Windows权限和局域网的共享与安全
说起Windows的局域网共享时,提到了IPC(InternetProcessConnection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障。
在WindowsNT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。
要确认IPC和Server服务是否正常,可以在命令提示符里输入命令netshare,如果Server服务未开启,系统会提示“没有启动Server服务。是否可以启动?(Y/N)[Y]:”,回车即可以启动Server服务。如果Server服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源。
除了Server服务以外,还有两个服务会对共享造成影响,分别是“ComputerBrowser”和“TCP/IPNetBIOSHelperService”,前者用于保存和交换局域网内计算机的NetBIOS名称和共享资源列表,当一个程序需要访问另一台计算机的共享资源时,它会从这个列表里查询目标计算机,一旦该服务被禁止,IPC就认定当前没有可供访问的共享资源,用户自然就没法访问其他计算机的共享资源了;后者主要用于在TCP/IP上传输的NetBIOS协议(NetBT)和NetBIOS名称解析工作,NetBT协议为跨网段实现NetBIOS命令传输提供了载体,正因如此,早期的黑客入侵教材里“关于139端口的远程入侵”才能实现,因为NetBIOS协议被TCP封装起来通过Internet传输到对方机器里处理了,同样对方也是用相同途径实现数据传输的,否则黑客们根本无法跨网段使用网络资源映射指令“netuse”。对于本地局域网来说,NetBT是SMB协议依赖的传输媒体,也是相当重要的。
如果这两个服务异常终止,局域网内的共享可能就无法正常使用,这时候我们可以通过执行程序“services.msc”打开服务管理器,在里面查找“ComputerBrowser”和“TCP/IPNetBIOSHelperService”服务并点击“启动”即可。
熟悉Windows系统的用户或多或少都会接触到“组策略”(gpedit.msc),这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限,但是这里的设置失误也会影响到局域网共享资源的使用。
由于IPC本身就是用于身份验证的,因此它对计算机账户的配置特别敏感,而组策略里偏偏就有很多方面的设置是针对计算机账户的,其中影响最大的要数“计算机配置–Windows配置–安全设置–本地策略–用户权利指派”里的“拒绝从网络访问这台计算机”,在Windows2000系统里默认是不做任何限制的,可是自从XP出现后,这个部分就默认多了两个帐户,一个是用于远程协助(也就是被简化过的终端服务)身份登录的3389用户名,另一个则是我们局域网共享的基本成员guest!
许多使用XP系统的用户无法正常开启共享资源的访问权限,正是这个项目的限制,解决方法也很容易,只要从列表里移除“Guest”帐户就可以了。
除了与帐户相关的策略,这里还有几个与NetBIOS和IPC相关的组策略设置,它们是位于“计算机配置–Windows配置–安全设置–本地策略–安全选项”里的“对匿名连接的额外限制”(默认为“无”),对于XP以上的系统,这里还有“不允许SAM账户和共享的匿名枚举”(默认为“已停用”)、“本地账户的共享和安全模式”(默认为“仅来宾”),其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的,当它被设置为“不允许枚举”时,其他计算机就无法获取共享资源列表,如果它被设置为“没有显式匿名权限就无法访问”的话,这台计算机就与共享功能彻底告别了,所以有时候实在找不出故障,不妨检查一下该项目。
一些刚接触NTFS分区的用户经常会发现,自己机器的共享和来宾帐户都开了,但是别人无论怎么访问都提示“权限不足”,即使给共享权限里添加了来宾帐户甚至管理员帐户也无效,这是为什么?归根究底还是因为在NTFS这部分被拦截了,用户必须理清一个概念,那就是如果你对某个共享目录的访问权限做了什么设置,例如添加删除访问成员,其相应的NTFS权限成员也要做出相应的修改,即共享权限成员和NTFS权限成员必须一致或者为“Everyone”成员,在XP/2003系统里出于安全因素,文件夹时常会缺少Everyone权限,因此,即使你的共享权限里设置了Everyone或Guest,它仍然会被NTFS权限因素阻止访问;如果NTFS权限成员里有共享权限成员的存在,那么访问的权限就在共享权限里匹配,例如一个目录的共享权限里打开了Everyone只读访问权限,那么即使在NTFS权限里设置了Everyone的完全控制权限,通过共享途径访问的用户依然只有“只读”的权限,但是如果在NTFS权限成员或共享权限成员里缺少Everyone的话,这个目录就无法被访问了。因此要获得正常的访问权限,除了做好共享目录的权限设置工作以外,还在共享目录上单击右键—属性—-安全,在里面添加Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、可读取等),如果没有其他故障因素,你就会发现共享正常开启访问了。(IT专家网论坛)
- 1重庆OA客户
- 2成都OA客户
- 3贵阳OA软件行业资讯
- 4北京OA行业资讯
- 5深圳OA行业资讯
- 6南京OA行业资讯
- 7南宁OA行业资讯
- 8昆明OA软件行业资讯
- 9厦门OA行业资讯
- 10合肥OA软件行业资讯
- 11郑州OA行业资讯
- 12上海OA软件行业资讯
- 1RFID 电子标签与条型码的比较
- 2应对甲型H1N1流感需要原始数据
- 3沈阳泛普OA软件的项目定价模拟
- 4绿色计算悄然起航 新标准应运而生
- 5中国企业信息安全落后于全球平均水平
- 6六方面入手选择和使用UTM设备
- 7云计算来临 哪些真相无法回避?
- 8刀片服务器如何走进中小企业应用
- 9基于动态联机分析的审计信息系统
- 10尽在掌控 网络流量管理各角度解析
- 11体验全新的虚拟化数据中心价值观
- 12盘点数据保护方式看中小企业信息安全
- 13应用BI需要注意的八种错误观念
- 14敏捷开发系列-让敏捷开发落地
- 15云计算的五大进展:云操作系统是里程碑
- 16解决局域网内传输速度过慢的问题
- 17绿色存储节能策略 融会贯通的存储新概念?
- 18IT缩减支出 企业存储市场前景难料
- 19浅谈软件开发管理体会
- 20企业对协同办公需求分析
- 21Intel软件架构师:企业和用户共赢"云计算"
- 22云计算平台只是提供云服务的第一步
- 23虚拟化和云计算——也可以没关系
- 24中国互联网大事记(1986年-2004年初)(2)
- 25精益制造工具和实践的12种“武器”
- 26Google新功能:政府管控数据搜索
- 27闯过8个关口 保你的SOA计划大获成功
- 28新型虚拟化数据中心的必备技术
- 29虚拟化用于IDC机房,只是十全九美
- 30如何利用现有设施部署安全的无线网络?