用组策略为共享目录安全“保驾护航”

　　1、谨防暴力破解共享访问密码

　　在缺省状态下，Windows XP操作系统允许任何一位普通用户以空用户连接方式获得本地系统的共享资源列表以及所有用户帐号，该功能的本意是为了给局域网用户相互之间访问共享文件提供方便的;不过在享受该功能给我们带来便利的同时，一些非法用户也能顺便借助该功能轻松访问到共享资源以及用户列表，并有可能通过暴力破解法得到用户密码。为了谨防暴力破解共享访问密码，我们可以通过设置系统的相关组策略，来禁止匿名用户对共享资源的访问和存取，下面就是具体的操作步骤:

　　依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入组策略编辑命令“gpedit.msc”，单击“确定”按钮后，进入到系统的组策略编辑界面;

　　用鼠标逐一展开该界面左侧区域中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”，在对应“安全选项”的右侧窗口区域中，找到“网络访问:不允许SAM账号和共享的匿名枚举”选项(如图1所示)，然后用鼠标左键双击该选项，弹出对应该选项的属性设置窗口，选中该窗口中的“已启用”选项，再单击一下“确定”按钮，这样本地计算机日后就会禁止空用户来随意存取共享信息以及用户帐号信息了，从而有效避免了共享访问密码被随意破解的危险。

图 1

　　小提示:除了通过组策略来禁止空用户随意存取共享信息外，我们也能通过修改注册表来达到相应目的，只要在注册表编辑界面中，将鼠标定位于Hkey_Local_Machine/System/CurrentControlSet/Control/LSA分支，并在该分支下创建一个名为RestrictAnonymous的双字节值，再将RestrictAnonymous键值的数值设置为“1”，最后刷新一下系统注册表就能禁止空连接随意访问系统的共享资源信息了。

　　3、阻止来宾用户直接访问共享目录

　　在局域网的每台工作站中安装的操作系统可能不完全一样，有的安装的是Windows 98系统，有的安装的是Windows 2000系统或其他操作系统，在默认状态下Windows 2000以上版本的系统是不允许Windows 98系统以来宾身份直接访问本地硬盘中的共享资源的，为此许多局域网管理员考虑到交换文件的方便，常常会启用来宾帐号，允许用户从Windows 98系统直接访问到其他系统中的共享资源。但这样一来，其他系统之间也能相互直接访问共享目录了，这给共享目录的安全性带来了一定的威胁;为此笔者建议将已经启用的来宾帐号取消掉，禁止普通用户不通过授权就直接访问共享目录，从而在最大限度保证共享目录的安全性:

　　依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入组策略编辑命令“gpedit.msc”，单击“确定”按钮后，进入到系统的组策略编辑界面;

　　用鼠标逐一展开该界面左侧区域中的“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”分支，在对应“用户权限分配”的右侧窗口区域中，找到“拒绝从网络访问这台计算机”，并用鼠标双击该选项;

　　在其后出现的如图3所示的选项设置界面中，看看是否有Guest帐号存在，倘若不存在的话，单击“添加用户或组”按钮，将Guest帐号选中并导入进来，最后单击“确定”按钮就可以了。

图 3