禁止域用户共享文件夹、组策略关闭网络共享、禁止用户共享文件夹的方法

作者：哈希  日期：2015.12.21

在公司局域网中，共享电脑文件的现象比较常见，虽然说方便了局域网内部文件共享、传输和保存，但也给电脑文件安全带来较大的隐患。特别是当外来人员或公司内部员工自己携带电脑接入单位局域网中，就有可能随意访问共享文件了。而很多单位的共享文件都涉及到单位的无形资产和商业机密，一旦泄密将会给企业带来重大损失。因此，除非万不得已，建议企事业单位要实时检查、关闭电脑共享文件的行为。

那么又如何禁用呢？

使用如下方法来解决。

1.1 创建adm配置，内容如下，保存为*.adm

CLASS MACHINE     
CATEGORY !!category1     
CATEGORY !!category2     
POLICY !!policyname     
EXPLAIN !!DefaultSharesExplain     
KEYNAME “System\CurrentControlSet\Services\LanManServer\Parameters\”     
VALUENAME “AutoShareWks”     
VALUEON NUMERIC 1     
VALUEOFF NUMERIC 0     
END POLICY     
END CATEGORY     
END CATEGORY     
[strings]     
category1=”Network”     
category2=”Sharing”     
policyname=”AdministrativeShares”     
DefaultSharesExplain=”Enables default workstation administrative shares if enabled or disables if disabled”

1.2打开组策略控制台，创建一个新的users GPO,然后编辑.

1.3然后右键点击管理模板，添加模板

将刚才的adm文件添加进去。

1.4添加完成adm之后，定位组策略到经典ADM

1.5看到刚才添加的模板已经出现了，那么现在就是右键点击启用stop share

Ok，到这边就完成了，之后只要在域内客户端PC上刷新一下组策略就可以了。

对于域管理，通过组策略来管理还是比较方便的。但是，由于是借助于操作系统的相关权限来实现，因此一旦被用户反向修改组策略，则又可以随便开启共享文件的访问了。因此，我们可以考虑采用另外一种方法。

方法二、借助于专门的共享文件访问控制软件、共享文件夹管理软件来关闭网络共享。

目前，国内有一些电脑文件安全管理软件，集成了对电脑共享文件的管理，可以实时监测、禁用共享文件夹的访问，阻止用户设置共享文件的行为。例如有一款“大势至USB端口管理软件”（下载地址：http://www.grablan.com/monitorusb.html），是一款可以完全禁止电脑使用U盘、移动硬盘和手机等USB存储设备的软件，同时还可以防止通过邮件、网盘、FTP文件上传和QQ发送文件的方式将电脑文件发送出去的行为，从而比较全面地保护了电脑文件安全。大势至USB接口禁用软件集成了一个“禁止文件共享”的功能，只需要打勾即可实时禁止电脑设置共享文件的行为，如下图所示：

 

图：禁止电脑文件共享

 
此外，为了防止一些懂技术的人员试图通过修改注册表、修改组策略的方式绕过系统管理的情况，大势至USB禁用软件还集成了禁止修改注册表、禁止修改组策略、禁止修改开机启动项的功能等，从而不仅阻止电脑设置共享文件的行为，同时也保护了操作系统和软件本身的安全。
 
总之，要禁止电脑共享文件、防止通过共享文件泄密的方法，一方面可以通过组策略、注册表等操作系统的功能加以实现，另一方面也可以借助于一些电脑文件管理软件来实现。具体采用哪种方法，企事业单位可以根据自己的需要进行抉择。