了解系统权限认识局域网共享与安全

了解系统权限认识局域网共享与安全,标签：电脑网络知识,网络基础知识,http://www.5ijcw.com

　　说起Windows的局域网共享时，提到了IPC（Internet Process Connection），IPC是NT以上的系统为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用，微软把它用于局域网功能的实现，如果它被关闭，计算机就会出现“无法访问网络邻居”的故障。

　　在Windows NT以后的系统里，IPC是依赖于Server服务运行的，一些习惯了单机环境的用户可能会关闭这个服务，这样的后果就是系统将无法提供与局域网有关的操作，用户无法查看别人的计算机，也无法为自己发布任何共享。

　　要确认IPC和Server服务是否正常，可以在命令提示符里输入命令net share，如果Server服务未开启，系统会提示“没有启动 Server 服务。是否可以启动? (Y/N) [Y]:”，回车即可以启动Server服务。如果Server服务已开启，系统会列出当前的所有共享资源列表，其中至少要有名为“IPC$”的共享，否则用户依然无法正常使用共享资源。

　　除了Server服务以外，还有两个服务会对共享造成影响，分别是“Computer Browser”和“TCP/IP NetBIOS Helper Service”，前者用于保存和交换局域网内计算机的NetBIOS名称和共享资源列表，当一个程序需要访问另一台计算机的共享资源时，它会从这个列表里查询目标计算机，一旦该服务被禁止，IPC就认定当前没有可供访问的共享资源，用户自然就没法访问其他计算机的共享资源了；后者主要用于在TCP/IP上传输的NetBIOS协议（NetBT）和NetBIOS名称解析工作，NetBT协议为跨网段实现NetBIOS命令传输提供了载体，正因如此，早期的黑客入侵教材里“关于139端口的远程入侵”才能实现，因为NetBIOS协议被TCP封装起来通过Internet传输到对方机器里处理了，同样对方也是用相同途径实现数据传输的，否则黑客们根本无法跨网段使用网络资源映射指令“net use”。对于本地局域网来说，NetBT是SMB协议依赖的传输媒体，也是相当重要的。

　　如果这两个服务异常终止，局域网内的共享可能就无法正常使用，这时候我们可以通过执行程序“services.msc”打开服务管理器，在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服务并点击“启动”即可。

　　熟悉Windows系统的用户或多或少都会接触到“组策略”（gpedit.msc），这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限，但是这里的设置失误也会影响到局域网共享资源的使用。

　　由于IPC本身就是用于身份验证的，因此它对计算机账户的配置特别敏感，而组策略里偏偏就有很多方面的设置是针对计算机账户的，其中影响最大的要数“计算机配置 – Windows配置 – 安全设置 – 本地策略 – 用户权利指派”里的“拒绝从网络访问这台计算机”，在Windows 2000系统里默认是不做任何限制的，可是自从XP出现后，这个部分就默认多了两个帐户，一个是用于远程协助（也就是被简化过的终端服务）身份登录的3389用户名，另一个则是我们局域网共享的基本成员guest！

　　许多使用XP系统的用户无法正常开启共享资源的访问权限，正是这个项目的限制，解决方法也很容易，只要从列表里移除“Guest”帐户就可以了。

　　除了与帐户相关的策略，这里还有几个与NetBIOS和IPC相关的组策略设置，它们是位于“计算机配置 – Windows配置 – 安全设置 – 本地策略 – 安全选项”里的“对匿名连接的额外限制”（默认为“无”），对于XP以上的系统，这里还有“不允许SAM账户和共享的匿名枚举”（默认为“已停用”）、“本地账户的共享和安全模式”（默认为“仅来宾”），其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的，当它被设置为“不允许枚举”时，其他计算机就无法获取共享资源列表，如果它被设置为“没有显式匿名权限就无法访问”的话，这台计算机就与共享功能彻底告别了，所以有时候实在找不出故障，不妨检查一下该项目。

[1] [2]  下一页

上一篇：无忧登陆 在线商城登陆从此不麻烦