组策略保障共享目录安全

核心提示：在日常的办公应用中，为了使用的方便，组策略保障共享目录安全，我们习惯于将自己电脑上的一些文档、目录共享出来，以便于别人调用，不过这样一来，可能会造成网络上低版本的用户在访问共享资源时出现 一些问题，但是对于共享的文件夹常常无法做到在使用后即将其关闭，这样网络上一些别有用心的人则可能对我们的共享文件进行破坏

在日常的办公应用中，为了使用的方便，我们习惯于将自己电脑上的一些文档、目录共享出来，以便于别人调用。但是对于共享的文件夹常常无法做到在使用后即将其关闭，这样网络上一些别有用心的人则可能对我们的共享文件进行破坏，对于这种情况，我们可以借助组策略来保护共享内容。

一、禁止共享空密码

Windows默认状态下，允许远程用户可以使用空用户连接方式获得网络上某一台计算机的共享资源列表和所有帐户名称。这个功能的开放，则容易让非未能用户使用空密码或暴力破解得到共享的密码，从而达到侵入共享目录的目的。

对于这种情况，我们首先可以关闭SAM账号和共享的匿名枚举功能。打开开始菜单中的“运行”窗口，输入“gpedit.msc”打开组策略编辑器，在左侧依次找到“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”，双击右侧的“网络访问:不允许SAM账号和共享的匿名枚举”项，在弹出的窗口中选中“已启用”选项，最后单击“确定”按钮保存设置。经过这样的设置之后，非法用户就无法直接获得共享信息和账户列表了。

二、禁止匿名SID/名称转换

在前面我们已经禁止非法用户直接获得账户列表，但是非法用户仍然可以使用管理员账号的SID来获取默认的administrator的真实名称。对此，我们需要在组策略中打开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”，然后修改“网络访问：允许匿名SID/名称转换”为“已停用”。不过这样一来，可能会造成网络上低版本的用户在访问共享资源时出现 一些问题。因此网络有多个版本的系统时须谨慎使用该项配置。