六、预防EveryOny组权限延伸

　　很多人都认为匿名用户的权限和Everyone组的权限是一样的，其实这种看法是极其错误的。虽然两者之间的权限有部分是相同的，但并不是完全一致的。默认情况下Everyone组的权限要大于匿名用户。但是在Windows XP中，却允许将“Everyone”组权限应用于匿名用户。

　　对此，我们需要禁止这种做法。在组策略中打开“安全选项”，然后在右侧双击“网络访问：让每个人权限应用于匿名用户”，将其设置为“已停用”即可。不过，虽然我们将该项已设置为停用，但是我们仍然不建议用户将过多的权限直接授予Everyone组，因为这不符合权限授予的最小性原则。

　　七、禁止非空密码交互式登录

　　为了防止管理员添加账号时没有设置密码，并且对没有密码的本地账户进行了授权访问。对此，我们可以禁止空白密码的本地账户进行交互式登录访问共享目录。

　　在“安全选项”下双击“账户：使用空白密码的本地账户只允许进行控制台登录”，将其设置为“已启用”。同时为了防止管理员设置过于简单的密码，还需要在组策略编辑器的“安全设置”下，选择“帐户策略”—“密码策略”，然后设置“密码长度最小值”和“密码必须符合复杂性要求”选项。

　　八、做好访问记录

　　通过日志，可以记录所有账户对共享目录的访问、操作情况。不过要想日志进行记录，必须启用审核对象访问。打开组策略编辑器，在“本地策略”下选择“审核策略”，然后双击右侧的“审核对象访问”，在打开的窗口中将“成功”和“失败”项全部选中。

　　接下来再打开共享目录的属性窗口，在“安全”标签中单击“高级”按钮，切换到“审核”标签，单击“添加”按钮，将所有有权访问共享目录的账户都添加进来并保存设置。

　　经过这样的设置后，我们就可以进入“控制面板”的“管理工具”文件夹，双击其中的“事件查看器”，然后查找ID号为560、562、564的事件，即可了解详细的访问情况了。

　　其实，安全问题并非我们想象中的那样复杂，只要我们平时注意做好防范，能够用好系统提供的保护措施，那么即可防范绝大部分的入侵破坏活动。

　　共享目录的应用方便了我们应用计算机，提高了我们的工作效率，但是潜在的安全威胁是存在的，我们应该给予足够的重视。