局域網(wǎng)的共享和安全
局域網(wǎng)的共享和安全
以下是OMG小編為大家收集整理的文章,希望對(duì)大家有所幫助。
一. 局域網(wǎng)內(nèi)的鄰居
就急匆匆?guī)Щ毓窘o經(jīng)理為客戶(hù)們做講解了,剛離開(kāi)公司那30層高的會(huì)議廳,李小姐就忙著回自己在15樓的工作崗位了,但是李小姐剛踏出電梯,就接到了參與演示的工作人員的電話(huà),說(shuō)發(fā)現(xiàn)報(bào)告的演示文檔不齊全,要她迅速帶上來(lái),李小姐才發(fā)現(xiàn)是自己過(guò)于迷糊而少?gòu)?fù)制了幾份文件
一場(chǎng)危機(jī)總算解除了,李小姐通過(guò)局域網(wǎng)把文件傳輸上來(lái),演示人員不動(dòng)聲色的補(bǔ)充了剩下的文件,會(huì)議進(jìn)行得很順利,大家總算松了口氣……
網(wǎng)絡(luò)的基本作用是實(shí)現(xiàn)資源共享,而作為最小網(wǎng)絡(luò)分布結(jié)構(gòu)的局域網(wǎng)(Local Area Network,LAN)更是把這個(gè)概念淋漓盡致的發(fā)展起來(lái),那么,局域網(wǎng)內(nèi)的共享是怎么實(shí)現(xiàn)的呢?
1. 局域網(wǎng)實(shí)現(xiàn)原理
在了解共享之前,我們需要對(duì)局域網(wǎng)的概念有個(gè)了解,局域網(wǎng)并不同于外界通訊使用的TCP/IP協(xié)議體系,它是一種建立在傳統(tǒng)以太網(wǎng)(Ethernet)結(jié)構(gòu)上的網(wǎng)絡(luò)分布,除了使用TCP/IP協(xié)議,它還涉及許多協(xié)議。
在局域網(wǎng)里,計(jì)算機(jī)要查找彼此并不是通過(guò)IP進(jìn)行的,而是通過(guò)網(wǎng)卡MAC地址,它是一組在生產(chǎn)時(shí)就固化的唯一標(biāo)識(shí)號(hào),根據(jù)協(xié)議規(guī)范,當(dāng)一臺(tái)計(jì)算機(jī)要查找另一臺(tái)計(jì)算機(jī)時(shí),它必須把目標(biāo)計(jì)算機(jī)的IP通過(guò)ARP協(xié)議(地址解析協(xié)議)在物理網(wǎng)絡(luò)中廣播出去,“廣播”是一種讓任意一臺(tái)計(jì)算機(jī)都能收到數(shù)據(jù)的數(shù)據(jù)發(fā)送方式,計(jì)算機(jī)收到數(shù)據(jù)后就會(huì)判斷這條信息是不是發(fā)給自己的,如果是,就會(huì)返回應(yīng)答,在這里,它會(huì)返回自身地址。當(dāng)源計(jì)算機(jī)收到有效的回應(yīng)時(shí),它就得知了目標(biāo)計(jì)算機(jī)的MAC地址并把結(jié)果保存在系統(tǒng)的地址緩沖池里,下次傳輸數(shù)據(jù)時(shí)就不需要再次發(fā)送廣播了,這個(gè)地址緩沖池會(huì)定時(shí)刷新重建,以免造成數(shù)據(jù)冗余現(xiàn)象。實(shí)際上,共享協(xié)議規(guī)定局域網(wǎng)內(nèi)的每臺(tái)啟用了文件及打印機(jī)共享服務(wù)的計(jì)算機(jī)在啟動(dòng)的時(shí)候必須主動(dòng)向所處網(wǎng)段廣播自己的IP和對(duì)應(yīng)的MAC地址,然后由某臺(tái)計(jì)算機(jī)(通常是局域網(wǎng)內(nèi)某個(gè)工作組里第一臺(tái)啟動(dòng)的計(jì)算機(jī))承擔(dān)接收并保存這些數(shù)據(jù)的角色,這臺(tái)計(jì)算機(jī)就被稱(chēng)為“瀏覽主控服務(wù)器”,它是工作組里極為重要的計(jì)算機(jī),負(fù)責(zé)維護(hù)本工作組中的瀏覽列表及指定其他工作組的主控服務(wù)器列表,為本工作組的其他計(jì)算機(jī)和其他來(lái)訪(fǎng)本工作組的計(jì)算機(jī)提供瀏覽服務(wù),它的標(biāo)識(shí)是含有\(zhòng)_MSBROWSE_名字段。這就是我們能在網(wǎng)絡(luò)鄰居看到其他計(jì)算機(jī)的來(lái)由,它實(shí)際上是一個(gè)瀏覽列表,用戶(hù)可以使用“nbtstat -r”來(lái)查看在瀏覽主控服務(wù)器上聲明了自己的NetBIOS名稱(chēng)列表。
瀏覽列表記錄了整個(gè)局域網(wǎng)內(nèi)開(kāi)啟的計(jì)算機(jī)的資源描述,當(dāng)我們要訪(fǎng)問(wèn)另一臺(tái)計(jì)算機(jī)的共享資源時(shí),系統(tǒng)實(shí)際上是通過(guò)發(fā)送廣播查詢(xún)?yōu)g覽主控服務(wù)器,然后由瀏覽主控服務(wù)器提供的瀏覽列表來(lái)“發(fā)現(xiàn)”目標(biāo)計(jì)算機(jī)的共享資源的。
但是僅知道彼此的地址還不夠,計(jì)算機(jī)之間必須建立一條連接的數(shù)據(jù)鏈路才能正常工作,這就需要另一個(gè)基本協(xié)議來(lái)進(jìn)行了。NetBIOS(網(wǎng)絡(luò)基本輸入輸出系統(tǒng))協(xié)議是IBM開(kāi)發(fā)的用于給局域網(wǎng)提供網(wǎng)絡(luò)以及其他特殊功能的命令集,幾乎每個(gè)局域網(wǎng)都必須在這種協(xié)議上面進(jìn)行工作,NetBIOS相當(dāng)于Intranet上的TCP/IP協(xié)議。而后推出的NetBEUI協(xié)議(NetBIOS用戶(hù)擴(kuò)展接口協(xié)議)則是對(duì)前者進(jìn)行了功能擴(kuò)充,這幾個(gè)協(xié)議都是組成局域網(wǎng)的基本必備,最后,為了建立連接,局域網(wǎng)還需要TCP/IP協(xié)議。
2. windows下的局域網(wǎng)共享
windows系統(tǒng)對(duì)于局域網(wǎng)內(nèi)機(jī)算機(jī)的身份和權(quán)限驗(yàn)證是在一個(gè)被稱(chēng)為“IPC”(命名管道)的組件技術(shù)上實(shí)現(xiàn)的,它實(shí)質(zhì)上是Windows為了方便管理員從遠(yuǎn)方登錄管理計(jì)算機(jī)而設(shè)置的,在局域網(wǎng)里它也負(fù)責(zé)文件的共享和傳輸,所以它是Windows局域網(wǎng)不可缺的基礎(chǔ)組件。
默認(rèn)情況下,局域網(wǎng)之間的共享服務(wù)通過(guò)來(lái)賓帳戶(hù)“Guest”的身份進(jìn)行,這個(gè)帳戶(hù)在Windows系統(tǒng)里權(quán)限最少,為方便阻止來(lái)訪(fǎng)者越權(quán)訪(fǎng)問(wèn)提供了基礎(chǔ),同時(shí)它也是資源共享能正常進(jìn)行的最小要求,任何一臺(tái)要提供局域網(wǎng)共享服務(wù)的計(jì)算機(jī)都必須開(kāi)放來(lái)賓帳戶(hù),命令是“net user guest /active:yes”。
除了使用IPC作為身份驗(yàn)證,系統(tǒng)還使用SMB(Server Message Block)協(xié)議用來(lái)做文件共享,這個(gè)協(xié)議與共享存在很大聯(lián)系,稍后我們將會(huì)講到。
二. 局域網(wǎng)共享的實(shí)現(xiàn)
雖然我們可以把局域網(wǎng)定義為“一定數(shù)量的計(jì)算機(jī)通過(guò)互連設(shè)備連接構(gòu)成的網(wǎng)絡(luò)”,但是僅僅使用網(wǎng)卡讓計(jì)算機(jī)構(gòu)成一個(gè)物理連接的網(wǎng)絡(luò)還不能實(shí)現(xiàn)真正意義的局域網(wǎng),它還需要進(jìn)行一定的協(xié)議設(shè)置,才能實(shí)現(xiàn)資源共享。
首先,同一個(gè)局域網(wǎng)內(nèi)的計(jì)算機(jī)IP地址應(yīng)該是分布在相同網(wǎng)段里的,雖然以太網(wǎng)最終的地址形式為網(wǎng)卡MAC地址,但是提供給用戶(hù)層次的始終是相對(duì)好記憶的IP地址形式,而且系統(tǒng)交互接口和網(wǎng)絡(luò)工具都通過(guò)IP來(lái)尋找計(jì)算機(jī),因此為計(jì)算機(jī)配置一個(gè)符合要求的IP是必須的,這是計(jì)算機(jī)查找彼此的基礎(chǔ),除非你是在DHCP環(huán)境里,因?yàn)檫@個(gè)環(huán)境的IP地址是通過(guò)服務(wù)器自動(dòng)分配的。
其次,要為局域網(wǎng)內(nèi)的機(jī)器添加“交流語(yǔ)言”——局域網(wǎng)協(xié)議,包括最基本的NetBIOS協(xié)議和NetBEUI協(xié)議,然后還要確認(rèn)“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”已經(jīng)安裝并為選中狀態(tài),然后,還要確保系統(tǒng)安裝了“Microsoft 網(wǎng)絡(luò)客戶(hù)端”,而且僅僅有這個(gè)客戶(hù)端,否則很容易導(dǎo)致各種奇怪的網(wǎng)絡(luò)故障發(fā)生。
然后,用戶(hù)必須為計(jì)算機(jī)指定至少一個(gè)共享資源,如某個(gè)目錄、磁盤(pán)或打印機(jī)等,完成了這些工作,計(jì)算機(jī)才能正常實(shí)現(xiàn)局域網(wǎng)資源共享的功能。
最后,計(jì)算機(jī)必須開(kāi)啟139、445這兩個(gè)端口的其中一個(gè),它們被用作NetBIOS會(huì)話(huà)連接,而且是SMB協(xié)議依賴(lài)的端口,如果這兩個(gè)端口被阻止,對(duì)方計(jì)算機(jī)訪(fǎng)問(wèn)共享的請(qǐng)求就無(wú)法回應(yīng)。
但是并非所有用戶(hù)都能很順利的享受到局域網(wǎng)資源共享帶來(lái)的便利,由于操作系統(tǒng)環(huán)境配置、協(xié)議文件受損、某些軟件修改等因素,時(shí)常會(huì)令局域網(wǎng)共享出現(xiàn)各種各樣的問(wèn)題,如果你是網(wǎng)絡(luò)管理員,就必須學(xué)習(xí)如何分析排除大部分常見(jiàn)的局域網(wǎng)共享故障了。
三. 局域網(wǎng)共享故障的分析與排除
IPC、Server服務(wù)與共享故障
臨近畢業(yè)了,學(xué)生小王找了一家平面設(shè)計(jì)公司作為實(shí)習(xí)單位,這天辦公室有同事急匆匆找網(wǎng)絡(luò)部索要?dú)⒍拒浖粶惽晒芾韱T外出未歸,小王為人比較熱心,雖然自己不是學(xué)網(wǎng)絡(luò)專(zhuān)業(yè)的,可是想想也略懂皮毛,就自告奮勇去幫忙了,幸好只是個(gè)小病毒,他輕易就解決了,在同事的夸獎(jiǎng)下,小王心血來(lái)潮順便給她做了系統(tǒng)優(yōu)化。
可是才過(guò)十幾分鐘,那個(gè)同事又出來(lái)找網(wǎng)絡(luò)部了,她說(shuō)自己的機(jī)器被小王擺弄后無(wú)法打開(kāi)別人計(jì)算機(jī)的共享了,這下,小王第一次明白了什么叫好心的后果……
我在前面說(shuō)起Windows的局域網(wǎng)共享時(shí),提到了IPC(Internet Process Connection),IPC是NT以上的系統(tǒng)為了讓進(jìn)程間通信而開(kāi)放的命名管道,可以通過(guò)驗(yàn)證用戶(hù)名和密碼獲得相應(yīng)的權(quán)限,在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用,微軟把它用于局域網(wǎng)功能的實(shí)現(xiàn),如果它被關(guān)閉,計(jì)算機(jī)就會(huì)出現(xiàn)“無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)鄰居”的故障。
在Windows NT以后的系統(tǒng)里,IPC是依賴(lài)于Server服務(wù)運(yùn)行的,一些習(xí)慣了單機(jī)環(huán)境的用戶(hù)可能會(huì)關(guān)閉這個(gè)服務(wù),這樣的后果就是系統(tǒng)將無(wú)法提供與局域網(wǎng)有關(guān)的操作,用戶(hù)無(wú)法查看別人的計(jì)算機(jī),也無(wú)法為自己發(fā)布任何共享。
要確認(rèn)IPC和Server服務(wù)是否正常,可以在命令提示符里輸入命令net share,如果Server服務(wù)未開(kāi)啟,系統(tǒng)會(huì)提示“沒(méi)有啟動(dòng) Server 服務(wù)。是否可以啟動(dòng)? (Y/N) [Y]:”,回車(chē)即可以啟動(dòng)Server服務(wù)。如果Server服務(wù)已開(kāi)啟,系統(tǒng)會(huì)列出當(dāng)前的所有共享資源列表,其中至少要有名為“IPC$”的共享,否則用戶(hù)依然無(wú)法正常使用共享資源。
除了Server服務(wù)以外,還有兩個(gè)服務(wù)會(huì)對(duì)共享造成影響,分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”,前者用于保存和交換局域網(wǎng)內(nèi)計(jì)算機(jī)的NetBIOS名稱(chēng)和共享資源列表,當(dāng)一個(gè)程序需要訪(fǎng)問(wèn)另一臺(tái)計(jì)算機(jī)的共享資源時(shí),它會(huì)從這個(gè)列表里查詢(xún)目標(biāo)計(jì)算機(jī),一旦該服務(wù)被禁止,IPC就認(rèn)定當(dāng)前沒(méi)有可供訪(fǎng)問(wèn)的共享資源,用戶(hù)自然就沒(méi)法訪(fǎng)問(wèn)其他計(jì)算機(jī)的共享資源了;后者主要用于在TCP/IP上傳輸?shù)腘etBIOS協(xié)議(NetBT)和NetBIOS名稱(chēng)解析工作,NetBT協(xié)議為跨網(wǎng)段實(shí)現(xiàn)NetBIOS命令傳輸提供了載體,正因如此,早期的黑客入侵教材里“關(guān)于139端口的遠(yuǎn)程入侵”才能實(shí)現(xiàn),因?yàn)镹etBIOS協(xié)議被TCP封裝起來(lái)通過(guò)Internet傳輸?shù)綄?duì)方機(jī)器里處理了,同樣對(duì)方也是用相同途徑實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)?,否則黑客們根本無(wú)法跨網(wǎng)段使用網(wǎng)絡(luò)資源映射指令“net use”。對(duì)于本地局域網(wǎng)來(lái)說(shuō),NetBT是SMB協(xié)議依賴(lài)的傳輸媒體,也是相當(dāng)重要的。
如果這兩個(gè)服務(wù)異常終止,局域網(wǎng)內(nèi)的共享可能就無(wú)法正常使用,這時(shí)候我們可以通過(guò)執(zhí)行程序“services.msc”打開(kāi)服務(wù)管理器,在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服務(wù)并點(diǎn)擊“啟動(dòng)”即可。
系統(tǒng)安全策略與共享故障
熟悉Windows系統(tǒng)的用戶(hù)或多或少都會(huì)接觸到“組策略”(gpedit.msc),這里實(shí)際上是提供了一個(gè)比手工修改注冊(cè)表更直觀的操作方法來(lái)設(shè)置系統(tǒng)的一些功能和用戶(hù)權(quán)限,但是這里的設(shè)置失誤也會(huì)影響到局域網(wǎng)共享資源的使用。
由于IPC本身就是用于身份驗(yàn)證的,因此它對(duì)計(jì)算機(jī)賬戶(hù)的配置特別敏感,而組策略里偏偏就有很多方面的設(shè)置是針對(duì)計(jì)算機(jī)賬戶(hù)的,其中影響最大的要數(shù)“計(jì)算機(jī)配置 – Windows配置 – 安全設(shè)置 – 本地策略 – 用戶(hù)權(quán)利指派”里的“拒絕從網(wǎng)絡(luò)訪(fǎng)問(wèn)這臺(tái)計(jì)算機(jī)”,在Windows 2000系統(tǒng)里默認(rèn)是不做任何限制的,可是自從XP出現(xiàn)后,這個(gè)部分就默認(rèn)多了兩個(gè)帳戶(hù),一個(gè)是用于遠(yuǎn)程協(xié)助(也就是被簡(jiǎn)化過(guò)的終端服務(wù))身份登錄的3389用戶(hù)名,另一個(gè)則是我們局域網(wǎng)共享的基本成員guest!
許多使用XP系統(tǒng)的用戶(hù)無(wú)法正常開(kāi)啟共享資源的訪(fǎng)問(wèn)權(quán)限,正是這個(gè)項(xiàng)目的限制,解決方法也很容易,只要從列表里移除“Guest”帳戶(hù)就可以了。
除了與帳戶(hù)相關(guān)的策略,這里還有幾個(gè)與NetBIOS和IPC相關(guān)的組策略設(shè)置,它們是位于“計(jì)算機(jī)配置 – Windows配置 – 安全設(shè)置 – 本地策略 – 安全選項(xiàng)”里的“對(duì)匿名連接的額外限制”(默認(rèn)為“無(wú)”),對(duì)于XP以上的系統(tǒng),這里還有“不允許SAM賬戶(hù)和共享的匿名枚舉”(默認(rèn)為“已停用”)、“本地賬戶(hù)的共享和安全模式”(默認(rèn)為“僅來(lái)賓”),其中“對(duì)匿名連接的額外限制”的設(shè)置是可以直接扼殺共享功能的,當(dāng)它被設(shè)置為“不允許枚舉”時(shí),其他計(jì)算機(jī)就無(wú)法獲取共享資源列表,如果它被設(shè)置為“沒(méi)有顯式匿名權(quán)限就無(wú)法訪(fǎng)問(wèn)”的話(huà),這臺(tái)計(jì)算機(jī)就與共享功能徹底告別了,所以有時(shí)候?qū)嵲谡也怀龉收?,不妨檢查一下該項(xiàng)目。
權(quán)限與共享的沖突
如今的局域網(wǎng)普遍建立在Windows 2000以上的系統(tǒng)架構(gòu)上運(yùn)行,而且IPC的作用本來(lái)就是為了提供身份驗(yàn)證,因而共享始終離不開(kāi)權(quán)限的影子,何況如果系統(tǒng)不會(huì)把文件共享的訪(fǎng)問(wèn)身份設(shè)置為最小權(quán)限的來(lái)賓帳戶(hù)的話(huà),別有用心的訪(fǎng)問(wèn)者就能輕易奪取管理員級(jí)別了。但是也正因?yàn)檫@樣,一些時(shí)候權(quán)限反而會(huì)成為阻撓共享順利進(jìn)行的罪魁禍?zhǔn)住?/p>
QUOTE
知識(shí)回顧:權(quán)限的由來(lái)
對(duì)計(jì)算機(jī)來(lái)說(shuō),系統(tǒng)執(zhí)行的代碼可能會(huì)對(duì)它造成危害,因此處理器產(chǎn)生了Ring的概念,把“裸露在外”的一部分用于人機(jī)交互的操作界面限制起來(lái),避免它一時(shí)頭腦發(fā)熱發(fā)出有害指令;而對(duì)于操作界面部分而言,用戶(hù)的每一步操作仍然有可能傷害到它自己和底層系統(tǒng)——盡管它自身已經(jīng)被禁止執(zhí)行許多有害代碼,但是一些不能禁止的功能卻依然在對(duì)這層安全體系作出威脅,例如格式化操作、刪除修改文件等,這些操作在計(jì)算機(jī)看來(lái),只是“不嚴(yán)重”的磁盤(pán)文件處理功能,然而它忽略了一點(diǎn),操作系統(tǒng)自身就是駐留在磁盤(pán)介質(zhì)上的文件!因此,為了保護(hù)自己,操作系統(tǒng)需要在Ring 3籠子限制的操作界面基礎(chǔ)上,再產(chǎn)生一個(gè)專(zhuān)門(mén)用來(lái)限制用戶(hù)的柵欄,這就是現(xiàn)在我們要討論的權(quán)限,它是為限制用戶(hù)而存在的,而且限制對(duì)每個(gè)用戶(hù)并不是一樣的。
細(xì)心的用戶(hù)如果點(diǎn)擊了共享資源屬性里的“權(quán)限”界面,可能會(huì)發(fā)現(xiàn)系統(tǒng)已經(jīng)自動(dòng)給這里添加了“Everyone”權(quán)限,這是個(gè)特殊權(quán)限,它的存在是為了讓用戶(hù)能訪(fǎng)問(wèn)被標(biāo)記為“公有”的文件,這也是一些程序正常運(yùn)行需要的訪(fǎng)問(wèn)權(quán)限,任何人都能正常訪(fǎng)問(wèn)被賦予“Everyone”權(quán)限的文件,包括來(lái)賓組成員。
但是有時(shí)候這個(gè)理論會(huì)因某種原因而產(chǎn)生混亂,進(jìn)而導(dǎo)致來(lái)賓組成員喪失了訪(fǎng)問(wèn)權(quán)限,這時(shí)候,用戶(hù)只能手工為它添加一個(gè)“guest”的訪(fǎng)問(wèn)權(quán)限了。在一些系統(tǒng)上,甚至要添加“Users”或“Administrators”權(quán)限才能實(shí)現(xiàn)文件共享,但是對(duì)于這種權(quán)限指派已經(jīng)嚴(yán)重混亂的系統(tǒng),我建議還是重新安裝一個(gè)算了。
對(duì)于Windows XP系統(tǒng),它默認(rèn)是僅僅給共享顯示一個(gè)簡(jiǎn)單的界面而已,如果你要自定義更多東西,就必須進(jìn)入“控制面板”的“文件夾選項(xiàng)”里,取消“使用簡(jiǎn)單文件共享”的勾,而且這里還涉及到NTFS分區(qū)“安全”頁(yè)設(shè)置的顯示。
隨著Windows XP的逐步推進(jìn)以及安全概念的推廣,越來(lái)越多用戶(hù)開(kāi)始使用NTFS格式作為自己的硬盤(pán)分區(qū),這樣就在IPC的用戶(hù)身份驗(yàn)證模式上又增加了一種權(quán)限限制:NTFS權(quán)限。
QUOTE
知識(shí)回顧:什么是NTFS
NTFS(New Technology File System)是一個(gè)特別為網(wǎng)絡(luò)和磁盤(pán)配額、文件加密等管理安全特性設(shè)計(jì)的磁盤(pán)格式,只有使用NT技術(shù)的系統(tǒng)對(duì)它直接提供支持,也就是說(shuō),如果系統(tǒng)崩潰了,用戶(hù)將無(wú)法使用外面流行的普通光盤(pán)啟動(dòng)工具修復(fù)系統(tǒng),因此,是使用傳統(tǒng)的FAT32還是NTFS,一直是個(gè)倍受爭(zhēng)議的話(huà)題,但如果用戶(hù)要使用完全的系統(tǒng)權(quán)限功能,或者要安裝作為服務(wù)器使用,建議最好還是使用NTFS分區(qū)格式。
與FAT32分區(qū)相比,NTFS分區(qū)多了一個(gè)“安全”特性,在里面,用戶(hù)可以進(jìn)一步設(shè)置相關(guān)的文件訪(fǎng)問(wèn)權(quán)限,而且前面提到的相關(guān)用戶(hù)組指派的文件權(quán)限也只有在NTFS格式分區(qū)上才能體現(xiàn)出來(lái)。
一些剛接觸NTFS分區(qū)的用戶(hù)經(jīng)常會(huì)發(fā)現(xiàn),自己機(jī)器的共享和來(lái)賓帳戶(hù)都開(kāi)了,但是別人無(wú)論怎么訪(fǎng)問(wèn)都提示“權(quán)限不足”,即使給共享權(quán)限里添加了來(lái)賓帳戶(hù)甚至管理員帳戶(hù)也無(wú)效,這是為什么?歸根究底還是因?yàn)樵贜TFS這部分被攔截了,用戶(hù)必須理清一個(gè)概念,那就是如果你對(duì)某個(gè)共享目錄的訪(fǎng)問(wèn)權(quán)限做了什么設(shè)置,例如添加刪除訪(fǎng)問(wèn)成員,其相應(yīng)的NTFS權(quán)限成員也要做出相應(yīng)的修改,即共享權(quán)限成員和NTFS權(quán)限成員必須一致或者為“Everyone”成員,在XP/2003系統(tǒng)里出于安全因素,文件夾時(shí)常會(huì)缺少Everyone權(quán)限,因此,即使你的共享權(quán)限里設(shè)置了Everyone或Guest,它仍然會(huì)被NTFS權(quán)限因素阻止訪(fǎng)問(wèn);如果NTFS權(quán)限成員里有共享權(quán)限成員的存在,那么訪(fǎng)問(wèn)的權(quán)限就在共享權(quán)限里匹配,例如一個(gè)目錄的共享權(quán)限里打開(kāi)了Everyone只讀訪(fǎng)問(wèn)權(quán)限,那么即使在NTFS權(quán)限里設(shè)置了Everyone的完全控制權(quán)限,通過(guò)共享途徑訪(fǎng)問(wèn)的用戶(hù)依然只有“只讀”的權(quán)限,但是如果在NTFS權(quán)限成員或共享權(quán)限成員里缺少Everyone的話(huà),這個(gè)目錄就無(wú)法被訪(fǎng)問(wèn)了。因此要獲得正常的訪(fǎng)問(wèn)權(quán)限,除了做好共享目錄的權(quán)限設(shè)置工作以外,還在共享目錄上單擊右鍵---屬性----安全,在里面添加Guest和Everyone權(quán)限并設(shè)置相應(yīng)的訪(fǎng)問(wèn)規(guī)則(完全控制、可修改、可讀取等),如果沒(méi)有其他故障因素,你就會(huì)發(fā)現(xiàn)共享正常開(kāi)啟訪(fǎng)問(wèn)了。
防火墻與共享的矛盾
現(xiàn)在基本上已經(jīng)沒(méi)有一臺(tái)計(jì)算機(jī)是不曾安裝網(wǎng)絡(luò)防火墻和病毒防火墻的了,可是用戶(hù)在眾多的墻里享受安全特性的時(shí)候,偶爾也會(huì)發(fā)現(xiàn)局域網(wǎng)共享莫名其妙的失敗了,如果用戶(hù)留意到防火墻正在閃爍的報(bào)警狀態(tài),也許會(huì)發(fā)現(xiàn)日志上記錄著“計(jì)算機(jī)x.x.x.x 試圖訪(fǎng)問(wèn)本機(jī)139 – NetBIOS端口,該操作已被攔截”,這是為什么?因?yàn)榉阑饓Π袾etBIOS的通訊給攔截掉了,別忘記NetBIOS可是局域網(wǎng)通訊的基礎(chǔ)。防火墻此舉是為了阻止前面提到的利用NetBT進(jìn)行的“139入侵”模式攻擊,雖然防火墻規(guī)則里可能寫(xiě)著“允許局域網(wǎng)資源共享”,但是可能這條規(guī)則沒(méi)被選中,或者防火墻沒(méi)能認(rèn)出這是一個(gè)局域網(wǎng)。
知道了緣由,解決起來(lái)也就容易多了,對(duì)于有原配規(guī)則設(shè)置的防火墻,只要勾上“允許局域網(wǎng)資源共享”,就能讓NetBIOS協(xié)議正常通訊了,如果沒(méi)有,就自己建立一個(gè)規(guī)則:協(xié)議方向?yàn)?ldquo;入”,協(xié)議選擇“TCP”,端口范圍134—139,標(biāo)志位“SYN”,滿(mǎn)足時(shí)的規(guī)則為“通行”即可。一些XP系統(tǒng)內(nèi)置的Windows防火墻ICF往往會(huì)掐了自家共享的脖子,如果是這樣,就把它關(guān)掉,因?yàn)镮CF始終比不過(guò)專(zhuān)門(mén)的防火墻,更別指望靠它抵擋一切入侵了。
特殊的共享故障
在一小部分機(jī)器里,網(wǎng)絡(luò)共享是艱難的,它們?cè)趺醋鲆部床坏綄?duì)方的計(jì)算機(jī)和資源列表,但是使用一些局域網(wǎng)管理工具如LANExplorer、LANetAdmin等卻能看到一切,對(duì)于這種計(jì)算機(jī),只能通過(guò)直接輸入資源名稱(chēng)或把對(duì)方共享資源通過(guò)net use命令給映射過(guò)來(lái)作為虛擬盤(pán)符才能工作,對(duì)于這種機(jī)器,它實(shí)際上并沒(méi)有故障,只是對(duì)方通過(guò)某種手段阻止了計(jì)算機(jī)向?yàn)g覽主控服務(wù)器通報(bào)自己的共享資源,讓整個(gè)局域網(wǎng)里的瀏覽列表缺少對(duì)著臺(tái)計(jì)算機(jī)的描述,也就無(wú)法在網(wǎng)絡(luò)鄰居里發(fā)現(xiàn)它了。
另一種情況是大家都能看到網(wǎng)絡(luò)鄰居里的計(jì)算機(jī),但某臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)鄰居里卻是空的,而且它也無(wú)法通過(guò)輸入U(xiǎn)NC地址(即前面提到的共享資源,它是用“\計(jì)算機(jī)資源”的格式表達(dá)的)來(lái)訪(fǎng)問(wèn)到對(duì)方計(jì)算機(jī),用戶(hù)會(huì)收到一個(gè)錯(cuò)誤提示“找不到網(wǎng)絡(luò)路徑”,這種就是真正的故障了,一般是因?yàn)橛?jì)算機(jī)沒(méi)有正常獲得瀏覽列表所導(dǎo)致,某種原因讓它無(wú)法獲得瀏覽主控服務(wù)器返回的數(shù)據(jù),我們可以先嘗試使用“nbtstat -R”清空本機(jī)的瀏覽列表緩存試試看,或者運(yùn)行“net stop browser && net stop LmHosts && net stop Server && net start Server && net start LmHosts && net start browser”命令集來(lái)重新啟動(dòng)幾個(gè)與文件共享相關(guān)的服務(wù),不過(guò)建議已經(jīng)成為瀏覽主控服務(wù)器身份的計(jì)算機(jī)不要輕易執(zhí)行這個(gè)命令,因?yàn)樗赡軙?huì)讓你喪失在該工作組里的主控身份,因?yàn)楫?dāng)一個(gè)網(wǎng)絡(luò)里的瀏覽主控服務(wù)器停止運(yùn)行時(shí),同一工作組里的某臺(tái)計(jì)算機(jī)會(huì)變?yōu)闉g覽主控服務(wù)器,這個(gè)過(guò)程被稱(chēng)為“瀏覽主控服務(wù)器重選”,目的是為了保持工作組共享資源的正常訪(fǎng)問(wèn),但是如果不幸這個(gè)瀏覽列表被安排在一臺(tái)故障機(jī)器上,整個(gè)工作組可能就無(wú)法正常進(jìn)行共享訪(fǎng)問(wèn)了。如果經(jīng)歷這些步驟還是無(wú)法查看網(wǎng)絡(luò)鄰居,可以試試看修改“TCP/IP協(xié)議屬性-高級(jí)-WINS”里的“啟用TCP/IP上的NetBIOS”,最后可以嘗試刪除“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”和“Microsoft 網(wǎng)絡(luò)客戶(hù)端”再重新添加一次。
四. 共享與安全
也許,只要是有開(kāi)放互連的地方,就會(huì)有無(wú)法逃脫安全問(wèn)題的難堪,共享更是不例外,許多用戶(hù)根本不知道,默認(rèn)情況下系統(tǒng)就已經(jīng)為你開(kāi)了一個(gè)龐大的后門(mén)供人來(lái)品嘗,而這個(gè)后門(mén)的官方名稱(chēng)就是“默認(rèn)共享”——系統(tǒng)會(huì)自動(dòng)為用戶(hù)開(kāi)放以每個(gè)盤(pán)符進(jìn)行命名的隱藏共享“盤(pán)符$”,雖然網(wǎng)絡(luò)鄰居里看不出來(lái),但是有經(jīng)驗(yàn)的用戶(hù)都知道那是什么一回事了,只需使用“\IP盤(pán)符$”的格式便完成了資源的訪(fǎng)問(wèn)操作。而另一個(gè)被稱(chēng)為“默認(rèn)管理共享”(ADMIN$)的共享,更是提供了一系列強(qiáng)大的網(wǎng)絡(luò)指令,甚至包括關(guān)機(jī)命令。你也許會(huì)說(shuō),這不正符合微軟的構(gòu)思“遠(yuǎn)程管理”嗎?話(huà)雖如此,但是對(duì)于一個(gè)只有來(lái)賓帳戶(hù)身份標(biāo)識(shí)的共享來(lái)說(shuō),它能判斷出誰(shuí)是主人嗎?
因此,稍有經(jīng)驗(yàn)的用戶(hù)對(duì)這兩個(gè)共享都是深?lèi)和唇^的,幸好系統(tǒng)提供了永久關(guān)閉它的方法:運(yùn)行regedit開(kāi)啟注冊(cè)表編輯器,找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”分支,添加名為“AutoShareServer”和“AutoSharewks”的DWORD類(lèi)型值,均設(shè)為0,重啟計(jì)算機(jī)就會(huì)發(fā)現(xiàn)僅僅剩下一個(gè)維持共享功能的IPC$了。
除了這里,共享還為我們帶來(lái)了“計(jì)劃任務(wù)”的潛在危害,即通過(guò)IPC$,入侵者可以設(shè)定機(jī)器在一個(gè)固定的時(shí)間里執(zhí)行某種操作,這實(shí)際上是通過(guò)“計(jì)劃任務(wù)”實(shí)現(xiàn)的,而“計(jì)劃任務(wù)”的實(shí)體為“Task Scheduler”服務(wù)項(xiàng),趕快進(jìn)services.msc里禁止掉它。
五. 結(jié)語(yǔ)
正如麻雀“雖小”的諺語(yǔ)一樣,即使只是小小的局域網(wǎng),小小的共享操作,其中涉及到的東西,也沒(méi)有絕對(duì)簡(jiǎn)單的,我們要用好科技帶來(lái)的一切,就必須掌握它的根本,成為計(jì)算機(jī)的主人。局域網(wǎng)技術(shù)仍然在不停發(fā)展,或許以后的文件共享概念又會(huì)再次升級(jí),至于它是否能越來(lái)越平民化,就讓我們拭目以待吧。