當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

了解系統(tǒng)權(quán)限認(rèn)識(shí)局域網(wǎng)共享與安全

http://m.yibo1263.com　2008/11/14 7:23:04 　來源:東北IT網(wǎng) 　編輯:葉子

　　說起Windows的局域網(wǎng)共享時(shí)，提到了IPC（Internet Process Connection），IPC是NT以上的系統(tǒng)為了讓進(jìn)程間通信而開放的命名管道，可以通過驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用，微軟把它用于局域網(wǎng)功能的實(shí)現(xiàn)，如果它被關(guān)閉，計(jì)算機(jī)就會(huì)出現(xiàn)“無法訪問網(wǎng)絡(luò)鄰居”的故障。

　　在Windows NT以后的系統(tǒng)里，IPC是依賴于Server服務(wù)運(yùn)行的，一些習(xí)慣了單機(jī)環(huán)境的用戶可能會(huì)關(guān)閉這個(gè)服務(wù)，這樣的后果就是系統(tǒng)將無法提供與局域網(wǎng)有關(guān)的操作，用戶無法查看別人的計(jì)算機(jī)，也無法為自己發(fā)布任何共享。

　　要確認(rèn)IPC和Server服務(wù)是否正常，可以在命令提示符里輸入命令net share，如果Server服務(wù)未開啟，系統(tǒng)會(huì)提示“沒有啟動(dòng) Server 服務(wù)。是否可以啟動(dòng)? (Y/N) [Y]:”，回車即可以啟動(dòng)Server服務(wù)。如果Server服務(wù)已開啟，系統(tǒng)會(huì)列出當(dāng)前的所有共享資源列表，其中至少要有名為“IPC$”的共享，否則用戶依然無法正常使用共享資源。

　　除了Server服務(wù)以外，還有兩個(gè)服務(wù)會(huì)對(duì)共享造成影響，分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”，前者用于保存和交換局域網(wǎng)內(nèi)計(jì)算機(jī)的NetBIOS名稱和共享資源列表，當(dāng)一個(gè)程序需要訪問另一臺(tái)計(jì)算機(jī)的共享資源時(shí)，它會(huì)從這個(gè)列表里查詢目標(biāo)計(jì)算機(jī)，一旦該服務(wù)被禁止，IPC就認(rèn)定當(dāng)前沒有可供訪問的共享資源，用戶自然就沒法訪問其他計(jì)算機(jī)的共享資源了；后者主要用于在TCP/IP上傳輸?shù)腘etBIOS協(xié)議（NetBT）和NetBIOS名稱解析工作，NetBT協(xié)議為跨網(wǎng)段實(shí)現(xiàn)NetBIOS命令傳輸提供了載體，正因如此，早期的黑客入侵教材里“關(guān)于139端口的遠(yuǎn)程入侵”才能實(shí)現(xiàn)，因?yàn)镹etBIOS協(xié)議被TCP封裝起來通過Internet傳輸?shù)綄?duì)方機(jī)器里處理了，同樣對(duì)方也是用相同途徑實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)模駝t黑客們根本無法跨網(wǎng)段使用網(wǎng)絡(luò)資源映射指令“net use”。對(duì)于本地局域網(wǎng)來說，NetBT是SMB協(xié)議依賴的傳輸媒體，也是相當(dāng)重要的。

　　如果這兩個(gè)服務(wù)異常終止，局域網(wǎng)內(nèi)的共享可能就無法正常使用，這時(shí)候我們可以通過執(zhí)行程序“services.msc”打開服務(wù)管理器，在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服務(wù)并點(diǎn)擊“啟動(dòng)”即可。

　　熟悉Windows系統(tǒng)的用戶或多或少都會(huì)接觸到“組策略”（gpedit.msc），這里實(shí)際上是提供了一個(gè)比手工修改注冊(cè)表更直觀的操作方法來設(shè)置系統(tǒng)的一些功能和用戶權(quán)限，但是這里的設(shè)置失誤也會(huì)影響到局域網(wǎng)共享資源的使用。

　　由于IPC本身就是用于身份驗(yàn)證的，因此它對(duì)計(jì)算機(jī)賬戶的配置特別敏感，而組策略里偏偏就有很多方面的設(shè)置是針對(duì)計(jì)算機(jī)賬戶的，其中影響最大的要數(shù)“計(jì)算機(jī)配置 – Windows配置 – 安全設(shè)置 – 本地策略 – 用戶權(quán)利指派”里的“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”，在Windows 2000系統(tǒng)里默認(rèn)是不做任何限制的，可是自從XP出現(xiàn)后，這個(gè)部分就默認(rèn)多了兩個(gè)帳戶，一個(gè)是用于遠(yuǎn)程協(xié)助（也就是被簡(jiǎn)化過的終端服務(wù)）身份登錄的3389用戶名，另一個(gè)則是我們局域網(wǎng)共享的基本成員guest！

　　許多使用XP系統(tǒng)的用戶無法正常開啟共享資源的訪問權(quán)限，正是這個(gè)項(xiàng)目的限制，解決方法也很容易，只要從列表里移除“Guest”帳戶就可以了。

　　除了與帳戶相關(guān)的策略，這里還有幾個(gè)與NetBIOS和IPC相關(guān)的組策略設(shè)置，它們是位于“計(jì)算機(jī)配置 – Windows配置 – 安全設(shè)置 – 本地策略 – 安全選項(xiàng)”里的“對(duì)匿名連接的額外限制”（默認(rèn)為“無”），對(duì)于XP以上的系統(tǒng)，這里還有“不允許SAM賬戶和共享的匿名枚舉”（默認(rèn)為“已停用”）、“本地賬戶的共享和安全模式”（默認(rèn)為“僅來賓”），其中“對(duì)匿名連接的額外限制”的設(shè)置是可以直接扼殺共享功能的，當(dāng)它被設(shè)置為“不允許枚舉”時(shí)，其他計(jì)算機(jī)就無法獲取共享資源列表，如果它被設(shè)置為“沒有顯式匿名權(quán)限就無法訪問”的話，這臺(tái)計(jì)算機(jī)就與共享功能徹底告別了，所以有時(shí)候?qū)嵲谡也怀龉收�，不妨檢查一下該項(xiàng)目。

　　一些剛接觸NTFS分區(qū)的用戶經(jīng)常會(huì)發(fā)現(xiàn)，自己機(jī)器的共享和來賓帳戶都開了，但是別人無論怎么訪問都提示“權(quán)限不足”，即使給共享權(quán)限里添加了來賓帳戶甚至管理員帳戶也無效，這是為什么？歸根究底還是因?yàn)樵贜TFS這部分被攔截了，用戶必須理清一個(gè)概念，那就是如果你對(duì)某個(gè)共享目錄的訪問權(quán)限做了什么設(shè)置，例如添加刪除訪問成員，其相應(yīng)的NTFS權(quán)限成員也要做出相應(yīng)的修改，即共享權(quán)限成員和NTFS權(quán)限成員必須一致或者為“Everyone”成員，在XP/2003系統(tǒng)里出于安全因素，文件夾時(shí)常會(huì)缺少Everyone權(quán)限，因此，即使你的共享權(quán)限里設(shè)置了Everyone或Guest，它仍然會(huì)被NTFS權(quán)限因素阻止訪問；如果NTFS權(quán)限成員里有共享權(quán)限成員的存在，那么訪問的權(quán)限就在共享權(quán)限里匹配，例如一個(gè)目錄的共享權(quán)限里打開了Everyone只讀訪問權(quán)限，那么即使在NTFS權(quán)限里設(shè)置了Everyone的完全控制權(quán)限，通過共享途徑訪問的用戶依然只有“只讀”的權(quán)限，但是如果在NTFS權(quán)限成員或共享權(quán)限成員里缺少Everyone的話，這個(gè)目錄就無法被訪問了。因此要獲得正常的訪問權(quán)限，除了做好共享目錄的權(quán)限設(shè)置工作以外，還在共享目錄上單擊右鍵---屬性----安全，在里面添加Guest和Everyone權(quán)限并設(shè)置相應(yīng)的訪問規(guī)則（完全控制、可修改、可讀取等），如果沒有其他故障因素，你就會(huì)發(fā)現(xiàn)共享正常開啟訪問了。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

·衡量局域網(wǎng)交換機(jī)功耗的測(cè)試

·企業(yè)局域網(wǎng)內(nèi)DHCP服務(wù)器的安全設(shè)計(jì)

·辦公室局域網(wǎng)打印機(jī)共享輕松設(shè)置

·三方面控制好你的局域網(wǎng)網(wǎng)速

·解決局域網(wǎng)常掉線問題

·無線局域網(wǎng)秘訣：因地制宜靈活布置

·無線局域網(wǎng)協(xié)議及基本用語全解析

·網(wǎng)管組建有線/無線局域網(wǎng)必看方案

·組建安全高效無線局域網(wǎng)

·家庭無線局域網(wǎng)優(yōu)劣取決于無線信號(hào)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费