本文是從ITKnowledge Exchange(ITKE)網(wǎng)站摘錄的一個問答。
ITKE成員BillBald問:
我需要改造一個使用“Windows Server 2003”和“Windows XP Pro”操作系統(tǒng)的網(wǎng)絡(luò)。用戶雖然能夠登錄在這臺服務(wù)器中的域,但是,這些用戶一般都不登錄這個域。相反,他們使用這臺服務(wù)器不知道的用戶名登錄這臺本地的機器。通過以快捷方式和腳本的方式的使用這臺服務(wù)器的IP地址,未經(jīng)授權(quán)的用戶能夠訪問存儲在這臺服務(wù)器中的文件。我認為,這臺服務(wù)器的安全功能肯定是被部分地關(guān)閉了以便允許未經(jīng)授權(quán)的用戶訪問。我不敢肯定這種事情是不是有問題。但是,我最近發(fā)現(xiàn)這臺路由器正在被用作DHCP(動態(tài)主機配置協(xié)議)服務(wù)器,而不是當(dāng)作Win2003服務(wù)器。誰能提供一個建議強制用戶登錄到這個域以阻止這種未經(jīng)允許的訪問行為?
ITKE成員lerandell回答:
這聽起來好像是所有這些系統(tǒng)都是使用同樣的用戶名和口令創(chuàng)建的。我傾向于認為他們在使用“管理員”用戶名。而且,如果這個“管理員”賬戶在這兩臺計算機上都有,并且這個賬戶的口令是“p@ssw0rd”,每一臺客戶機都可以訪問對方的網(wǎng)絡(luò)賬戶。要阻止這種事情發(fā)生,把本地管理員賬戶名稱改為用戶不知道的其它名稱。這很容易做到,簡單地通過組策略就可以實現(xiàn)。我還要修改域控制器和工作站賬戶。這將迫使每一個人都使用分配給他們的域用戶賬戶。如果你要查看誰試圖訪問這個賬戶,你可以創(chuàng)建一個虛假的、關(guān)閉功能的管理員賬戶,并把這個賬戶用于安全登錄的目的。
ITKE成員Guardian回答:
我會檢查域安全政策和本地安全政策。確認每一個人都加入了這個域,而且你的許可沒有限制。用戶必須獲得批準(zhǔn)才能訪問這個域和資源。你在管理工具中能夠發(fā)現(xiàn)大多數(shù)這些內(nèi)容。刪除在XP主機中的工作組PC(輸入域名系統(tǒng)前綴并且選擇“改變域名系統(tǒng)前綴”)。
ITKE成員dwiebesick回答:
要限制本地登錄,你可以使用組策略。有一種安全設(shè)置可以在組策略中進行設(shè)置。閱讀微軟知識庫中編號823659的文章可以了解這種設(shè)置方法。
你還可以修改NTFS(新技術(shù)文件系統(tǒng))安全設(shè)置來控制最終用戶訪問的文件/文件夾。設(shè)置這個功能,這樣只有獲得批準(zhǔn)的域的未經(jīng)授權(quán)的用戶能夠訪問你認為可以訪問的內(nèi)容。
如果你知道正在使用的用戶名和口令是什么,修改這些用戶名和口令。如果這是本地計算機管理員的賬戶,有許多可用的腳本能夠很方便地進行這種修改。
ITKE成員astronomer回答:
你好像有一個像工作組一樣工作的域。如果你擁有這個權(quán)限,創(chuàng)建一個與本地賬戶名稱不同的域賬戶。然后,然后關(guān)閉用來繞過域安全措施的任何域賬戶(或者至少要修改口令),強制用戶使用他們的域賬戶。你需要確認用戶必須使用他們自己的域賬戶訪問他們在服務(wù)器上需要的資源。
然而,要記住,我在推測工作站是域成員。一旦用戶開始使用域賬戶登錄,你就可以使用組和策略來管理他們。
對于記錄來說,DHCP服務(wù)器是什么設(shè)備都沒有關(guān)系,只要它能夠提供合適的地址和你的環(huán)境選項就行。路由器對于一個單個的子網(wǎng)是一種合理的選擇。由于路由器沒有硬盤,路由器可能會比服務(wù)器更可靠。
ITKE成員DaJackal回答:
我是這樣做的。首先,進入“開始”->“程序”->“管理工具”->域控制器安全策略。然后進入安全選項。
下一步,驗證如下兩個項目:
網(wǎng)絡(luò)接入:允許“每一個人”申請匿名用戶--->關(guān)閉。
網(wǎng)絡(luò)接入:不允許匿名列舉存儲域管理賬戶和共享--->打開。
選擇這兩個選項應(yīng)該能夠糾正匿名訪問問題。
最后,我會驗證這些用戶登錄使用的本地賬戶與你的預(yù)的賬戶不一樣,或者是你域控制器本地的賬戶。如果你讓他們相同的話,這些用戶名可以是一樣的。但是,你必須確認口令是不同的,而且用戶不知道這個口令是什么。因此,如果這些用戶名是相同的,域?qū)⑻崾居脩糨斎肟诹睢_z憾的是Windows僅證實用戶名,不驗證這種安全識別符號。按照這些步驟應(yīng)該能夠解決你的服務(wù)器的未經(jīng)授權(quán)的訪問難題。