为了达到相互交流的目的,我们常常会将自己的一些重要信息保存到共享目录中,以方便其他人调用。不过在调用共享信息的过程中,如果遇到有人对共享目录中的信息进行恶意破坏的话,我们将对恶意破坏行为一无所知,这样一来共享目录的安全性就得不到保障。有鉴于此,本文特意从修改系统组策略出发,来多点“护驾”共享目录的安全!
1、谨防暴力破解共享访问密码
在缺省状态下,Windows XP操作系统允许任何一位普通用户以空用户连接方式获得本地系统的共享资源列表以及所有用户帐号,该功能的本意是为了给局域网用户相互之间访问共享文件提供方便的;不过在享受该功能给我们带来便利的同时,一些非法用户也能顺便借助该功能轻松访问到共享资源以及用户列表,并有可能通过暴力破解法得到用户密码。为了谨防暴力破解共享访问密码,我们可以通过设置系统的相关组策略,来禁止匿名用户对共享资源的访问和存取,下面就是具体的操作步骤:
依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入到系统的组策略编辑界面;
用鼠标逐一展开该界面左侧区域中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”,在对应“安全选项”的右侧窗口区域中,找到“网络访问:不允许SAM账号和共享的匿名枚举”选项(如图1所示),然后用鼠标左键双击该选项,弹出对应该选项的属性设置窗口,选中该窗口中的“已启用”选项,再单击一下“确定”按钮,这样本地计算机日后就会禁止空用户来随意存取共享信息以及用户帐号信息了,从而有效避免了共享访问密码被随意破解的危险。
图 1
小提示:除了通过组策略来禁止空用户随意存取共享信息外,我们也能通过修改注册表来达到相应目的,只要在注册表编辑界面中,将鼠标定位于Hkey_Local_Machine\System\CurrentControlSet\Control\LSA分支,并在该分支下创建一个名为RestrictAnonymous的双字节值,再将RestrictAnonymous键值的数值设置为“1”,较后刷新一下系统注册表就能禁止空连接随意访问系统的共享资源信息了。
为了防止心术不正的用户在对共享目录的访问过程中,做出对共享目录不利的事情出来,我们较好能想办法跟踪任何一位访问目标共享目录的用户,并对他们的访问行踪进行记录;以后要是遇到共享目录中的隐私信息被删除或转移时,我们只要查看相应的安全日志,就能轻松找到“罪槐祸首”。通过下面的步骤,我们就能轻松跟踪用户访问共享目录行为了:
首先打开系统的资源管理器窗口,找到需要保护的目标共享目录,然后用鼠标右键单击之,从随后弹出的快捷菜单中执行“属性”命令,进入到目标共享目录的属性设置界面;单击该界面中的“安全”标签,并在对应的标签页面中单击“高级”按钮,打开目标共享目录的高级安全设置窗口;在该窗口中单击“审核”标签,再单击对应标签页面中的“添加”按钮。过一会儿,系统将自动显示出所有用户帐号,此时我们可以将有权访问该共享目录的用户帐号选中,再单击一下“确定”按钮;在其后弹出的审核项目设置窗口中,我们可以按需选择一些失败和成功的审核项目,较后单击“确定”按钮退出共享目录属性设置窗口。
下面再依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入到系统的组策略编辑界面;用鼠标逐一展开该界面左侧区域中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”,在对应“审核策略”的右侧窗口区域中,找到“审核对象访问”选项(如图2所示),然后用鼠标左键双击该项,弹出对应该选项的属性设置窗口,选中该窗口中的“成功”和“失败”选项,再单击一下“确定”按钮;以后我们一旦发现目标共享目录遇到什么安全问题时,就可以打开系统的安全日志,来查看事件ID标号为564、562、560的相关日志记录了,从中就能找到破坏目标共享目录安全的“蛛丝马迹”了。
图 2
在局域网的每台工作站中安装的操作系统可能不完全一样,有的安装的是Windows 98系统,有的安装的是Windows 2000系统或其他操作系统,在默认状态下Windows 2000以上版本的系统是不允许Windows 98系统以来宾身份直接访问本地硬盘中的共享资源的,为此许多局域网管理员考虑到交换文件的方便,常常会启用来宾帐号,允许用户从Windows 98系统直接访问到其他系统中的共享资源。但这样一来,其他系统之间也能相互直接访问共享目录了,这给共享目录的安全性带来了一定的威胁;为此笔者建议将已经启用的来宾帐号取消掉,禁止普通用户不通过授权就直接访问共享目录,从而在较大限度保证共享目录的安全性:
依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入到系统的组策略编辑界面;
用鼠标逐一展开该界面左侧区域中的“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”分支,在对应“用户权限分配”的右侧窗口区域中,找到“拒绝从网络访问这台计算机”,并用鼠标双击该选项;
在其后出现的如图3所示的选项设置界面中,看看是否有Guest帐号存在,倘若不存在的话,单击“添加用户或组”按钮,将Guest帐号选中并导入进来,较后单击“确定”按钮就可以了。
图 3
搭建完毕文件共享服务器之后,通常我们就开始设置共享文件,让局域网用户访问了。这就涉及到一个如何设置共享文件访问权限,保护共享文件安全的问题。虽然通过操作系统的相关设置可以实现共享文件权限管理。但是,无论是服务器操作系统还是域控制器,都无法完全保护共享文件的安全。尤其是,无法实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而另存为本地磁盘、只让修改共享文件而禁止删除共享文件等,防止上述访问共享文件的行为对共享文件造成的安全隐患。
这种情况下,就需要借助专门的共享文件夹管理软件来实现了。例如有一款”安企神共享文件夹管理软件“(下载地址:http://www.wgj7.com/gongxiangwenjianshenji.html),只需要在文件服务器上安装,就可以实现只允许读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,同时还可以禁止拖动共享文件、禁止打印共享文件等,全面保护共享文件的安全。如下图:
图:安企神共享文件夹管理软件
同时,本系统还可以监控共享文件访问日志,便于管理员事后备查和审计。如下图:
图:安企神共享文件夹记录访问日志
总之,企业共享文件常常是企业的无形资产和商业机密,保护共享文件的安全至关重要。为此,一方面需要通过组策略防止暴力破解共享文件密码,防止随意访问共享文件的行为。另一方面也可以借助一些共享文件夹监控软件、共享文件权限设置软件来实现。
当青岛*测控技术有限公司遇上安企神,测控技术数据安全将迎来哪些新变化?
海*测控技术有限公司是海*微电子有限公司100%控股子公司,是由青岛市政府、山东省政府及行业领军企业共同出资成立的第三方检测平台。旨在集成电路可靠性验证及测试分析领域打造国内一流集成电路检测、分析、设计开发及技术解决方案等集成电路产业共性技术服务平台。海*以海洋装备和高端设备集成电路可靠性验证和测试分析为特色,主要为海...
"聚势谋远:重庆*医药集团与安企神达成战略合作,探索医药+科技融合发展新路径!
重庆*医药集团有限公司成立于2017年8月,是在重庆市*区医药(集团)有限责任公司基础上组建成立的大型医药产业企业。是重庆*经济技术开发(集团)有限公司控股的混合所有制企业和市级重点项目三峡国际健康产业园投资单位,位列全国百强医药流通企业。公司下辖重庆*制药有限公司、*医药科技重庆有限公司、重庆*肿瘤医院等十余家子公司...
聚焦核心数据安全:山东卫禾*股份有限公司携手安企神软件构建防泄密屏障!
项目背景山东卫禾*股份有限公司于2015年注册成立,公司拥有总资产1.5亿元,公司具有齿轮检测中心、三坐标测量仪、全谱直读光谱仪等关键研发设备。运用UGNX7.5、MASTA5.4等研发软件进行研发,具有强大的技术研发能力,拥有31项专利,坚持产学研结合,设有山东卫禾*技术研究院,并不断加强研发平台建设,打造创新型企业...
安全+智造双升级!江阴*电子有限公司携手安企神开启企业防护新时代!
江阴*电子有限公司成立于1989年,是一家电子元器件集成设计和生产服务的领先供应商。产品应用包括数据采集、计算机外围设备和其他电子产品。还进入了汽车电子行业、航空航天行业、工业控制行业、医疗器械行业和消费电子行业,为客户提供更广泛的高附加值产品和服务。随着科技产业的快速发展和市场需求的增加,现已成功转型为一家提供完整解...
福建*医药公司联手安企神软件,成功落地应用程序、网站黑名单设置与USB管控方案!
项目背景福建*医药有限公司前身是福建*工贸责任有限公司,2015年重组后成为中国五百强企业——*医药集团的子公司。 系中国最大的民营医药集团,是在中国医药商业行业处于领先地位的上市公司。公司成立于2015年08月04日,经营范围包括中药饮片、中成药、化学原料药、化学药制剂等。应用需求管控公司电脑安装程序和使用程序,禁...