在日常的辦公應(yīng)用中,為了使用的方便,我們習(xí)慣于將自己電腦上的一些文檔、目錄共享出來,以便于別人調(diào)用。但是對于共享的文件夾常常無法做到在使用后即將其關(guān)閉,這樣網(wǎng)絡(luò)上一些別有用心的人則可能對我們的共享文件進行破壞,對于這種情況,我們可以借助組策略來對共享內(nèi)容提供保護。
一、禁止共享空密碼
Windows默認狀態(tài)下,允許遠程用戶可以使用空用戶連接方式獲得網(wǎng)絡(luò)上某一臺計算機的共享資源列表和所有帳戶名稱。這個功能的開放,則容易讓非未能用戶使用空密碼或暴力破解得到共享的密碼,從而達到侵入共享目錄的目的。
對于這種情況,我們首先可以關(guān)閉SAM賬號和共享的匿名枚舉功能。打開開始菜單中的“運行”窗口,輸入“gpedit.msc”打開組策略編輯器,在左側(cè)依次找到“計算機配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項”,雙擊右側(cè)的“網(wǎng)絡(luò)訪問:不允許SAM賬號和共享的匿名枚舉”項,在彈出的窗口中選中“已啟用”選項,最后單擊“確定”按鈕保存設(shè)置。經(jīng)過這樣的設(shè)置之后,非法用戶就無法直接獲得共享信息和賬戶列表了。
二、禁止匿名SID/名稱轉(zhuǎn)換
在前面我們已經(jīng)禁止非法用戶直接獲得賬戶列表,但是非法用戶仍然可以使用管理員賬號的SID來獲取默認的administrator的真實名稱。對此,我們需要在組策略中打開“計算機配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項”,然后修改“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”為“已停用”。不過這樣一來,可能會造成網(wǎng)絡(luò)上低版本的用戶在訪問共享資源時出現(xiàn) 一些問題。因此網(wǎng)絡(luò)有多個版本的系統(tǒng)時須謹慎使用該項配置。
三、修改匿名訪問對象
從安全角度和實用角度來看,Windows XP很多默認設(shè)置并不符合用戶的需要,針對網(wǎng)絡(luò)訪問的匿名訪問設(shè)置包括共享、命名管道和注冊表路徑等。
對此,我們需要進入組策略編輯器,選擇“計算機配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“安全選項”,雙擊“網(wǎng)絡(luò)訪問:可匿名訪問的共享”,在打開的窗口中將所有的項目刪除,然后根據(jù)自己的實際使用需要,將一些確實需要讓所有用戶長期訪問的文件夾添加進來即可。天家軟件站提醒大家在添加這些共享文件夾時,必須提前做好其NTFS操作權(quán)限設(shè)置。在設(shè)置權(quán)限的時候,必須遵循權(quán)限的最小性原則。最小性原則包括不要對賬戶授予多余的權(quán)限,不要為多余賬戶授予權(quán)限。
同理,在修改好可匿名訪問的共享后,需要繼續(xù)雙擊打開“網(wǎng)絡(luò)訪問:可匿名訪問的命名管道”和“網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑”,將多余的項目都刪除掉。
四、禁止非授權(quán)訪問
為了符合權(quán)限的最小性原則,我們可以對網(wǎng)絡(luò)訪問的賬戶作出嚴格限制。在打開的組策略編輯器中,依次選擇“計算機配置”—“Windows設(shè)置”—“安全設(shè)置”—“本地策略”—“用戶權(quán)利指派”,雙擊右側(cè)的“從網(wǎng)絡(luò)訪問此計算機”,然后將一些必須使用網(wǎng)絡(luò)訪問的賬戶添加進來,然后將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠程登錄,同樣可以將其刪除,而只保留用于訪問共享目錄的授權(quán)帳戶;然后再打開“拒絕從網(wǎng)絡(luò)訪問這臺計算機”,同樣的道理只將用于訪問共享目錄的授權(quán)帳戶添加進來,將其它用戶全部刪除。
五、設(shè)置正確訪問模式
對于共享文件的訪問,Windows XP提供了經(jīng)典和僅來賓兩種不同的模式。為了使用的方便,很多人選擇了“僅來賓”方式,這樣這樣所有的登錄將自動使用Guest賬戶訪問共享目錄,即所有人都可以自由訪問,這樣無法對共享資源提供精確的訪問控制。
因此,我們建議大家在“安全選項”列表右側(cè)雙擊“網(wǎng)絡(luò)訪問:本地賬戶的共享和安全模式”,將其設(shè)置為“經(jīng)典-本地用戶以用戶的身份驗證”項即可。不過需要注意的是,使用經(jīng)典模式,雖然需要知道本地帳戶名稱方可訪問,但由于很多用戶帳戶并沒有設(shè)置密碼,這樣仍然是不安全的,必須設(shè)置密碼以保護本地帳戶。
六、預(yù)防EveryOny組權(quán)限延伸
很多人都認為匿名用戶的權(quán)限和Everyone組的權(quán)限是一樣的,其實這種看法是極其錯誤的。雖然兩者之間的權(quán)限有部分是相同的,但并不是完全一致的。默認情況下Everyone組的權(quán)限要大于匿名用戶。但是在Windows XP中,卻允許將“Everyone”組權(quán)限應(yīng)用于匿名用戶。
對此,我們需要禁止這種做法。在組策略中打開“安全選項”,然后在右側(cè)雙擊“網(wǎng)絡(luò)訪問:讓每個人權(quán)限應(yīng)用于匿名用戶”,將其設(shè)置為“已停用”即可。不過,雖然我們將該項已設(shè)置為停用,但是我們?nèi)匀徊唤ㄗh用戶將過多的權(quán)限直接授予Everyone組,因為這不符合權(quán)限授予的最小性原則。
七、禁止非空密碼交互式登錄
為了防止管理員添加賬號時沒有設(shè)置密碼,并且對沒有密碼的本地賬戶進行了授權(quán)訪問。對此,我們可以禁止空白密碼的本地賬戶進行交互式登錄訪問共享目錄。
在“安全選項”下雙擊“賬戶:使用空白密碼的本地賬戶只允許進行控制臺登錄”,將其設(shè)置為“已啟用”。同時為了防止管理員設(shè)置過于簡單的密碼,還需要在組策略編輯器的“安全設(shè)置”下,選擇“帳戶策略”—“密碼策略”,然后設(shè)置“密碼長度最小值”和“密碼必須符合復(fù)雜性要求”選項。
八、做好訪問記錄
通過日志,可以記錄所有賬戶對共享目錄的訪問、操作情況。不過要想日志進行記錄,必須啟用審核對象訪問。打開組策略編輯器,在“本地策略”下選擇“審核策略”,然后雙擊右側(cè)的“審核對象訪問”,在打開的窗口中將“成功”和“失敗”項全部選中。
接下來再打開共享目錄的屬性窗口,在“安全”標簽中單擊“高級”按鈕,切換到“審核”標簽,單擊“添加”按鈕,將所有有權(quán)訪問共享目錄的賬戶都添加進來并保存設(shè)置。
經(jīng)過這樣的設(shè)置后,我們就可以進入“控制面板”的“管理工具”文件夾,雙擊其中的“事件查看器”,然后查找ID號為560、562、564的事件,即可了解詳細的訪問情況了。
其實,安全問題并非我們想象中的那樣復(fù)雜,只要我們平時注意做好防范,能夠用好系統(tǒng)提供的保護措施,那么即可防范絕大部分的入侵破壞活動。
