了解系統(tǒng)權(quán)限認識局域網(wǎng)共享與安全
了解系統(tǒng)權(quán)限認識局域網(wǎng)共享與安全
說起Windows的局域網(wǎng)共享時,提到了IPC(Internet Process Connection),IPC是NT以上的系統(tǒng)為了讓進程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的權(quán)限,在遠程管理計算機和查看計算機的共享資源時使用,微軟把它用于局域網(wǎng)功能的實現(xiàn),如果它被關(guān)閉,計算機就會出現(xiàn)“無法訪問網(wǎng)絡鄰居”的故障。
在Windows NT以后的系統(tǒng)里,IPC是依賴于Server服務運行的,一些習慣了單機環(huán)境的用戶可能會關(guān)閉這個服務,這樣的后果就是系統(tǒng)將無法提供與局域網(wǎng)有關(guān)的操作,用戶無法查看別人的計算機,也無法為自己發(fā)布任何共享。
要確認IPC和Server服務是否正常,可以在命令提示符里輸入命令net share,如果Server服務未開啟,系統(tǒng)會提示“沒有啟動 Server 服務。是否可以啟動? (Y/N) [Y]:”,回車即可以啟動Server服務。如果Server服務已開啟,系統(tǒng)會列出當前的所有共享資源列表,其中至少要有名為“IPC$”的共享,否則用戶依然無法正常使用共享資源。
除了Server服務以外,還有兩個服務會對共享造成影響,分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”,前者用于保存和交換局域網(wǎng)內(nèi)計算機的NetBIOS名稱和共享資源列表,當一個程序需要訪問另一臺計算機的共享資源時,它會從這個列表里查詢目標計算機,一旦該服務被禁止,IPC就認定當前沒有可供訪問的共享資源,用戶自然就沒法訪問其他計算機的共享資源了;后者主要用于在TCP/IP 上傳輸?shù)腘etBIOS協(xié)議(NetBT)和NetBIOS名稱解析工作,NetBT協(xié)議為跨網(wǎng)段實現(xiàn)NetBIOS命令傳輸提供了載體,正因如此,早期的黑客入侵教材里“關(guān)于139端口的遠程入侵”才能實現(xiàn),因為NetBIOS協(xié)議被TCP封裝起來通過Internet傳輸?shù)綄Ψ綑C器里處理了,同樣對方也是用相同途徑實現(xiàn)數(shù)據(jù)傳輸?shù)?,否則黑客們根本無法跨網(wǎng)段使用網(wǎng)絡資源映射指令“net use”。對于本地局域網(wǎng)來說,NetBT是SMB協(xié)議依賴的傳輸媒體,也是相當重要的。
如果這兩個服務異常終止,局域網(wǎng)內(nèi)的共享可能就無法正常使用,這時候我們可以通過執(zhí)行程序“services.msc”打開服務管理器,在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服務并點擊“啟動”即可。
熟悉Windows系統(tǒng)的用戶或多或少都會接觸到“組策略”(gpedit.msc),這里實際上是提供了一個比手工修改注冊表更直觀的操作方法來設置系統(tǒng)的一些功能和用戶權(quán)限,但是這里的設置失誤也會影響到局域網(wǎng)共享資源的使用。
由于IPC本身就是用于身份驗證的,因此它對計算機賬戶的配置特別敏感,而組策略里偏偏就有很多方面的設置是針對計算機賬戶的,其中影響最大的要數(shù)“計算機配置 – Windows配置 – 安全設置 – 本地策略 – 用戶權(quán)利指派”里的“拒絕從網(wǎng)絡訪問這臺計算機”,在Windows 2000系統(tǒng)里默認是不做任何限制的,可是自從XP出現(xiàn)后,這個部分就默認多了兩個帳戶,一個是用于遠程協(xié)助(也就是被簡化過的終端服務)身份登錄的 3389用戶名,另一個則是我們局域網(wǎng)共享的基本成員guest!
許多使用XP系統(tǒng)的用戶無法正常開啟共享資源的訪問權(quán)限,正是這個項目的限制,解決方法也很容易,只要從列表里移除“Guest”帳戶就可以了。
除了與帳戶相關(guān)的策略,這里還有幾個與NetBIOS和IPC相關(guān)的組策略設置,它們是位于“計算機配置 – Windows配置 – 安全設置 – 本地策略 – 安全選項”里的“對匿名連接的額外限制”(默認為“無”),對于XP以上的系統(tǒng),這里還有“不允許SAM賬戶和共享的匿名枚舉”(默認為“已停用”)、 “本地賬戶的共享和安全模式”(默認為“僅來賓”),其中“對匿名連接的額外限制”的設置是可以直接扼殺共享功能的,當它被設置為“不允許枚舉”時,其他計算機就無法獲取共享資源列表,如果它被設置為“沒有顯式匿名權(quán)限就無法訪問”的話,這臺計算機就與共享功能徹底告別了,所以有時候?qū)嵲谡也怀龉收希环翙z查一下該項目。
一些剛接觸NTFS分區(qū)的用戶經(jīng)常會發(fā)現(xiàn),自己機器的共享和來賓帳戶都開了,但是別人無論怎么訪問都提示“權(quán)限不足”,即使給共享權(quán)限里添加了來賓帳戶甚至管理員帳戶也無效,這是為什么?歸根究底還是因為在NTFS這部分被攔截了,用戶必須理清一個概念,那就是如果你對某個共享目錄的訪問權(quán)限做了什么設置,例如添加刪除訪問成員,其相應的NTFS權(quán)限成員也要做出相應的修改,即共享權(quán)限成員和NTFS權(quán)限成員必須一致或者為“Everyone”成員,在XP/2003系統(tǒng)里出于安全因素,文件夾時常會缺少Everyone權(quán)限,因此,即使你的共享權(quán)限里設置了 Everyone或Guest,它仍然會被NTFS權(quán)限因素阻止訪問;如果NTFS權(quán)限成員里有共享權(quán)限成員的存在,那么訪問的權(quán)限就在共享權(quán)限里匹配,例如一個目錄的共享權(quán)限里打開了Everyone只讀訪問權(quán)限,那么即使在NTFS權(quán)限里設置了Everyone的完全控制權(quán)限,通過共享途徑訪問的用戶依然只有“只讀”的權(quán)限,但是如果在NTFS權(quán)限成員或共享權(quán)限成員里缺少Everyone的話,這個目錄就無法被訪問了。因此要獲得正常的訪問權(quán)限,除了做好共享目錄的權(quán)限設置工作以外,還在共享目錄上單擊右鍵---屬性----安全,在里面添加Guest和Everyone權(quán)限并設置相應的訪問規(guī)則(完全控制、可修改、可讀取等),如果沒有其他故障因素,你就會發(fā)現(xiàn)共享正常開啟訪問了