使用组策略提高网络安全(3)

阻止暴力破解共享密码

　　Windows XP工作站系统在默认状态下，会允许每一位来访用户通过空用户连接方式得到本地工作站中的所有共享资源列表和所有本地用户帐号信息，系统开放该功能的原意是为了方便局域网用户相互之间传输、交流共享信息用的；但是我们在充分享受该默认开放功能带来便利的同时，不少恶意攻击者也能“趁机”利用该功能来偷偷得到本地所有共享资源和用户列表信息，一旦得到这些信息后他们就会通过暴力破解方法来获取用户核心密码信息，从而可能给本地系统或网络带来极大的安全威胁。

　　为了阻止恶意攻击者暴力破解共享密码信息，我们不妨通过下面的操作方法，来拒绝普通用户通过匿名帐号对共享资源和用户列表信息的随意访问和存取：

　　首先单击系统桌面中的“开始”按钮，从弹出的系统“开始”菜单中执行“运行”命令，打开本地系统的运行对话框，在其中输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开本地工作站的系统组策略编辑窗口；

　　其次在该组策略编辑窗口的左侧列表区域，用鼠标双击其中的“计算机配置”项目，在随后展开的组策略分支下面，依次选中“Windows设置”、 “安全设置”、“本地策略”、“安全选项”项目，在“安全选项”项目对应的右侧列表区域中，用鼠标双击“网络访问：不允许SAM账号和共享的匿名枚举”项目，打开如图所示的组策略属性设置窗口；在该设置窗口中将“已启用”选中，并单击“确定”按钮，如此一来本地工作站日后就会禁止每一位来访用户通过空用户连接方式得到本地工作站中的所有共享资源列表和所有本地用户帐号信息，从而确保了本地共享资源的访问密码不被恶意攻击者随意窃取了。