網路區域網共享與安全
現在我們用的網際網路的時間越來越多,需要掌握的網路技能也很多,那麼你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。
知識點一:共享與安全的知識
說起Windows的區域網共享時,提到了IPC***Internet Process Connection***,IPC是NT以上的系統為了讓程序間通訊而開放的命名管道,可以通過驗證使用者名稱和密碼獲得相應的許可權,在遠端管理計算機和檢視計算機的共享資源時使用,微軟把它用於區域網功能的實現,如果它被關閉,計算機就會出現“無法訪問網路鄰居”的故障。
在Windows NT以後的系統裡,IPC是依賴於Server服務執行的,一些習慣了單機環境的使用者可能會關閉這個服務,這樣的後果就是系統將無法提供與區域網有關的操作,使用者無法檢視別人的計算機,也無法為自己釋出任何共享。
要確認IPC和Server服務是否正常,可以在命令提示符裡輸入命令net share,如果Server服務未開啟,系統會提示“沒有啟動 Server 服務。是否可以啟動? ***Y/N*** [Y]:”,回車即可以啟動Server服務。如果Server服務已開啟,系統會列出當前的所有共享資源列表,其中至少要有名為“IPC$”的共享,否則使用者依然無法正常使用共享資源。
除了Server服務以外,還有兩個服務會對共享造成影響,分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”,前者用於儲存和交換區域網內計算機的NetBIOS名稱和共享資源列表,當一個程式需要訪問另一臺計算機的共享資源時,它會從這個列表裡查詢目標計算機,一旦該服務被禁止,IPC就認定當前沒有可供訪問的共享資源,使用者自然就沒法訪問其他計算機的共享資源了;後者主要用於在TCP/IP 上傳輸的NetBIOS協議***NetBT***和NetBIOS名稱解析工作,NetBT協議為跨網段實現NetBIOS命令傳輸提供了載體,正因如此,早期的黑客入侵教材裡“關於139埠的遠端入侵”才能實現,因為NetBIOS協議被TCP封裝起來通過Internet傳輸到對方機器裡處理了,同樣對方也是用相同途徑實現資料傳輸的,否則黑客們根本無法跨網段使用網路資源對映指令“net use”。對於本地區域網來說,NetBT是SMB協議依賴的傳輸媒體,也是相當重要的。
如果這兩個服務異常終止,區域網內的共享可能就無法正常使用,這時候我們可以通過執行程式“services.msc”開啟服務管理器,在裡面查詢 “Computer Browser”和“TCP/IP NetBIOS Helper Service”服務並點選“啟動”即可。
熟悉Windows系統的使用者或多或少都會接觸到“組策略”***gpedit.msc***,這裡實際上是提供了一個比手工修改登錄檔更直觀的操作方法來設定系統的一些功能和使用者許可權,但是這裡的設定失誤也會影響到區域網共享資源的使用。
由於IPC本身就是用於身份驗證的,因此它對計算機賬戶的配置特別敏感,而組策略裡偏偏就有很多方面的設定是針對計算機賬戶的,其中影響最大的要數“計算機配置 – Windows配置 – 安全設定 – 本地策略 – 使用者權利指派”裡的“拒絕從網路訪問這臺計算機”,在Windows 2000系統裡預設是不做任何限制的,可是自從XP出現後,這個部分就預設多了兩個帳戶,一個是用於遠端協助***也就是被簡化過的終端服務***身份登入的 3389使用者名稱,另一個則是我們區域網共享的基本成員guest!
許多使用XP系統的使用者無法正常開啟共享資源的訪問許可權,正是這個專案的限制,解決方法也很容易,只要從列表裡移除“Guest”帳戶就可以了。
除了與帳戶相關的策略,這裡還有幾個與NetBIOS和IPC相關的組策略設定,它們是位於“計算機配置 – Windows配置 – 安全設定 – 本地策略 – 安全選項”裡的“對匿名連線的額外限制”***預設為“無”***,對於XP以上的系統,這裡還有“不允許SAM賬戶和共享的匿名列舉”***預設為“已停用”***、 “本地賬戶的共享和安全模式”***預設為“僅來賓”***,其中“對匿名連線的額外限制”的設定是可以直接扼殺共享功能的,當它被設定為“不允許列舉”時,其他計算機就無法獲取共享資源列表,如果它被設定為“沒有顯式匿名許可權就無法訪問”的話,這臺計算機就與共享功能徹底告別了,所以有時候實在找不出故障,不妨檢查一下該專案。
一些剛接觸NTFS分割槽的使用者經常會發現,自己機器的共享和來賓帳戶都開了,但是別人無論怎麼訪問都提示“許可權不足”,即使給共享許可權裡添加了來賓帳戶甚至管理員帳戶也無效,這是為什麼?歸根究底還是因為在NTFS這部分被攔截了,使用者必須理清一個概念,那就是如果你對某個共享目錄的訪問許可權做了什麼設定,例如新增刪除訪問成員,其相應的NTFS許可權成員也要做出相應的修改,即共享許可權成員和NTFS許可權成員必須一致或者為“Everyone”成員,在 XP/2003系統裡出於安全因素,資料夾時常會缺少Everyone許可權,因此,即使你的共享許可權裡設定了 Everyone或Guest,它仍然會被NTFS許可權因素阻止訪問;如果NTFS許可權成員裡有共享許可權成員的存在,那麼訪問的許可權就在共享許可權裡匹配,例如一個目錄的共享許可權裡打開了Everyone只讀訪問許可權,那麼即使在NTFS許可權裡設定了Everyone的完全控制權限,通過共享途徑訪問的使用者依然只有“只讀”的許可權,但是如果在NTFS許可權成員或共享許可權成員裡缺少Everyone的話,這個目錄就無法被訪問了。因此要獲得正常的訪問許可權,除了做好共享目錄的許可權設定工作以外,還在共享目錄上單擊右鍵---屬性----安全,在裡面新增Guest和Everyone許可權並設定相應的訪問規則***完全控制、可修改、可讀取等***,如果沒有其他故障因素,你就會發現共享正常開啟訪問了。
知識點二:網路鄰居共享的方法
***1*** 雙方計算機開啟,且設定了網路共享資源;
***2*** 雙方的計算機添加了 "Microsoft 網路檔案和列印共享" 服務;
***3*** 雙方都正確設定了網內IP地址,且必須在同一個網段中;
***4*** 雙方的計算機中都關閉了防火牆,或者防火牆策略中沒有阻止網路上的芳鄰訪問的策略。
如果您的網路上的芳鄰有問題,請參看以下步驟:
1、網線。雙機互連不使用HUB或交換機,用交叉線連線兩機;如果使用HUB或者交換機,均用直連線連線至HUB或交換機,保證交換機、網絡卡狀態燈正常。
2、IP協議。WIN98及以後的機器在安裝時會預設安裝TCP/IP協議,WIN95需要另外安裝。在網路上的芳鄰->屬性 ***WIN9X/Me***或者網路上的芳鄰->屬性->本地連線->屬性***WIN2K/XP***裡可以檢視是否安裝了TCP/IP協議。
3、IP地址。在TCP/IP屬性裡設定IP地址、子網掩碼和閘道器,如果有需要可以設定DNS和WINS伺服器地址。IP地址推薦設定:192.168.X.X,子網掩碼:255.255.255.0。如果你的區域網中有DHCP伺服器,選擇自動獲取地址即可。
驗證方法:在DOS提示符下使用ping x.x.x.x***對方IP地址***,如返回如下資訊,說明IP設定成功:
Reply from x.x.x.x***對方IP地址***:bytes=32 time<1ms TTL=128
4、NetBIOS over TCP/IP。網路上的芳鄰的瀏覽和通訊要使用NetBIOS協議,該協議是無法被路由器轉發的,因此WIN2K及以後的作業系統均提供將NetBIOS協議 封裝在TCP/IP中的功能。在Win9X/Me系統中,開啟網路上的芳鄰->屬性可以參看是否安裝了NetBIOS協議,在Win2K/XP中,開啟 TCP/IP屬性->高階->WINS->NetBIOS設定,選擇“啟用TCP/IP上的NetBIOS”。
驗證NetBIOS名稱解析:使用ping XXXX***對方機器名***,如果返回如1.3中的資訊,說明NetBIOS協議解析正常。
5、HOST檔案。如果在4中無法正確解析機器名,可以修改host檔案,在WINDOWS目錄中搜索HOST關鍵字,找到後,使用記事本開啟host***有的系統為host.sam***,在末尾加入如下內容:
x.x.x.x***對方的IP地址***使用Tab鍵跳到下一製表列XXXX***對方的機器名***存檔退出,注意,如果原檔案帶有.sam副檔名,要去掉副檔名,才能生效。使用與4中同樣的方法驗證。
6、.啟用列印與檔案共享。在網路上的芳鄰和本地連線屬性裡可以看到是否安裝了印表機與檔案共享。
驗證:如果在網路上的芳鄰中看不到自己的機器,說明你沒有安裝印表機與檔案共享。
7、啟用GUEST使用者:WIN2K/XP在工作組模式下要使用Guest使用者來允許網路訪問,因此要啟用Guest使用者。開啟控制 面板->使用者帳戶或者在管理工具->計算機管理->本地使用者和組中開啟Guest帳戶,如果使用域管理模式,可以忽略這一步。
8、啟用計算機瀏覽服務。WIN2K/XP要確保計算機瀏覽服務正常啟動。開啟計算機管理->服務和應用程式->服務,確保“Computer Browser”沒有被停止或禁用。
9、防火牆:確保WIN XP自帶的防火牆沒有開啟,開啟本地連線屬性->高階,關掉Internet連線防火牆。如果使用了第 三方的防火牆產品,參考其使用手冊,確保防火牆沒有禁止以下埠的通訊:UDP-137、UDP-138、TCP-139、TCP-445***僅WIN2K 及以後的作業系統***。
看過文章“
1.網路安全知識
2.企業網路安全解決方案
3.資訊網路安全
4.網路安全縱深防禦
5.計算機網路安全
6.關於計算機網路安全學習心得有哪些
7.關於網路安全的心得推薦
8.關於淺談網路安全論文有哪些
9.關於網路安全管理
10.關於網路安全發展趨勢的介紹