(电脑组策略修复问题.docxVIP

电脑组策略　【IT168 专稿】注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。　其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。　Windows组策略保障共享目录安全　在日常的办公应用中，为了使用的方便，我们习惯于将自己计算机上的一些文档、目录共享出来，以便于别人调用。　但是对于共享的文件夹常常无法做到在使用后即将其关闭，这样网络上一些别有用心的人则可能对我们的共享文件进行破坏，对于这种情况，我们可以借助组策略来保护共享内容。　一、禁止共享空密码　Windows默认状态下，允许远程用户可以使用空用户连接方式获得网络上某一台计算机的共享资源列表和所有帐户名称。这个功能的开放，则容易让非未能用户使用空密码或暴力破译得到共享的密码，从而达到侵入共享目录的目的。　对于这种情况，我们首先可以关闭SAM账号和共享的匿名枚举功能。打开开始菜单中的“运行”窗口，输入“gpedit.msc”打开组策略编辑器，在左侧依次找到“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”，双击右侧的“网络访问:不允许SAM账号和共享的匿名枚举”项，在弹出的窗口中选中“已启用”选项，最后单击“确定”按钮保存设置。经过这样的设置之后，非法用户就无法直接获得共享信息和账户列表了。　二、禁止匿名SID/名称转换　在前面我们已经禁止非法用户直接获得账户列表，但是非法用户仍然可以使用管理员账号的SID来获取默认的administrator的真实名称。对此，我们需要在组策略中打开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”，然后修改“网络访问：允许匿名SID/名称转换”为“已停用”。不过这样一来，可能会造成网络上低版本的用户在访问共享资源时出现 一些问题。因此网络有多个版本的系统时须谨慎使用该项配置。　三、修改匿名访问对象　从安全角度和实用角度来看，Windows XP很多默认设置并不符合用户的需要，针对网络访问的匿名访问设置包括共享、命名管道和注册表路径等。　对此，我们需要进入组策略编辑器，选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”，双击“网络访问：可匿名访问的共享”，在打开的窗口中将所有的项目删除，然后根据自己的实际使用需要，将一些确实需要让所有用户长期访问的文件夹添加进来即可。注意，在添加这些共享文件夹时，必须提前做好其NTFS操作权限设置。在设置权限的时候，必须遵循权限的最小性原则。最小性原则包括不要对账户授予多余的权限，不要为多余账户授予权限。　同理，在修改好可匿名访问的共享后，需要继续双击打开“网络访问：可匿名访问的命名管道”和“网络访问：可远程访问的注册表路径”，将多余的项目都删除掉。　四、禁止非授权访问　为了符合权限的最小性原则，我们可以对网络访问的账户作出严格限制。在打开的组策略编辑器中，依次选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“用户权利指派”，双击右侧的“从网络访问此计算机”，然后将一些必须使用网络访问的账户添加进来，然后将例如Everyone、Guest之类的账户删除。如果管理员不需要远程登录，同样可以将其删除，而只保留用于访问共享目录的授权帐户;然后再打开“拒绝从网络访问这台计算机”，同样的道理只将用于访问共享目录的授权帐户添加进来，将其它用户全部删除。　五、设置正确访问模式　对于共享文件的访问，Windows XP提供了经典和仅来宾两种不同的模式。为了使用的方便，很多人选择了“仅来宾”方式，这样这样所有的登录将自动使用Guest账户访问共享目录，即所有人都可以自由访问，这样无法对共享资源提供精确的访问控制。　因此，我们建议大家在“安全选项”列表右侧双击“网络访问：本地账户的共享和安全模式”，将其设置为“经典-本地用户以用户的身份验证”项即可。不过需要注意的是，使用经典模式，虽然需要知道本地帐户名称方可访问，但由于很多用户帐户并没有设置密码，这样仍然是不安全的，必须设置密码以保护本地帐户。　六、预防EveryOny组权限延伸　很多人都认为匿名用户的权限和Everyone组的权限是一样的，其实这种看法是极其错误的。虽然两者之间的权限有部分是相同的，但并不是完全一致的。默认情况下Everyone组的权限要大于匿名