共享目錄就是在日常的辦公應用中，為了使用的方便，我們習慣于將自己計算機上的一些文檔、目錄共享出來，以便于別人調用。但是對于共享的文件夾常常無法做到在使用后即將其關閉，這樣網絡上一些別有用心的人則可能對我們的共享文件進行破壞，對于這種情況，我們可以借助組策略來保護共享內容。

一、禁止共享空密碼

Windows默認狀態下，允許遠程用戶可以使用空用戶連接方式獲得網絡上某一臺計算機的共享資源列表和所有帳戶名稱。這個功能的開放，則容易讓非未能用戶使用空密碼或暴力破譯得到共享的密碼，從而達到侵入共享目錄的目的。

對于這種情況，我們首先可以關閉SAM賬號和共享的匿名枚舉功能。打開開始菜單中的“運行”窗口，輸入“gpedit.msc”打開組策略編輯器，在左側依次找到“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”，雙擊右側的“網絡訪問:不允許SAM賬號和共享的匿名枚舉”項，在彈出的窗口中選中“已啟用”選項，最后單擊“確定”按鈕保存設置。經過這樣的設置之后，非法用戶就無法直接獲得共享信息和賬戶列表了。

二、禁止匿名SID/名稱轉換

在前面我們已經禁止非法用戶直接獲得賬戶列表，但是非法用戶仍然可以使用管理員賬號的SID來獲取默認的administrator的真實名稱。對此，我們需要在組策略中打開“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”，然后修改“網絡訪問：允許匿名SID/名稱轉換”為“已停用”。不過這樣一來，可能會造成網絡上低版本的用戶在訪問共享資源時出現 一些問題。因此網絡有多個版本的系統時須謹慎使用該項配置。

三、修改匿名訪問對象

從安全角度和實用角度來看，Windows XP很多默認設置并不符合用戶的需要，針對網絡訪問的匿名訪問設置包括共享、命名管道和注冊表路徑等。

對此，我們需要進入組策略編輯器，選擇“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“安全選項”，雙擊“網絡訪問：可匿名訪問的共享”，在打開的窗口中將所有的項目刪除，然后根據自己的實際使用需要，將一些確實需要讓所有用戶長期訪問的文件夾添加進來即可。注意，在添加這些共享文件夾時，必須提前做好其NTFS操作權限設置。在設置權限的時候，必須遵循權限的最小性原則。最小性原則包括不要對賬戶授予多余的權限，不要為多余賬戶授予權限。

同理，在修改好可匿名訪問的共享后，需要繼續雙擊打開“網絡訪問：可匿名訪問的命名管道”和“網絡訪問：可遠程訪問的注冊表路徑”，將多余的項目都刪除掉。

四、禁止非授權訪問

為了符合權限的最小性原則，我們可以對網絡訪問的賬戶作出嚴格限制。在打開的組策略編輯器中，依次選擇“計算機配置”—“Windows設置”—“安全設置”—“本地策略”—“用戶權利指派”，雙擊右側的“從網絡訪問此計算機”，然后將一些必須使用網絡訪問的賬戶添加進來，然后將例如Everyone、Guest之類的賬戶刪除。如果管理員不需要遠程登錄，同樣可以將其刪除，而只保留用于訪問共享目錄的授權帳戶;然后再打開“拒絕從網絡訪問這臺計算機”，同樣的道理只將用于訪問共享目錄的授權帳戶添加進來，將其它用戶全部刪除。

五、設置正確訪問模式

對于共享文件的訪問，Windows XP提供了經典和僅來賓兩種不同的模式。為了使用的方便，很多人選擇了“僅來賓”方式，這樣這樣所有的登錄將自動使用Guest賬戶訪問共享目錄，即所有人都可以自由訪問，這樣無法對共享資源提供精確的訪問控制。

因此，我們建議大家在“安全選項”列表右側雙擊“網絡訪問：本地賬戶的共享和安全模式”，將其設置為“經典-本地用戶以用戶的身份驗證”項即可。不過需要注意的是，使用經典模式，雖然需要知道本地帳戶名稱方可訪問，但由于很多用戶帳戶并沒有設置密碼，這樣仍然是不安全的，必須設置密碼以保護本地帳戶。

六、預防EveryOny組權限延伸

很多人都認為匿名用戶的權限和Everyone組的權限是一樣的，其實這種看法是極其錯誤的。雖然兩者之間的權限有部分是相同的，但并不是完全一致的。默認情況下Everyone組的權限要大于匿名用戶。但是在Windows XP中，卻允許將“Everyone”組權限應用于匿名用戶。

對此，我們需要禁止這種做法。在組策略中打開“安全選項”，然后在右側雙擊“網絡訪問：讓每個人權限應用于匿名用戶”，將其設置為“已停用”即可。不過，雖然我們將該項已設置為停用，但是我們仍然不建議用戶將過多的權限直接授予Everyone組，因為這不符合權限授予的最小性原則。

七、禁止非空密碼交互式登錄

為了防止管理員添加賬號時沒有設置密碼，并且對沒有密碼的本地賬戶進行了授權訪問。對此，我們可以禁止空白密碼的本地賬戶進行交互式登錄訪問共享目錄。

在“安全選項”下雙擊“賬戶：使用空白密碼的本地賬戶只允許進行控制臺登錄”，將其設置為“已啟用”。同時為了防止管理員設置過于簡單的密碼，還需要在組策略編輯器的“安全設置”下，選擇“帳戶策略”—“密碼策略”，然后設置“密碼長度最小值”和“密碼必須符合復雜性要求”選項。

八、做好訪問記錄

通過日志，可以記錄所有賬戶對共享目錄的訪問、操作情況。不過要想日志進行記錄，必須啟用審核對象訪問。打開組策略編輯器，在“本地策略”下選擇“審核策略”，然后雙擊右側的“審核對象訪問”，在打開的窗口中將“成功”和“失敗”項全部選中。

接下來再打開共享目錄的屬性窗口，在“安全”標簽中單擊“高級”按鈕，切換到“審核”標簽，單擊“添加”按鈕，將所有有權訪問共享目錄的賬戶都添加進來并保存設置。

經過這樣的設置后，我們就可以進入“控制面板”的“管理工具”文件夾，雙擊其中的“事件查看器”，然后查找ID號為560、562、564的事件，即可了解詳細的訪問情況了。

其實，安全問題并非我們想象中的那樣復雜，只要我們平時注意做好防范，能夠用好系統提供的保護措施，那么即可防范絕大部分的入侵破壞活動。 

共享目錄的應用方便了我們應用計算機，提高了我們的工作效率，但是潛在的安全威脅是存在的，我們應該給予足夠的重視。

【編輯推薦】

1.  Windows安全防護之流氓軟件的對策
2. 全面解析Windows安全防護之木馬的類型及其清除辦法
3. 全面解析Windows安全防護之病毒的類型及其防治辦法

【責任編輯：liyan TEL：（010）68476606】