|
Win11 组策略设置 Guest 账户权限全攻略
一、准备工作:开启组策略编辑器
Win+R→输入gpedit.msc→回车(需管理员权限)
二、基础权限设置
1. 启用 Guest 账户
-
导航:计算机配置→Windows设置→安全设置→本地策略→安全选项
-
找到:"账户:来宾账户状态"
-
双击→选择 "已启用"→确定
2. 账户基本属性设置
-
导航:计算机配置→Windows设置→安全设置→账户策略→密码策略
-
设置 "密码必须符合复杂性要求" 为禁用(可选)
-
设置 "密码最短使用期限" 为 0 天(可选)
-
设置 "密码最长使用期限"为"不限制" 或适当天数(推荐)
-
设置 "强制密码历史" 为 0(可选)
三、登录权限控制
1. 禁止本地登录(仅允许网络访问)
-
导航:计算机配置→Windows设置→安全设置→本地策略→用户权限分配
-
找到:"拒绝本地登录"
-
双击→添加→输入 "Guest"→确定
2. 允许网络访问(启用共享)
-
导航:计算机配置→Windows设置→安全设置→本地策略→用户权限分配
-
找到:"拒绝从网络访问这台计算机"
-
双击→删除 "Guest" 账户(如有)→确定
3. 启用不安全的来宾登录(SMB 共享)
-
导航:计算机配置→管理模板→网络→Lanman工作站
-
找到:"启用不安全的来宾登录"
-
双击→选择 "已启用"→确定
四、文件系统访问限制(核心安全)
1. 禁止访问特定磁盘 / 分区
-
导航:用户配置→管理模板→Windows组件→文件资源管理器
-
找到:"防止从" 我的电脑 "访问驱动器"
-
双击→选择 "已启用"→在下拉框中选择要禁止的驱动器(如 D:)→确定
2. 限制文件访问权限
-
导航:计算机配置→Windows设置→安全设置→本地策略→用户权限分配
-
找到:**"取得文件或其他对象的所有权"** 和 "修改固件环境值"
-
双击→确保 "Guest" 账户不在列表中
五、系统功能限制(增强安全)
1. 禁止安装软件
-
导航:用户配置→管理模板→Windows组件→Windows Installer
-
找到:"禁止用户安装"
-
双击→选择 "已启用"→确定
2. 阻止访问控制面板和设置
-
导航:用户配置→管理模板→控制面板
-
找到:"禁止访问控制面板和 PC 设置"
-
双击→选择 "已启用"→确定
3. 禁用特定应用程序
-
导航:用户配置→管理模板→系统→不运行指定的Windows应用程序
-
双击→选择 "已启用"→点击"显示" 按钮→添加要禁止的程序(如notepad.exe)→确定
4. 禁止修改系统时间
-
导航:用户配置→管理模板→控制面板→日期和时间
-
找到:"禁止更改系统时间"
-
双击→选择 "已启用"→确定
六、网络与共享权限设置
1. 设置共享文件夹权限
-
在文件夹上右键→属性→安全→编辑→添加→输入 "Guest"→确定
-
在权限列表中,只勾选 "读取" 和 "列出文件夹内容"(不勾选 "写入")→确定
2. 配置网络共享模型
-
导航:计算机配置→Windows设置→安全设置→本地策略→安全选项
-
找到:"网络访问:本地账户的共享和安全模型"
-
双击→选择 "仅来宾 - 对本地用户进行身份验证,其身份为来宾"→确定
3. 启用打印机共享
-
在打印机上右键→属性→共享→勾选 "共享这台打印机"→确定
-
安全→添加 "Guest"→设置"打印" 权限(不勾选 "管理文档")→确定
七、高级安全设置(企业级)
1. 应用程序控制(AppLocker)
-
导航:计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker
-
创建可执行规则:
-
右键 "可执行规则"→选择"创建新规则"
-
选择 "拒绝"→下一步→选择"用户或组"→输入"Guest"→下一步
-
选择 "条件"(如路径、发布者)→设置要阻止的程序→完成 Microsoft Learn
2. 文件访问审计
-
导航:计算机配置→Windows设置→安全设置→高级审计策略配置→对象访问
-
启用 "审核文件系统"和"审核详细文件共享"
-
设置为 "成功和失败"→确定
3. 会话限制
-
导航:计算机配置→Windows设置→安全设置→账户策略→账户锁定策略
-
设置 "账户锁定阈值"(如 3 次无效登录)
-
设置 "账户锁定时间"(如 15 分钟)→确定
八、验证与应用
设置完成后,以 Guest 账户登录测试所有限制是否生效。
九、权限设置速查表
|
权限类型
|
组策略路径
|
设置项
|
推荐值
|
|
基本状态
|
安全选项
|
账户:来宾账户状态
|
已启用
|
|
登录限制
|
用户权限分配
|
拒绝本地登录
|
添加 Guest
|
|
网络访问
|
用户权限分配
|
拒绝从网络访问
|
删除 Guest
|
|
软件安装
|
Windows Installer
|
禁止用户安装
|
已启用
|
|
控制面板
|
控制面板
|
禁止访问控制面板
|
已启用
|
|
磁盘访问
|
文件资源管理器
|
防止访问驱动器
|
已启用 (选驱)
|
|
程序限制
|
系统
|
不运行指定程序
|
已启用 (添加程序)
|
|
共享设置
|
安全选项
|
网络访问模型
|
仅来宾
|
|
打印机共享
|
打印机属性
|
权限
|
仅打印 (非管理)
|
十、安全最佳实践
-
最小权限原则:只赋予完成任务所需的最低权限
-
定期审查:
-
检查 Guest 账户状态(是否被意外启用)
-
审核日志,查看是否有异常访问
-
临时使用后禁用:
-
返回组策略→禁用 "账户:来宾账户状态"
-
或命令行:net user Guest /active:no
总结
通过组策略可以全面、精细地控制 Guest 账户权限,从基础的登录限制到高级的应用程序管控。建议先设置基本权限(启用账户、限制登录),再逐步添加文件访问、软件安装等限制,最后通过测试验证所有设置是否符合预期安全需求。
|
赣公网安备 36082102000008号