我负责一个网络,其中服务器是 Server 2008 [域控制器],客户端站是 Windows 7 Pro SP1 64 位或 Windows XP Pro SP3 32 位。
我已经配置了 GPO 来保护工作站/服务器和网络,我对其中大部分内容感到满意。但是,当用户在应用程序中单击“保存”或“另存为”时,他们可以键入服务器或客户端的 UNC 路径并查看任何未隐藏的共享。
\\Server1\
或者:
\\Workstation1\
我想找到一种阻止这种情况的方法。我创建的一些服务器共享(出于操作原因)并未隐藏,并且可供所有用户修改。即使共享被隐藏,如果用户知道共享的路径,他们仍然可以打开该共享]
有没有办法可以阻止用户输入命名的 UNC,同时\\server1\又不会对工作站或网络的性能产生不利影响?
答案1
如果@drf 不想发表他的评论......
这有点像问“把家门钥匙藏在哪个门垫下面最安全”;答案显而易见,如果你担心安全问题,就不要把钥匙放在门垫下面。最终,用户可以net view Server1 /all在命令提示符中输入命令来查看隐藏的共享,并且用户(或用户不知情执行的恶意软件)还有其他方法可以执行相同的操作。正确的方法是在服务器和工作站上设置适当的共享和 NTFS 权限,而不是强制执行 UI 级限制,以防止用户查看易受攻击的资源。