瞭解系統許可權認識區域網共享與安全
General 更新 2024年12月19日
說起Windows的區域網共享時,提到了IPC(Internet Process Connection),IPC是NT以上的系統為了讓程序間通訊而開放的命名管道,可以通過驗證使用者名稱和密碼獲得相應的許可權,在遠端管理計算機和檢視計算機的共享資源時使用,微軟把它用於區域網功能的實現,如果它被關閉,計算機就會出現“無法訪問網路鄰居”的故障。
在Windows NT以後的系統裡,IPC是依賴於Server服務執行的,一些習慣了單機環境的使用者可能會關閉這個服務,這樣的後果就是系統將無法提供與區域網有關的操作,使用者無法檢視別人的計算機,也無法為自己釋出任何共享。
要確認IPC和Server服務是否正常,可以在命令提示符裡輸入命令net share,如果Server服務未開啟,系統會提示“沒有啟動 Server 服務。是否可以啟動? Y/N [Y]:”,回車即可以啟動Server服務。如果Server服務已開啟,系統會列出當前的所有共享資源列表,其中至少要有名為“IPC$”的共享,否則使用者依然無法正常使用共享資源。
除了Server服務以外,還有兩個服務會對共享造成影響,分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”,前者用於儲存和交換區域網內計算機的NetBIOS名稱和共享資源列表,當一個程式需要訪問另一臺計算機的共享資源時,它會從這個列表裡查詢目標計算機,一旦該服務被禁止,IPC就認定當前沒有可供訪問的共享資源,使用者自然就沒法訪問其他計算機的共享資源了;後者主要用於在TCP/IP 上傳輸的NetBIOS協議(NetBT)和NetBIOS名稱解析工作,NetBT協議為跨網段實現NetBIOS命令傳輸提供了載體,正因如此,早期的黑客入侵教材裡“關於139埠的遠端入侵”才能實現,因為NetBIOS協議被TCP封裝起來通過Internet傳輸到對方機器裡處理了,同樣對方也是用相同途徑實現資料傳輸的,否則黑客們根本無法跨網段使用網路資源對映指令“net use”。對於本地區域網來說,NetBT是SMB協議依賴的傳輸媒體,也是相當重要的。
如果這兩個服務異常終止,區域網內的共享可能就無法正常使用,這時候我們可以通過執行程式“services.msc”開啟服務管理器,在裡面查詢“Computer Browser”和“TCP/IP NetBIOS Helper Service”服務並點選“啟動”即可。
熟悉Windows系統的使用者或多或少都會接觸到“組策略”(gpedit.msc),這裡實際上是提供了一個比手工修改登錄檔更直觀的操作方法來設定系統的一些功能和使用者許可權,但是這裡的設定失誤也會影響到區域網共享資源的使用。
由於IPC本身就是用於身份驗證的,因此它對計算機賬戶的配置特別敏感,而組策略裡偏偏就有很多方面的設定是針對計算機賬戶的,其中影響最大的要數“計算機配置 – Windows配置 – 安全設定 – 本地策略 – 使用者權利指派”裡的“拒絕從網路訪問這臺計算機”,在Windows 2000系統裡預設是不做任何限制的,可是自從XP出現後,這個部分就預設多了兩個帳戶,一個是用於遠端協助(也就是被簡化過的終端服務)身份登入的 3389使用者名稱,另一個則是我們區域網共享的基本成員guest!
許多使用XP系統的使用者無法正常開啟共享資源的訪問許可權,正是這個專案的限制,解決方法也很容易,只要從列表裡移除“Guest”帳戶就可以了。
除了與帳戶相關的策略,這裡還有幾個與NetBIOS和IPC相關的組策略設定,它們是位於“計算機配置 – Windows配置 – 安全設定 – 本地策略 – 安全選項”裡的“對匿名連線的額外限制”(預設為“無”),對於XP以上的系統,這裡還有“不允許SAM賬戶和共享的匿名列舉”(預設為“已停用”)、 “本地賬戶的共享和安全模式”(預設為“僅來賓”),其中“對匿名連線的額外限制”的設定是可以直接扼殺共享功能的,當它被設定為“不允許列舉”時,其他計算機就無法獲取共享資源列表,如果它被設定為“沒有顯式匿名許可權就無法訪問”的話,這臺計算機就與共享功能徹底告別了,所以有時候實在找不出故障,不妨檢查一下該專案。
一些剛接觸NTFS分割槽的使用者經常會發現,自己機器的共享和來賓帳戶都開了,但是別人無論怎麼訪問都提示“許可權不足”,即使給共享許可權裡添加了來賓帳戶甚至管理員帳戶也無效,這是為什麼?歸根究底還是因為在NTFS這部分被攔截了,使用者必須理清一個概念,那就是如果你對某個共享目錄的訪問許可權做了什麼設定,例如新增刪除訪問成員,其相應的NTFS許可權成員也要做出相應的修改,即共享許可權成員和NTFS許可權成員必須一致或者為“Everyone”成員,在XP/2003系統裡出於安全因素,資料夾時常會缺少Everyone許可權,因此,即使你的共享許可權裡設定了 Everyone或Guest,它仍然會被NTFS許可權因素阻止訪問;如果NTFS許可權成員裡有共享許可權成員的存在,那麼訪問的許可權就在共享許可權裡匹配,例如一個目錄的共享許可權裡打開了Everyone只讀訪問許可權,那麼即使在NTFS許可權裡設定了Everyone的完全控制權限,通過共享途徑訪問的使用者依然只有“只讀”的許可權,但是如果在NTFS許可權成員或共享許可權成員裡缺少Everyone的話,這個目錄就無法被訪問了。因此要獲得正常的訪問許可權,除了做好共享目錄的許可權設定工作以外,還在共享目錄上單擊右鍵---屬性----安全,在裡面新增Guest和Everyone許可權並設定相應的訪問規則(完全控制、可修改、可讀取等),如果沒有其他故障因素,你就會發現共享正常開啟訪問了
七種武器保障資料安全