網(wǎng)絡(luò)局域網(wǎng)共享與安全

　　現(xiàn)在我們用的互聯(lián)網(wǎng)的時間越來越多，需要掌握的網(wǎng)絡(luò)技能也很多，那么你知道網(wǎng)絡(luò)局域網(wǎng)共享與安全嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于網(wǎng)絡(luò)局域網(wǎng)共享與安全的相關(guān)資料，供你參考。

　　網(wǎng)絡(luò)局域網(wǎng)共享與安全知識點一：共享與安全的知識

　　說起Windows的局域網(wǎng)共享時，提到了IPC(Internet Process Connection)，IPC是NT以上的系統(tǒng)為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn)程管理計算機和查看計算機的共享資源時使用，微軟把它用于局域網(wǎng)功能的實現(xiàn)，如果它被關(guān)閉，計算機就會出現(xiàn)“無法訪問網(wǎng)絡(luò)鄰居”的故障。

　　在Windows NT以后的系統(tǒng)里，IPC是依賴于Server服務(wù)運行的，一些習(xí)慣了單機環(huán)境的用戶可能會關(guān)閉這個服務(wù)，這樣的后果就是系統(tǒng)將無法提供與局域網(wǎng)有關(guān)的操作，用戶無法查看別人的計算機，也無法為自己發(fā)布任何共享。

　　要確認(rèn)IPC和Server服務(wù)是否正常，可以在命令提示符里輸入命令net share，如果Server服務(wù)未開啟，系統(tǒng)會提示“沒有啟動 Server 服務(wù)。是否可以啟動? (Y/N) [Y]:”，回車即可以啟動Server服務(wù)。如果Server服務(wù)已開啟，系統(tǒng)會列出當(dāng)前的所有共享資源列表，其中至少要有名為“IPC$”的共享，否則用戶依然無法正常使用共享資源。

　　除了Server服務(wù)以外，還有兩個服務(wù)會對共享造成影響，分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”，前者用于保存和交換局域網(wǎng)內(nèi)計算機的NetBIOS名稱和共享資源列表，當(dāng)一個程序需要訪問另一臺計算機的共享資源時，它會從這個列表里查詢目標(biāo)計算機，一旦該服務(wù)被禁止，IPC就認(rèn)定當(dāng)前沒有可供訪問的共享資源，用戶自然就沒法訪問其他計算機的共享資源了;后者主要用于在TCP/IP 上傳輸?shù)腘etBIOS協(xié)議(NetBT)和NetBIOS名稱解析工作，NetBT協(xié)議為跨網(wǎng)段實現(xiàn)NetBIOS命令傳輸提供了載體，正因如此，早期的黑客入侵教材里“關(guān)于139端口的遠(yuǎn)程入侵”才能實現(xiàn)，因為NetBIOS協(xié)議被TCP封裝起來通過Internet傳輸?shù)綄Ψ綑C器里處理了，同樣對方也是用相同途徑實現(xiàn)數(shù)據(jù)傳輸?shù)模駝t黑客們根本無法跨網(wǎng)段使用網(wǎng)絡(luò)資源映射指令“net use”。對于本地局域網(wǎng)來說，NetBT是SMB協(xié)議依賴的傳輸媒體，也是相當(dāng)重要的。

　　如果這兩個服務(wù)異常終止，局域網(wǎng)內(nèi)的共享可能就無法正常使用，這時候我們可以通過執(zhí)行程序“services.msc”打開服務(wù)管理器，在里面查找 “Computer Browser”和“TCP/IP NetBIOS Helper Service”服務(wù)并點擊“啟動”即可。

　　熟悉Windows系統(tǒng)的用戶或多或少都會接觸到“組策略”(gpedit.msc)，這里實際上是提供了一個比手工修改注冊表更直觀的操作方法來設(shè)置系統(tǒng)的一些功能和用戶權(quán)限，但是這里的設(shè)置失誤也會影響到局域網(wǎng)共享資源的使用。

　　由于IPC本身就是用于身份驗證的，因此它對計算機賬戶的配置特別敏感，而組策略里偏偏就有很多方面的設(shè)置是針對計算機賬戶的，其中影響最大的要數(shù)“計算機配置 – Windows配置 – 安全設(shè)置 – 本地策略 – 用戶權(quán)利指派”里的“拒絕從網(wǎng)絡(luò)訪問這臺計算機”，在Windows 2000系統(tǒng)里默認(rèn)是不做任何限制的，可是自從XP出現(xiàn)后，這個部分就默認(rèn)多了兩個帳戶，一個是用于遠(yuǎn)程協(xié)助(也就是被簡化過的終端服務(wù))身份登錄的 3389用戶名，另一個則是我們局域網(wǎng)共享的基本成員guest!

　　許多使用XP系統(tǒng)的用戶無法正常開啟共享資源的訪問權(quán)限，正是這個項目的限制，解決方法也很容易，只要從列表里移除“Guest”帳戶就可以了。

　　除了與帳戶相關(guān)的策略，這里還有幾個與NetBIOS和IPC相關(guān)的組策略設(shè)置，它們是位于“計算機配置 – Windows配置 – 安全設(shè)置 – 本地策略 – 安全選項”里的“對匿名連接的額外限制”(默認(rèn)為“無”)，對于XP以上的系統(tǒng)，這里還有“不允許SAM賬戶和共享的匿名枚舉”(默認(rèn)為“已停用”)、 “本地賬戶的共享和安全模式”(默認(rèn)為“僅來賓”)，其中“對匿名連接的額外限制”的設(shè)置是可以直接扼殺共享功能的，當(dāng)它被設(shè)置為“不允許枚舉”時，其他計算機就無法獲取共享資源列表，如果它被設(shè)置為“沒有顯式匿名權(quán)限就無法訪問”的話，這臺計算機就與共享功能徹底告別了，所以有時候?qū)嵲谡也怀龉收?，不妨檢查一下該項目。

　　一些剛接觸NTFS分區(qū)的用戶經(jīng)常會發(fā)現(xiàn)，自己機器的共享和來賓帳戶都開了，但是別人無論怎么訪問都提示“權(quán)限不足”，即使給共享權(quán)限里添加了來賓帳戶甚至管理員帳戶也無效，這是為什么?歸根究底還是因為在NTFS這部分被攔截了，用戶必須理清一個概念，那就是如果你對某個共享目錄的訪問權(quán)限做了什么設(shè)置，例如添加刪除訪問成員，其相應(yīng)的NTFS權(quán)限成員也要做出相應(yīng)的修改，即共享權(quán)限成員和NTFS權(quán)限成員必須一致或者為“Everyone”成員，在 XP/2003系統(tǒng)里出于安全因素，文件夾時常會缺少Everyone權(quán)限，因此，即使你的共享權(quán)限里設(shè)置了 Everyone或Guest，它仍然會被NTFS權(quán)限因素阻止訪問;如果NTFS權(quán)限成員里有共享權(quán)限成員的存在，那么訪問的權(quán)限就在共享權(quán)限里匹配，例如一個目錄的共享權(quán)限里打開了Everyone只讀訪問權(quán)限，那么即使在NTFS權(quán)限里設(shè)置了Everyone的完全控制權(quán)限，通過共享途徑訪問的用戶依然只有“只讀”的權(quán)限，但是如果在NTFS權(quán)限成員或共享權(quán)限成員里缺少Everyone的話，這個目錄就無法被訪問了。因此要獲得正常的訪問權(quán)限，除了做好共享目錄的權(quán)限設(shè)置工作以外，還在共享目錄上單擊右鍵---屬性----安全，在里面添加Guest和Everyone權(quán)限并設(shè)置相應(yīng)的訪問規(guī)則(完全控制、可修改、可讀取等)，如果沒有其他故障因素，你就會發(fā)現(xiàn)共享正常開啟訪問了。

　　網(wǎng)絡(luò)局域網(wǎng)共享與安全知識點二：網(wǎng)絡(luò)鄰居共享的方法

　　(1) 雙方計算機打開，且設(shè)置了網(wǎng)絡(luò)共享資源;

　　(2) 雙方的計算機添加了 "Microsoft 網(wǎng)絡(luò)文件和打印共享" 服務(wù);

　　(3) 雙方都正確設(shè)置了網(wǎng)內(nèi)IP地址，且必須在同一個網(wǎng)段中;

　　(4) 雙方的計算機中都關(guān)閉了防火墻，或者防火墻策略中沒有阻止網(wǎng)上鄰居訪問的策略。

　　如果您的網(wǎng)上鄰居有問題，請參看以下步驟：

　　1、網(wǎng)線。雙機互連不使用HUB或交換機，用交叉線連接兩機;如果使用HUB或者交換機，均用直連線連接至HUB或交換機，保證交換機、網(wǎng)卡狀態(tài)燈正常。

　　2、IP協(xié)議。WIN98及以后的機器在安裝時會默認(rèn)安裝TCP/IP協(xié)議，WIN95需要另外安裝。在網(wǎng)上鄰居->屬性 (WIN9X/Me)或者網(wǎng)上鄰居->屬性->本地連接->屬性(WIN2K/XP)里可以查看是否安裝了TCP/IP協(xié)議。

　　3、IP地址。在TCP/IP屬性里設(shè)置IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，如果有需要可以設(shè)置DNS和WINS服務(wù)器地址。IP地址推薦設(shè)置：192.168.X.X，子網(wǎng)掩碼：255.255.255.0。如果你的局域網(wǎng)中有DHCP服務(wù)器，選擇自動獲取地址即可。

　　驗證方法：在DOS提示符下使用ping x.x.x.x(對方IP地址)，如返回如下信息，說明IP設(shè)置成功：

　　Reply from x.x.x.x(對方IP地址):bytes=32 time<1ms TTL=128

　　4、NetBIOS over TCP/IP。網(wǎng)上鄰居的瀏覽和通訊要使用NetBIOS協(xié)議，該協(xié)議是無法被路由器轉(zhuǎn)發(fā)的，因此WIN2K及以后的操作系統(tǒng)均提供將NetBIOS協(xié)議 封裝在TCP/IP中的功能。在Win9X/Me系統(tǒng)中，打開網(wǎng)上鄰居->屬性可以參看是否安裝了NetBIOS協(xié)議，在Win2K/XP中，打開 TCP/IP屬性->高級->WINS->NetBIOS設(shè)置，選擇“啟用TCP/IP上的NetBIOS”。

　　驗證NetBIOS名稱解析：使用ping XXXX(對方機器名)，如果返回如1.3中的信息，說明NetBIOS協(xié)議解析正常。

　　5、HOST文件。如果在4中無法正確解析機器名，可以修改host文件，在WINDOWS目錄中搜索HOST關(guān)鍵字，找到后，使用記事本打開host(有的系統(tǒng)為host.sam)，在末尾加入如下內(nèi)容：

　　x.x.x.x(對方的IP地址)使用Tab鍵跳到下一制表列XXXX(對方的機器名)存盤退出，注意，如果原文件帶有.sam擴展名，要去掉擴展名，才能生效。使用與4中同樣的方法驗證。

　　6、.啟用打印與文件共享。在網(wǎng)上鄰居和本地連接屬性里可以看到是否安裝了打印機與文件共享。

　　驗證：如果在網(wǎng)上鄰居中看不到自己的機器，說明你沒有安裝打印機與文件共享。

　　7、啟用GUEST用戶：WIN2K/XP在工作組模式下要使用Guest用戶來允許網(wǎng)絡(luò)訪問，因此要啟用Guest用戶。打開控制 面板->用戶帳戶或者在管理工具->計算機管理->本地用戶和組中打開Guest帳戶，如果使用域管理模式，可以忽略這一步。

　　8、啟用計算機瀏覽服務(wù)。WIN2K/XP要確保計算機瀏覽服務(wù)正常啟動。打開計算機管理->服務(wù)和應(yīng)用程序->服務(wù)，確保“Computer Browser”沒有被停止或禁用。

　　9、防火墻：確保WIN XP自帶的防火墻沒有開啟，打開本地連接屬性->高級，關(guān)掉Internet連接防火墻。如果使用了第 三方的防火墻產(chǎn)品，參考其使用手冊，確保防火墻沒有禁止以下端口的通訊：UDP-137、UDP-138、TCP-139、TCP-445(僅WIN2K 及以后的操作系統(tǒng))。

　　看過文章“網(wǎng)絡(luò)局域網(wǎng)共享與安全”的人還看了：

　　1.網(wǎng)絡(luò)安全知識

　　2.企業(yè)網(wǎng)絡(luò)安全解決方案

　　3.信息網(wǎng)絡(luò)安全

　　4.網(wǎng)絡(luò)安全縱深防御

　　5.計算機網(wǎng)絡(luò)安全

　　6.關(guān)于計算機網(wǎng)絡(luò)安全學(xué)習(xí)心得有哪些

　　7.關(guān)于網(wǎng)絡(luò)安全的心得推薦

　　8.關(guān)于淺談網(wǎng)絡(luò)安全論文有哪些

　　9.關(guān)于網(wǎng)絡(luò)安全管理

　　10.關(guān)于網(wǎng)絡(luò)安全發(fā)展趨勢的介紹