在日常的辦公應(yīng)用中,為了使用的方便,我們習(xí)慣于將自己電腦上的一些文檔、目錄共享出來,以便于別人調(diào)用。但是對(duì)于共享的文件夾常常無法做到在使用后即將其關(guān)閉,這樣網(wǎng)絡(luò)上一些別有用心的人則可能對(duì)我們的共享文件進(jìn)行破壞,對(duì)于這種情況,我們可以借助組策略來對(duì)共享內(nèi)容提供保護(hù)。
一、禁止共享空密碼
Windows默認(rèn)狀態(tài)下,允許遠(yuǎn)程用戶可以使用空用戶連接方式獲得網(wǎng)絡(luò)上某一臺(tái)計(jì)算機(jī)的共享資源列表和所有帳戶名稱。這個(gè)功能的開放,則容易讓非未能用戶使用空密碼或暴力破解得到共享的密碼,從而達(dá)到侵入共享目錄的目的。
對(duì)于這種情況,我們首先可以關(guān)閉SAM賬號(hào)和共享的匿名枚舉功能。打開開始菜單中的“運(yùn)行”窗口,輸入“gpedit.msc”打開組策略編輯器,在左側(cè)依次找到“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”,雙擊右側(cè)的“網(wǎng)絡(luò)訪問:不允許SAM賬號(hào)和共享的匿名枚舉”項(xiàng),在彈出的窗口中選中“已啟用”選項(xiàng),最后單擊“確定”按鈕保存設(shè)置。經(jīng)過這樣的設(shè)置之后,非法用戶就無法直接獲得共享信息和賬戶列表了。
二、禁止匿名SID/名稱轉(zhuǎn)換
在前面我們已經(jīng)禁止非法用戶直接獲得賬戶列表,但是非法用戶仍然可以使用管理員賬號(hào)的SID來獲取默認(rèn)的administrator的真實(shí)名稱。對(duì)此,我們需要在組策略中打開“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”,然后修改“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”為“已停用”。不過這樣一來,可能會(huì)造成網(wǎng)絡(luò)上低版本的用戶在訪問共享資源時(shí)出現(xiàn) 一些問題。因此網(wǎng)絡(luò)有多個(gè)版本的系統(tǒng)時(shí)須謹(jǐn)慎使用該項(xiàng)配置。
三、修改匿名訪問對(duì)象
從安全角度和實(shí)用角度來看,Windows XP很多默認(rèn)設(shè)置并不符合用戶的需要,針對(duì)網(wǎng)絡(luò)訪問的匿名訪問設(shè)置包括共享、命名管道和注冊(cè)表路徑等。
對(duì)此,我們需要進(jìn)入組策略編輯器,選擇“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項(xiàng)”,雙擊“網(wǎng)絡(luò)訪問:可匿名訪問的共享”,在打開的窗口中將所有的項(xiàng)目刪除,然后根據(jù)自己的實(shí)際使用需要,將一些確實(shí)需要讓所有用戶長(zhǎng)期訪問的文件夾添加進(jìn)來即可。天家軟件站提醒大家在添加這些共享文件夾時(shí),必須提前做好其NTFS操作權(quán)限設(shè)置。在設(shè)置權(quán)限的時(shí)候,必須遵循權(quán)限的最小性原則。最小性原則包括不要對(duì)賬戶授予多余的權(quán)限,不要為多余賬戶授予權(quán)限。
同理,在修改好可匿名訪問的共享后,需要繼續(xù)雙擊打開“網(wǎng)絡(luò)訪問:可匿名訪問的命名管道”和“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑”,將多余的項(xiàng)目都刪除掉。
四、禁止非授權(quán)訪問
為了符合權(quán)限的最小性原則,我們可以對(duì)網(wǎng)絡(luò)訪問的賬戶作出嚴(yán)格限制。在打開的組策略編輯器中,依次選擇“計(jì)算機(jī)配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“用戶權(quán)利指派”,雙擊右側(cè)的“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”,然后將一些必須使用網(wǎng)絡(luò)訪問的賬戶添加進(jìn)來,然后將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠(yuǎn)程登錄,同樣可以將其刪除,而只保留用于訪問共享目錄的授權(quán)帳戶;然后再打開“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”,同樣的道理只將用于訪問共享目錄的授權(quán)帳戶添加進(jìn)來,將其它用戶全部刪除。
五、設(shè)置正確訪問模式
對(duì)于共享文件的訪問,Windows XP提供了經(jīng)典和僅來賓兩種不同的模式。為了使用的方便,很多人選擇了“僅來賓”方式,這樣這樣所有的登錄將自動(dòng)使用Guest賬戶訪問共享目錄,即所有人都可以自由訪問,這樣無法對(duì)共享資源提供精確的訪問控制。
因此,我們建議大家在“安全選項(xiàng)”列表右側(cè)雙擊“網(wǎng)絡(luò)訪問:本地賬戶的共享和安全模式”,將其設(shè)置為“經(jīng)典-本地用戶以用戶的身份驗(yàn)證”項(xiàng)即可。不過需要注意的是,使用經(jīng)典模式,雖然需要知道本地帳戶名稱方可訪問,但由于很多用戶帳戶并沒有設(shè)置密碼,這樣仍然是不安全的,必須設(shè)置密碼以保護(hù)本地帳戶。
六、預(yù)防EveryOny組權(quán)限延伸
很多人都認(rèn)為匿名用戶的權(quán)限和Everyone組的權(quán)限是一樣的,其實(shí)這種看法是極其錯(cuò)誤的。雖然兩者之間的權(quán)限有部分是相同的,但并不是完全一致的。默認(rèn)情況下Everyone組的權(quán)限要大于匿名用戶。但是在Windows XP中,卻允許將“Everyone”組權(quán)限應(yīng)用于匿名用戶。
對(duì)此,我們需要禁止這種做法。在組策略中打開“安全選項(xiàng)”,然后在右側(cè)雙擊“網(wǎng)絡(luò)訪問:讓每個(gè)人權(quán)限應(yīng)用于匿名用戶”,將其設(shè)置為“已停用”即可。不過,雖然我們將該項(xiàng)已設(shè)置為停用,但是我們?nèi)匀徊唤ㄗh用戶將過多的權(quán)限直接授予Everyone組,因?yàn)檫@不符合權(quán)限授予的最小性原則。
七、禁止非空密碼交互式登錄
為了防止管理員添加賬號(hào)時(shí)沒有設(shè)置密碼,并且對(duì)沒有密碼的本地賬戶進(jìn)行了授權(quán)訪問。對(duì)此,我們可以禁止空白密碼的本地賬戶進(jìn)行交互式登錄訪問共享目錄。
在“安全選項(xiàng)”下雙擊“賬戶:使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄”,將其設(shè)置為“已啟用”。同時(shí)為了防止管理員設(shè)置過于簡(jiǎn)單的密碼,還需要在組策略編輯器的“安全設(shè)置”下,選擇“帳戶策略”—“密碼策略”,然后設(shè)置“密碼長(zhǎng)度最小值”和“密碼必須符合復(fù)雜性要求”選項(xiàng)。
八、做好訪問記錄
通過日志,可以記錄所有賬戶對(duì)共享目錄的訪問、操作情況。不過要想日志進(jìn)行記錄,必須啟用審核對(duì)象訪問。打開組策略編輯器,在“本地策略”下選擇“審核策略”,然后雙擊右側(cè)的“審核對(duì)象訪問”,在打開的窗口中將“成功”和“失敗”項(xiàng)全部選中。
接下來再打開共享目錄的屬性窗口,在“安全”標(biāo)簽中單擊“高級(jí)”按鈕,切換到“審核”標(biāo)簽,單擊“添加”按鈕,將所有有權(quán)訪問共享目錄的賬戶都添加進(jìn)來并保存設(shè)置。
經(jīng)過這樣的設(shè)置后,我們就可以進(jìn)入“控制面板”的“管理工具”文件夾,雙擊其中的“事件查看器”,然后查找ID號(hào)為560、562、564的事件,即可了解詳細(xì)的訪問情況了。
其實(shí),安全問題并非我們想象中的那樣復(fù)雜,只要我們平時(shí)注意做好防范,能夠用好系統(tǒng)提供的保護(hù)措施,那么即可防范絕大部分的入侵破壞活動(dòng)。