怎样配置服务器来防止未经授权网络进行访问

ITKE成员BillBald提出了这个问题:

我需要使用Windows Server 2003和Windows XP Professional Edition刷新网络。尽管可以登录到驻留在服务器上的域，但用户通常不会登录到该域。相反，他们使用服务器未知的用户名登录到本地计算机。通过在快捷方式和脚本中使用服务器的IP地址，未经授权的用户可以访问存储在服务器上的文件。在我看来，服务器允许未经授权的访问，这在一定程度上失去了安全性。我不确定是否会出现这种情况，但我最近发现路由器被用作动态主机配置协议(DHCP)服务器，而不是运行Win2003。谁能提出一种强制用户登录域的方法，从而防止这种未经授权的行为？

ITKE成员勒兰德尔的回答:

听起来好像所有系统都是由相同的用户名和密码创建的。我倾向于相信他们使用的是“管理员”用户名。如果“管理员”帐户存储在两台电脑上，并且帐户的密码是“p@ssw0rd”，则每个客户都可以使用另一个网络帐户。要停止这种情况，请将本地管理员帐户更改为用户不知道的名称。这很容易做到，只需修改组策略。这还需要更改域控制器和工作站的帐户，这将强制每个人使用分配给他们的域用户帐户。此外，如果您想跟踪试图访问此帐户的用户，那么创建一个虚假的和不可用的管理员帐户，并使用它进行安全登录。

ITKE会员监护人的回答:

我将检查域安全策略和本地安全策略。确保进入域的每个用户的权限不受限制。用户必须经过身份验证才能访问域和资源。大多数这些操作都可以在管理工具中找到。删除工作组计算机，就像在家庭版XP中一样(键入您的域名系统(DNS)后缀，然后选择“更改DNS后缀”)。

ITKE成员dwiebesick的回答:

要限制本地登录，您可以使用组策略。组策略下有可以使用的安全设置。计算机可以在本地配置windows设置安全性、设置本地用户权限和分发方法。您可以通过阅读Microsoft知识库中编号为823659的文章来了解这些内容。

您还可以更改新技术文件系统(NTFS)的安全设置，以控制最终用户可以访问哪些文件和文件夹。设置好之后，只有经过认证的用户才能访问你认为合适的授权域。

如果您知道用户正在使用的用户名和密码，您需要修改它。如果您是本地计算机的管理员帐户，您可以使用脚本轻松地更改它们。

ITKE成员天文学家的回答:

看起来你有一个像工作组一样工作的域。如果您有权限，那么您可以创建一个与本地帐户不同名称的域帐户。然后，禁用任何域帐户(或至少更改密码)，这通常用于实现域安全，并强制用户使用自己的域帐户。您需要确保的是，用户使用他们自己的域帐户来获取服务器上所需的资源。

但是，请记住，我假设工作站都是域的成员。一旦用户开始使用域帐户登录，他们需要开始使用组策略来管理它们。

为了准确起见，使用什么设备作为DHCP的服务器并不重要，只要它为您的环境提供适当的地址和选项即可。对于单个子网，使用路由器应该是合理的选择。因为它没有硬盘，可能比服务器更可靠。

ITKE成员DaJackal的回答:

以下是我对这个问题可能的处理方法。首先，转到:开始>程序>管理工具>域控制器安全策略。然后，进一步设置安全选项。

接下来，验证以下两项:

网络访问:允许“任何人”的权限适用于匿名用户->禁用

网络访问:不允许匿名枚举存储区域管理(SAM)帐户和共享->已启用。

通过选择这两个选项，我们应该能够正确处理匿名访问的问题。

* * *，我将验证用户登录的本地帐户是否与您的域或本地域控制器中的帐户不同。如果您愿意，这些用户名可以相同，但您必须确保密码不同，并且用户不知道密码是什么。因此，如果用户名相同，域将提示他们输入密码。遗憾的是，Windows只确认用户名，而不验证的安全标识符(SID)。但是通过遵循这些步骤，您应该能够解决未经授权访问服务器的问题。网络访问