下,允許遠端使用者可以使用空使用者連線方式獲得網路上某一臺計算機的共享資源列表和所有帳戶名稱。這個功能的開放,則容易讓非未能使用者使用空密碼或暴力破解得到共享的密碼,從而達到侵入共享目錄的目的。
對於這種情況,我們首先可以關閉SAM賬號和共享的匿名列舉功能。開啟開始選單中的“執行”視窗,輸入“gpedit.msc”開啟組策略編輯器,在左側依次找到“計算機配置”—“Windows設定”—“安全設定”—“本地策略”—“安全選項”,雙擊右側的“網路訪問:不允許SAM賬號和共享的匿名列舉”項,在彈出的視窗中選中“已啟用”選項,最後單擊“確定”按鈕儲存設定。經過這樣的設定之後,非法使用者就無法直接獲得共享資訊和賬戶列表了。
二、禁止匿名SID/名稱轉換
在前面我們已經禁止非法使用者直接獲得賬戶列表,但是非法使用者仍然可以使用管理員賬號的SID來獲取預設的administrator的真實名稱。
對此,我們需要在組策略中開啟“計算機配置”—“Windows設定”—“安全設定”—“本地策略”—“安全選項”,然後修改“網路訪問:允許匿名SID/名稱轉換”為“已停用”。不過這樣一來,可能會造成網路上低版本的使用者在訪問共享資源時出現 一些問題。因此網路有多個版本系統時須謹慎使用該項配置。
三、修改匿名訪問物件
從安全形度和實用角度來看,Windows XP很多預設設定並不符合使用者的需要,針對網路訪問的匿名訪問設定包括共享、命名管道和登錄檔路徑等。
對此,我們需要進入組策略編輯器,選擇“計算機配置”—“Windows設定”—“安全設定”—“本地策略”—“安全選項”,雙擊“網路訪問:可匿名訪問的共享”,在開啟的視窗中將所有的專案刪除,然後根據自己的實際使用需要,將一些確實需要讓所有使用者長期訪問的資料夾新增進來即可。注意,在新增這些共享資料夾時,必須提前做好其NTFS操作許可權設定。在設定許可權的時候,必須遵循許可權的最小性原則。最小性原則包括不要對賬戶授予多餘的許可權,不要為多餘賬戶授予許可權。
同理,在修改好可匿名訪問的共享後,需要繼續雙擊開啟“網路訪問:可匿名訪問的命名管道”和“網路訪問:可遠端訪問的登錄檔路徑”,將多餘的專案都刪除掉。
四、禁止非授權訪問
為了符合許可權的最小性原則,我們可以對網路訪問的賬戶作出嚴格限制。在開啟的組策略編輯器中,依次選擇“計算機配置”—“Windows設定”—“安全設定”—“本地策略”—“使用者權利指派”,雙擊右側的“從網路訪問此計算機”,然後將一些必須使用網路訪問的賬戶新增進來,然後將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠端登入,同樣可以將其刪除,而只保留用於訪問共享目錄的授權帳戶;然後再開啟“拒絕從網路訪問這臺計算機”,同樣的道理只將用於訪問共享目錄的授權帳戶新增進來,將其它使用者全部刪除。
五、設定正確訪問模式
對於共享檔案的訪問,Windows XP提供了經典和僅來賓兩種不同的模式。為了使用的方便,很多人選擇了“僅來賓”方式,這樣這樣所有的登入將自動使用Guest賬戶訪問共享目錄,即所有人都可以自由訪問,這樣無法對共享資源提供精確的訪問控制。
因此,我們建議大家在“安全選項”列表右側雙擊“網路訪問:本地賬戶的共享和安全模式”,將其設定為“經典-本地使用者以使用者的身份驗證”項即可。不過需要注意的是,使用經典模式,雖然需要知道本地帳戶名稱方可訪問,但由於很多使用者帳戶並沒有設定密碼,這樣仍然是不安全的,必須設定密碼以保護本地帳戶。
六、預防EveryOny組許可權延伸
很多人都認為匿名使用者的許可權和Everyone組的許可權是一樣的,其實這種看法是極其錯誤的。雖然兩者之間的許可權有部分是相同的,但並不是完全一致的。預設情況下Everyone組的許可權要大於匿名使用者。但是在Windows XP中,卻允許將“Everyone”組許可權應用於匿名使用者。
對此,我們需要禁止這種做法。在組策略中開啟“安全選項”,然後在右側雙擊“網路訪問:讓每個人許可權應用於匿名使用者”,將其設定為“已停用”即可。不過,雖然我們將該項已設定為停用,但是我們仍然不建議使用者將過多的許可權直接授予Everyone組,因為這不符合許可權授予的最小性原則。
七、禁止非空密碼互動式登入
為了防止管理員新增賬號時沒有設定密碼,並且對沒有密碼的本地賬戶進行了授權訪問。對此,我們可以禁止空白密碼的本地賬戶進行互動式登入訪問共享目錄。
在“安全選項”下雙擊“賬戶:使用空白密碼的本地賬戶只允許進行控制檯登入”,將其設定為“已啟用”。同時為了防止管理員設定過於簡單的密碼,還需要在組策略編輯器的“安全設定”下,選擇“帳戶策略”—“密碼策略”,然後設定“密碼長度最小值”和“密碼必須符合複雜性要求”選項。
八、做好訪問記錄
通過日誌,可以記錄所有賬戶對共享目錄的訪問、操作情況。不過要想日誌進行記錄,必須啟用稽核物件訪問。開啟組策略編輯器,在“本地策略”下選擇“稽核策略”,然後雙擊右側的“稽核物件訪問”,在開啟的視窗中將“成功”和“失敗”項全部選中。
接下來再開啟共享目錄的屬性視窗,在“安全”標籤中單擊“高階”按鈕,切換到“稽核”標籤,單擊“新增”按鈕,將所有有權訪問共享目錄的賬戶都新增進來並儲存設定。
經過這樣的設定後,我們就可以進入“控制皮膚”的“管理工具”資料夾,雙擊其中的“事件檢視器”,然後查詢ID號為560、562、564的事件,即可瞭解詳細的訪問情況了。
其實,安全問題並非我們想象中的那樣複雜,只要我們平時注意做好防範,能夠用好系統提供的保護措施,那麼即可防範絕大部分的入侵破壞活動。
相關文章
- 網路目錄服務:實現組策略
- 儲存目錄的SMB目錄共享問題
- java安全編碼指南之:檔案和共享目錄的安全性Java
- 配置 NFS 共享目錄NFS
- iOS系統目錄:iOS
- PG系統目錄
- linux nfs 共享目錄LinuxNFS
- Linux 系統目錄Linux
- 系統目錄結構
- GBase 8d目錄服務系統主要組成
- 系統目錄或檔案屬組屬主(許可權)
- Linux的系統的安全如何保障?保護Linux系統安全的九個常用方法Linux
- Win10系統電腦開啟組策略的方法,Win10系統如何開啟組策略?Win10
- Linux共享遠端目錄Linux
- Linux 檔案系統的目錄Linux
- Ubuntu系統目錄結構Ubuntu
- tomcat虛擬目錄對映網路共享目錄的問題Tomcat
- ERP系統資料安全性如何保障
- 保障醫共體業務系統安全,綠盟科技在行動
- 雲CRM系統如何保障企業資料安全?
- samba服務的配置(linux共享目錄)SambaLinux
- 列出並排序檔案系統根目錄(/)下各個目錄的大小排序
- 網路安全系統的基本組成
- 解析Linux系統根檔案系統的目錄樹Linux
- linux掛載windows共享目錄LinuxWindows
- 活動目錄服務的配置與管理(8)利用組策略限制軟體執行
- 組策略安全選項對應登錄檔項彙總(轉)
- Linux檔案系統、目錄Linux
- 【Linux】檔案系統目錄Linux
- Linux系統目錄/dev/shmLinuxdev
- LINUX系統目錄詳解Linux
- win10怎麼設定nfs共享目錄_win10啟動nfs共享目錄的操作步驟Win10NFS
- 選擇什麼樣的客服系統,才能保障資料安全?
- xp 專業版組策略只有系統元件元件
- “自主可控”移動資訊化系統保障“資料安全”
- 從啟動開始保障LINUX系統安全(轉)Linux
- 解析Linux系統根檔案系統的目錄樹(轉)Linux
- Linux下掛載Window中的共享目錄Linux