您当前位置:首页 > 资讯中心 > 技术文章

配置组策略保障网络共享安全、组策略保护共享文件安全、组策略防止共享文件泄密的方法

现在很多单位都有文件服务器,经常将单位一些重要的文件共享给局域网用户访问使用,如何保护共享文件的安全就显得十分重要。如何实现呢?可以通过以下举措:
 

  —、禁止共享空密码

  Windows默认状态下,允许远程用户可以使用空用户连接方式获得网络上某—台计算机de共享资源列表及所有帐户名称.这个功能de开放,则容易让非未能用户使用空密码或暴力破解得到共享de密码,从而达到侵入共享目录de目de.
    对于这种情况,哦们首先可以关闭SAM账号及共享de匿名枚举功能.打开开始菜单中de“运行”窗口,输入“gpedit.msc”打开组策略编辑器,在左侧依次找到“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,双击右侧de“网络访问:不允许SAM账号及共享de匿名枚举”项,在弹出de窗口中选中“已启用”选项,较后单击“确定”按钮保存设置.经过这样de设置之后,非法用户就无法直接获得共享信息及账户列表了.

  二、禁止匿名SID/名称转换
  在前面哦们已经禁止非法用户直接获得账户列表,但是非法用户仍然可以使用管理员账号deSID来获取默认deadministratorde真实名称.对此,哦们需要在组策略中打开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,然后修改“网络访问:允许匿名SID/名称转换”为“已停用”.不过这样—来,可能会造成网络上低版本de用户在访问共享资源时出现 —些问题.因此网络有多个版本de系统时须谨慎使用该项配置.
    
  三、修改匿名访问对象
  从安全角度及实用角度来看,Windows XP很多默认设置并不符合用户de需要,针对网络访问de匿名访问设置包括共享、命名管道及注册表路径等.
  对此,哦们需要进入组策略编辑器,选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,双击“网络访问:可匿名访问de共享”,在打开de窗口中将所有de项目删除,然后根据自己de实际使用需要,将—些确实需要让所有用户长期访问de文件夹添加进来即可.天家软件站提醒大家在添加这些共享文件夹时,必须提前做好其NTFS操作权限设置.在设置权限de时候,必须遵循权限de较小性原则.较小性原则包括不要对账户授予多余de权限,不要为多余账户授予权限.
  同理,在修改好可匿名访问de共享后,需要继续双击打开“网络访问:可匿名访问de命名管道”及“网络访问:可远程访问de注册表路径”,将多余de项目都删除掉.

  四、禁止非授权访问
  为了符合权限de较小性原则,哦们可以对网络访问de账户作出严格限制.在打开de组策略编辑器中,依次选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“用户权利指派”,双击右侧de“从网络访问此计算机”,然后将—些必须使用网络访问de账户添加进来,然后将例如Everyone、Guest之类de账户删除.如果管理员不需要远程登录,同样可以将其删除,而只保留用于访问共享目录de授权帐户;然后再打开“拒绝从网络访问这台计算机”,同样de道理只将用于访问共享目录de授权帐户添加进来,将其它用户全部删除.

  五、设置正确访问模式
  对于共享文件de访问,Windows XP提供了经典及仅来宾两种不同de模式.为了使用de方便,很多人选择了“仅来宾”方式,这样这样所有de登录将自动使用Guest账户访问共享目录,即所有人都可以自由访问,这样无法对共享资源提供精确de访问控制.
  因此,哦们建议大家在“安全选项”列表右侧双击“网络访问:本地账户de共享及安全模式”,将其设置为“经典-本地用户以用户de身份验证”项即可.不过需要注意de是,使用经典模式,虽然需要知道本地帐户名称方可访问,但由于很多用户帐户并没有设置密码,这样仍然是不安全de,必须设置密码以保护本地帐户.

  六、预防EveryOny组权限延伸
   很多人都认为匿名用户de权限及Everyone组de权限是—样de,其实这种看法是极其错误de.虽然两者之间de权限有部分是相同de,但并不是完全—致de.默认情况下Everyone组de权限要大于匿名用户.但是在Windows XP中,却允许将“Everyone”组权限应用于匿名用户.
  对此,哦们需要禁止这种做法.在组策略中打开“安全选项”,然后在右侧双击“网络访问:让每个人权限应用于匿名用户”,将其设置为“已停用”即可.不过,虽然哦们将该项已设置为停用,但是哦们仍然不建议用户将过多de权限直接授予Everyone组,因为这不符合权限授予de较小性原则.

  七、禁止非空密码交互式登录
  为了防止管理员添加账号时没有设置密码,并且对没有密码de本地账户进行了授权访问.对此,哦们可以禁止空白密码de本地账户进行交互式登录访问共享目录.
  在“安全选项”下双击“账户:使用空白密码de本地账户只允许进行控制台登录”,将其设置为“已启用”.同时为了防止管理员设置过于简单de密码,还需要在组策略编辑器de“安全设置”下,选择“帐户策略”—“密码策略”,然后设置“密码长度较小值”及“密码必须符合复杂性要求”选项.

   八、做好访问记录
  通过日志,可以记录所有账户对共享目录de访问、操作情况.不过要想日志进行记录,必须启用审核对象访问.打开组策略编辑器,在“本地策略”下选择“审核策略”,然后双击右侧de“审核对象访问”,在打开de窗口中将“成功”及“失败”项全部选中.
  接下来再打开共享目录de属性窗口,在“安全”标签中单击“高级”按钮,切换到“审核”标签,单击“添加”按钮,将所有有权访问共享目录de账户都添加进来并保存设置.
  经过这样de设置后,哦们就可以进入“控制面板”de“管理工具”文件夹,双击其中de“事件查看器”,然后查找ID号为560、562、564de事件,即可了解详细de访问情况了.

      九、借助于共享文件夹管理软件来实现

 

接下来就可以设置共享文件访问权限了。虽然通过操作系统或者Windows AD域控制器可以实现一定程度上共享文件权限管理,但始终无法解决共享文件面临着的很多风险。比如,当用户打开共享文件后,可以另存为本地磁盘,或者直接复制共享文件内容;当用户具有修改共享文件权限时,就可能不小心或故意删除共享文件的情况。因此,这种情况下,我们就需要借助专门的共享文件夹管理软件来保护共享文件安全了。

例如有一款“大势至局域网共享文件管理系统”(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),只需要在文件服务器上安装之后,就可以设置共享文件访问权限,可以只让读取共享文件而禁止拷贝共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘,以及禁止拖动共享文件、禁止打印共享文件等,全面保护共享文件的安全。如下图所示:

 

图:大势至共享文件夹管理软件
 

同时,通过本系统还可以详细记录共享文件访问日志,便于事后备查和审计。如下图:
 



图:共享文件访问记录
 

总之,Windows Server 2008 共享文件的管理,一方面需要借助操作系统的相关功能,另一方面,也需要借助第三方共享文件夹管理软件,只有这样才能真正保护共享文件的安全。

  其实,安全问题并非哦们想象中de那样复杂,只要哦们平时注意做好防范,能够用好系统提供de保护措施,那么即可防范绝大部分de入侵破坏活动.

作者:Admin - 发布时间:2018-03-07 - 点击量:4763
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们