配置组策略保障网络共享安全、组策略保护共享文件安全、组策略防止共享文件泄密的方法

现在很多单位都有文件服务器，经常将单位一些重要的文件共享给局域网用户访问使用，如何保护共享文件的安全就显得十分重要。如何实现呢？可以通过以下举措：  

、禁止共享空密码

Windows默认状态下，允许远程用户可以使用空用户连接方式获得网络上某 台计算机de共享资源列表及所有帐户名称．这个功能de开放，则容易让非未能用户使用空密码或暴力破解得到共享de密码，从而达到侵入共享目录de目de．   对于这种情况，哦们首先可以关闭SAM账号及共享de匿名枚举功能．打开开始菜单中de 运行 窗口，输入 gpedit.msc 打开组策略编辑器，在左侧依次找到 计算机配置 Windows设置 安全设置 本地策略 安全选项 ，双击右侧de 网络访问:不允许SAM账号及共享de匿名枚举 项，在弹出de窗口中选中 已启用 选项，较后单击 确定 按钮保存设置．经过这样de设置之后，非法用户就无法直接获得共享信息及账户列表了．

二、禁止匿名SID/名称转换 在前面哦们已经禁止非法用户直接获得账户列表，但是非法用户仍然可以使用管理员账号deSID来获取默认deadministratorde真实名称．对此，哦们需要在组策略中打开 计算机配置 Windows设置 安全设置 本地策略 安全选项 ，然后修改 网络访问：允许匿名SID/名称转换 为 已停用 ．不过这样 来，可能会造成网络上低版本de用户在访问共享资源时出现 些问题．因此网络有多个版本de系统时须谨慎使用该项配置．   三、修改匿名访问对象 从安全角度及实用角度来看，Windows XP很多默认设置并不符合用户de需要，针对网络访问de匿名访问设置包括共享、命名管道及注册表路径等． 对此，哦们需要进入组策略编辑器，选择 计算机配置 Windows设置 安全设置 本地策略 安全选项 ，双击 网络访问：可匿名访问de共享 ，在打开de窗口中将所有de项目删除，然后根据自己de实际使用需要，将 些确实需要让所有用户长期访问de文件夹添加进来即可．天家软件站提醒大家在添加这些共享文件夹时，必须提前做好其NTFS操作权限设置．在设置权限de时候，必须遵循权限de较小性原则．较小性原则包括不要对账户授予多余de权限，不要为多余账户授予权限． 同理，在修改好可匿名访问de共享后，需要继续双击打开 网络访问：可匿名访问de命名管道 及 网络访问：可远程访问de注册表路径 ，将多余de项目都删除掉．

四、禁止非授权访问 为了符合权限de较小性原则，哦们可以对网络访问de账户作出严格限制．在打开de组策略编辑器中，依次选择 计算机配置 Windows设置 安全设置 本地策略 用户权利指派 ，双击右侧de 从网络访问此计算机 ，然后将 些必须使用网络访问de账户添加进来，然后将例如Everyone、Guest之类de账户删除．如果管理员不需要远程登录，同样可以将其删除，而只保留用于访问共享目录de授权帐户；然后再打开 拒绝从网络访问这台计算机 ，同样de道理只将用于访问共享目录de授权帐户添加进来，将其它用户全部删除．

五、设置正确访问模式 对于共享文件de访问，Windows XP提供了经典及仅来宾两种不同de模式．为了使用de方便，很多人选择了 仅来宾 方式，这样这样所有de登录将自动使用Guest账户访问共享目录，即所有人都可以自由访问，这样无法对共享资源提供精确de访问控制． 因此，哦们建议大家在 安全选项 列表右侧双击 网络访问：本地账户de共享及安全模式 ，将其设置为 经典-本地用户以用户de身份验证 项即可．不过需要注意de是，使用经典模式，虽然需要知道本地帐户名称方可访问，但由于很多用户帐户并没有设置密码，这样仍然是不安全de，必须设置密码以保护本地帐户．

六、预防EveryOny组权限延伸  很多人都认为匿名用户de权限及Everyone组de权限是 样de，其实这种看法是极其错误de．虽然两者之间de权限有部分是相同de，但并不是完全 致de．默认情况下Everyone组de权限要大于匿名用户．但是在Windows XP中，却允许将 Everyone 组权限应用于匿名用户． 对此，哦们需要禁止这种做法．在组策略中打开 安全选项 ，然后在右侧双击 网络访问：让每个人权限应用于匿名用户 ，将其设置为 已停用 即可．不过，虽然哦们将该项已设置为停用，但是哦们仍然不建议用户将过多de权限直接授予Everyone组，因为这不符合权限授予de较小性原则．

七、禁止非空密码交互式登录 为了防止管理员添加账号时没有设置密码，并且对没有密码de本地账户进行了授权访问．对此，哦们可以禁止空白密码de本地账户进行交互式登录访问共享目录． 在 安全选项 下双击 账户：使用空白密码de本地账户只允许进行控制台登录 ，将其设置为 已启用 ．同时为了防止管理员设置过于简单de密码，还需要在组策略编辑器de 安全设置 下，选择 帐户策略 密码策略 ，然后设置 密码长度较小值 及 密码必须符合复杂性要求 选项．

 八、做好访问记录 通过日志，可以记录所有账户对共享目录de访问、操作情况．不过要想日志进行记录，必须启用审核对象访问．打开组策略编辑器，在 本地策略 下选择 审核策略 ，然后双击右侧de 审核对象访问 ，在打开de窗口中将 成功 及 失败 项全部选中． 接下来再打开共享目录de属性窗口，在 安全 标签中单击 高级 按钮，切换到 审核 标签，单击 添加 按钮，将所有有权访问共享目录de账户都添加进来并保存设置． 经过这样de设置后，哦们就可以进入 控制面板 de 管理工具 文件夹，双击其中de 事件查看器 ，然后查找ID号为560、562、564de事件，即可了解详细de访问情况了．       九、借助于共享文件夹管理软件来实现  

接下来就可以设置共享文件访问权限了。虽然通过操作系统或者Windows AD域控制器可以实现一定程度上共享文件权限管理，但始终无法解决共享文件面临着的很多风险。比如，当用户打开共享文件后，可以另存为本地磁盘，或者直接复制共享文件内容；当用户具有修改共享文件权限时，就可能不小心或故意删除共享文件的情况。因此，这种情况下，我们就需要借助专门的共享文件夹管理软件来保护共享文件安全了。 例如有一款 安固软件局域网共享文件管理系统 （下载地址：），只需要在文件服务器上安装之后，就可以设置共享文件访问权限，可以只让读取共享文件而禁止拷贝共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘，以及禁止拖动共享文件、禁止打印共享文件等，全面保护共享文件的安全。如下图所示：  

图：安固软件共享文件夹管理软件  

同时，通过本系统还可以详细记录共享文件访问日志，便于事后备查和审计。如下图：  

图：共享文件访问记录  

总之，Windows Server 2025 共享文件的管理，一方面需要借助操作系统的相关功能，另一方面，也需要借助第三方共享文件夹管理软件，只有这样才能真正保护共享文件的安全。

其实，安全问题并非哦们想象中de那样复杂，只要哦们平时注意做好防范，能够用好系统提供de保护措施，那么即可防范绝大部分de入侵破坏活动．