51Testing软件测试网+l&@
kI`#qr!]因为公司所有用户的USB端口全部封闭了,所以公司全部的数码相机导入照片全部是由信息课的同事帮助导入公司内网的,造成了人员精力的浪费,所以我们决定设置一台公用电脑(由公用扫描/打印服务器来担任)由用户来导入照片,能为信息课省掉不少事。但是这样做可能会导致从这台打印服务器的USB口造成数据泄露,为了防止这个问题我们决定设置安全策略只允许打印服务器访问文件服务器上的共享,为了不影响用户共享,需要“允许”客户机访问打印服务器的共享文件夹。同时打印服务器开启共享文件夹,域用户可以对这个共享文件夹只读。为了实现这个功能我们决定采用WINDOWS自带的“本地安全策略”来实现。过程如下:51Testing软件测试网m UAXu+~+\
#^#o$w;p.k*R+G0以上的介绍仅仅起个抛砖引玉的作用,您也可以根据这个方问设置不允许用户访问WEB等功能。
puv$O8llfWx051Testing软件测试网Hv,fV8evk|打印服务器---->只能访问“文件服务器”上的共享,不许访问客户机共享。
h8XU'dZ.wU051Testing软件测试网7S"`Z(s(Q~:|FD2D"g6o客户机------>可以访问打印服务器的共享。
;[/hO(V${3u1R8n5Dt051Testing软件测试网5l"]Opq一、打开“控制面板”----“本地安全策略”-----IP安全策略
1]b
d)G$`4}(_J051Testing软件测试网$QdUJ,`N
6B-Wy:j(qc0'^kx5r|-S/O$x\]0《图一》51Testing软件测试网6g2}`jG
51Testing软件测试网(UEf&pe二、在“IP安全策略,在本地计算机”上点右键,选择“管理IP筛选器表和筛选器操作(M)…”打开管理器操作对话框51Testing软件测试网hd)?},}K]"tT9G}*N-eX
51Testing软件测试网\x1Vz8QInz
-cV8\fIqG.E051Testing软件测试网
M-{3B0|#Q5v
s<图二>51Testing软件测试网HS4\ r8v;M:n7Zy
51Testing软件测试网j&^Zm2d8rG{W
/G[}
k^i8nC2x
y[03a$q&N!R"C'[0<图三>
"_.Y5O!{&F!U051Testing软件测试网(S?dGN,d%?%f本文出自:http://dengweihua1.blog.51cto.com作者:邓卫华 转载请声明出处。
T)\U#e2r?
\(h4B,u0I.j4d A"oe%s0三、在上图上选择“添加”增加一个叫“非服务器IP地址网段”的策略.51Testing软件测试网N#y:i
V6?^
51Testing软件测试网-W6y
P7J |"[&p6Sn1xDF
"C9Yiz#eE4xH051Testing软件测试网`3]\)vC5S^%YK<图四>51Testing软件测试网0D!f'E*c1g
51Testing软件测试网4d rgsHt四、在上图中取消“使用添加向导”;然后点击“添加”按钮进入设置窗口。
!|&HhM:e06[K.BpJ"L!k%[6g0本文出自:http://dengweihua1.blog.51cto.com作者:邓卫华 转载请声明出处。51Testing软件测试网niZ;j%x+\!t
51Testing软件测试网p{N5N_
tY51Testing软件测试网
G,Y^`;w
wd%TM a-LtB1G0<图五>51Testing软件测试网+{m&Md
l"@
9np&^oHN4y+`k+~S$E0说明:在上图中:源地址采用默认的“我的IP地址”,目标地址选择“一个特写的IP子网”,在我的工作环境中我需要该服务器只能访问192.168.0.1~192.168.0.128 的IP段(此网段为服务器IP网段).51Testing软件测试网+aii#r k l B5@J
51Testing软件测试网r"h,r&{-V#U1k五、在上图中选择“协议”51Testing软件测试网0e%\ O Z4xd-Pa5pE
!G/Q.ELrv"yOx0
*m d \
d0J cIV09b&Ug8| ?+\0<图六>51Testing软件测试网 @Ve/C*VE7H[9D
1eu?;r:`/H7fwF&So5d0说明:因为是拒绝访问非服务器外的共享,所以“选择协议类型”采用TCP,“从任意端口”到此端口(139)
FY6U9wn;E
F3{9T051Testing软件测试网 XIr|Su`六、重复“图四”共增加“TCP 139/445”共2个目标端口。
&VZi
rqe051Testing软件测试网3Y.Dw2Z}tROL#eo==========================
%?7LiMAuuk051Testing软件测试网'e!@f\^"z六、增加IP筛选器的动作。
#gq
zQMz
XWyV051Testing软件测试网,H8G De1Jm在“图三”中选择“管理筛选器操作”,点击“添加”选择“阻止”
(WDj!Xqm0
l3?]:Cb
U051Testing软件测试网b0B
sk"Q
51Testing软件测试网z;p6^%t?D6Dp<图七>51Testing软件测试网d,we _sco8IeI%F
6Y&anJq h^x}6H0
V8WAZ*Su.GH0)Ab,I H#D6sgw0<图八>51Testing软件测试网/muh a)S2_
p
,yu9K4u cV8r+fg0完成后的界面如下:51Testing软件测试网,ZAO6RY1G
8jb*h
q$RF+`O&[051Testing软件测试网W&`"[_|a8`
`ZR;kC;Ok:r
b2jw8?0<图九>
S%t7D5}8M'fbs(C#s~08D z3~ iJ(^+o8tm0七、创建IP策略51Testing软件测试网o-`PXB
J
7^{b8_J(I0v0在<图二>中选择“创建IP策略”,取消“激活默认响应规则”,“下一步”后点击“完成”51Testing软件测试网D+k i5J-{P`2c-M
*S!kaZ#ot*~051Testing软件测试网0I}$O
Y
{TX3A
]$w,o6u
V Co-}0八、在窗口中取消“使用添加向导”,然后点击“添加”按钮51Testing软件测试网.W f.z;i9{X
3V;tjaW051Testing软件测试网1PQ"z1Z SUrP4N5g;xq
51Testing软件测试网a0gw%izva九、在弹出的窗口中选择刚才新建的IP筛选器。51Testing软件测试网,h eL'l;wA%~2Q`
7M${ l+WIq-QC051Testing软件测试网R7W?~SS M
+Mk_O,Nh'S-nK0十、在“筛选器操作”框中选择执行的动作。后确定完成操作。
"ie0e4dZQhI0PQ? L*n1Wf0
5wV(j*Q(I Ob u051Testing软件测试网\Oa*X7t)E-i.is(c0d十一、对刚才新建的策略进行“指派”。51Testing软件测试网1`E"n(Op ? ZP(M
u#qq
&vo,j#I3P%\0V051Testing软件测试网pq~0w,fF9tv8^q
$P:LHYl)do0================51Testing软件测试网7lb m6n2J[&CR
2z`;z
fk-\/c0好了,现在我们来看看结果。51Testing软件测试网fM-h/X%k0x0U%^iE
{PsDV0一、首先不对策略进行指派。在下图的右窗口中的策略“拒绝访问服务器共享”设置为未指派,可以可以访问192.168.0.141电脑的共享。51Testing软件测试网%H-cj2IHF$@&T(R5R
51Testing软件测试网1~!uSB2C(D;z;Q本文出自:http://dengweihua1.blog.51cto.com作者:邓卫华 转载请声明出处。
b5K/P:e2s`s051Testing软件测试网g|ZSx3Y8~51Testing软件测试网+E i1cj V4y
51Testing软件测试网4F&CN#nJ*z8S8\二、对“拒绝访问服务器共享”策略进行指派后的结果。51Testing软件测试网
nMJ.?$FWQ%fr
e\1WS0O0
[g6C"PpC~v@{Ud [
F0