简单设置,让网络共享变得更加安全

1、简单设置 ,让网络共享变得更加安全 我们知道，局域网的优势在于资源的共享，不同的网 络主机可以设置不同的共享文件夹，便于其他的主机进行访 问。但是，在设置和使用网络共享时，往往存在一些潜在的 安全问题。作为网络管理人员，必须细致人微地观察和了解 与网络共享相关的安全问题，并及时采取措施将潜在的安全 隐患消除，这样才能做到既让用户享用到网络带来的便利性， 又最大限度地保证了局域网的安全。这里就列举一些相关的 安全问题，希望对您有所帮助和启发。 1.主动断开网络连接，避免安全风险 在一般情况下，当用户访问服务器中的共享资源时，必 须进行身份验证，当服务器检测到输入的账户名和密码符合 要求（即服务器

2、上存在该账户名和密码）后，才会在客户机 和服务器之间建立一个共享链接，之后用户才可以顺利访问 服务器中的共享资源。例如，在服务器上已经存在名为 “ShareOl”、密码为“ pass”的本地普通账户，那么当客户 端在验证窗口中输入该账户信息后，就可以在客户端和服务 器端建立一个共享连接。 在客户端的CMD窗口中执行“ net use”命令，可以查 看存在的共享连接。当共享连接建立完成后，客户实际上会 以在创建共享连接时所使用的账户身份访问共享资源，在默 认情况下，共享连接会保持 15 分钟可用状态，一旦超过该 时间，或者执行重启操作， 共享连接就会断开， 但在此之前， 共享连接会一直保持可用状

3、态。此时，如果当前用户临时离 开的话，别的人在该客户机上再次访问服务器时，无需经过 任何验证，就可以直接访问服务器上的共享内容。 这样看来，共享连接虽然为用户带来了便利，同时也带 来了一定的安全风险。如前所述，对于“ShareOl ”这个本地 普通账户来说，因为其权限有限，并不会对服务器安全带来 太大的威胁。但是，如果客户端以服务器端管理员级别的账 户访问共享内容，并建立共享连接的话，一旦被别人恶意利 用，其威胁将是巨大的。因为这样做的话，共享连接是以服 务器端的管理员身份建立的，因此服务器就会将客户端用户 视作自己的管理员，客户端用户就可以毫无阻碍地进行各种 高危险性的操作。例如可以直接访问

4、服务器中的默认共享， 以及远程管理服务器中的注册表或者服务等。例如客户端可 以在 CMD 窗口中执行 “net use 192.168.0.10、c$” 命令， 来访问IP为192.168.0.10的服务器中的C盘资源，而且可以 对其进行任意读写操作。因为，在默认情况下，服务端的所 有磁盘分区都被设置成了隐藏共享项目，该隐藏共享只有管 理员级别的账户才可以访问。而该共享连接恰恰是以管理员 身份建立的。 此外，客户端还可以执行“ regedit.exe ”程序，运行注 册表管理器。点击菜单“文件”7“连接网络注册表”项， 输入服务器的 IP 地址，就可以连接其注册表中， 并完全控制 其使用权。如

5、果访问远程注册表失败，就说明服务器端的 “ Remote Registry ”服务处于关闭状态，为此，只需在客户 端执行“ servlces.msc”程序，在服务管理器中点击菜单“操 作”7“连接到另一台计算机”项，输入服务器 IP 后，就可 以完全控制服务端的服务列表， 将其中的 “ Remote Registry” 服务激活后，就可以远程控制其注册表了。所以，以管理员 身份建立的共享连接，因为具有很大的权限，对服务器的安 全威胁最大。在默认情况下，只有连接超时或者注销，重启 系统后，才会断开共享连接。所以，在以使用管理员身份访 问服务器后，要尽快在 CMD窗口中执行“ net use*/d

6、el ”命 令，来及时断开客户机和服务器之间的共享连接，提高网络 访问的安全性。 2.管控镜像账户，规避安全隐患 在实际操作时，我们都有这种体会，当在客户端和服务 器上存在名称和密码完全相同的账户时，如果客户端对服务 器进行访问，可以顺利完成，不会执行任何身份验证操作。 这是因为，在一般情况下，当客户端访问服务器中的共享资 源时，系统默认会以客户端当前账户的身份进行验证，当验 证失败后，才会弹出身份验证窗口。如果客户端当前登录的 账户恰好和服务器上对应的账户完全匹配，那么这两个账户 就被成为镜像账户，镜像账户无需身份验证。可以直接访问 服务器。 例如，在客户机上创建名为“ guanli ”的账

7、户，其密码 为“ pass”。但是服务器上却没有该账户。当客户端以“ guanli 的账户登录后， 当访问服务器时， 因为服务器上没有该账户， 所以客户端无法以该账户通过身份验证，所以会出现身份验 证对话框。在服务器端创建名为“guanli ”的账户，其密码 为“pass”。之后在客户端访问服务器，就会顺利建立共享连 接。如果之后将服务器上的“ guanli”的账户密码进行了修 改，之后在客户端再次访问服务器时，因为双方账户身份出 现了差异，所以无法直接通过验证，而弹出身份验证窗口。 镜像账户虽然带来了一些访问上的便利，不过也带来了 一定的安全风险，因为在局域网中，管理员为了便于操作， 习惯于

8、将每台服务器都设置相同的管理员账户和密码。当黑 客通过各种漏洞侵入内网后，控制了某台服务器，因为系统 中存在默认共享和镜像账户，黑客可以很容易避开身份验证 机制，直接访问并控制别的服务器。因此为了提高安全性， 最好为不同的服务器分别设置不同的账户名和密码。 另外，利用组策略，还可以设置指定的账户允许或者禁 止访问网络共享。运行“ gpedit.msc”程序，在组策略窗口左 侧打开“计算机配置”宀“ Windows设置”宀“安全设置” T“本地策略”T“用户权限分配”项，在右侧窗口中双击 “拒绝从网络访问这台计算机”项，在弹出窗口中点击“添 加用户或组”按钮，可以将对应的账户和组添加进来，这些

9、账户就无法访问本机了。例如，可以将 Administrator 账户添 加进来，这样从其他主机就无法使用该账户访问本机了。双 击“从网络访问此计算机” 项，点击“添加用户或组” 按钮， 可以将允许访问本机的账户添加进来。注意， “拒绝从网络 访问这台计算机” 策略的优先级大于 “从网络访问此计算机” 策略，如果相同的账户同时出现在这两个策略中，该用户是 无权从网络上访问本机的。3. 关闭危险的默认共享 在服务器上以管理员身份登录后，运行“ netshare ”命 令，会发现系统存在一些以“ $”为后缀的隐藏共享项目， 这些共享项目默认是系统自动设置的，目的是便于管理员进 行远程管理。例如，当管

10、理员需要将客户端的某些文件备份 到服务器中时，无需使用第三方工具，只需利用 Windows 内置的“ net.exe ”命令就可以实现。在记事本中输入以下脚 本： net use 192.168.0.9 ipc$ pass /user : adminuser net use z： 192.168.0.9 e$ backup Z: c：windowssystem32xcopy f： back*.* z：/s/y net use z： /delete net use 192.168.0.9 ipc$ /delete 编辑完成后将其保存为批处理文件，假设其名称为 “ n etbacku p . ba

11、t ”。其中第一行中的“ 192.168.0.9”为网络中 目标机的IP, “adminuser”和“ pass”为目标机上的管理员 名和密码，当然也可以是其他账户名。第二行将目标机中的 “ e: baCkup ”文件夹映射成本机的Z盘。第四行利用系 统自带的“ xcopy.exe”命令将本机“ f: backup”文件夹的 内容复制到目标机的“ e: backup ”文件夹中，当然也可以 选择其它需要备份的目录。其中的“ /s/y ”参数表示复制其 中的所有非空子目录，并直接覆盖目标文件夹中的同名文件。 最后两行命令用于切断与目标机的连接。这样当在本机执行 “netbackup.bat ”文

12、件时，即可将指定文件夹中的内容迅速 地备份到网络中其它电脑上了。在本机的数据损坏之后，可 以从目标机中轻松找回备份的数据了。当然，前提是目标机 中的IPC$t道处于正常开启状态。 利用默认共享，可以提高数据管理的灵活性。不过，这 也对网络安全带来了 _一定的威胁。为了提高安全性，很多 人都习惯于禁用默认共享。不过，对于 Windows Server 服务 器来说，建议保留默认共享，否则会导致某些服务无法正常 运行。当然，可以采取修改注册表的方法禁用默认共享。在 需要的时候重新开启即可。例如对于 Windows XP 来说，可 以在注册表编辑器中打开“ HKEY_LOCAL_MACHINE SY

13、STEM CurrentControlSet ServicesLanmanServer Parameters” 分支，在右侧窗口建立一个DWORD 类型的，名称为 “ AutoShareWks ”的键值名，将其数值设置为 0,就可以关 闭默认共享。对于 Windows Server 服务器来说，可以在其注 册表编辑器中打开同样的分支，建立 DWORD类型的名为 “ AutoShareServer ”的键值名，将其数值设置为0，即可关 闭默认共享。 4.禁用IPC$接，提高安全性 当执行了“ net s h a re ”命令后，不仅会看到上述默认共 享项目，还可以显示名为“IPC$的隐藏共享。I

14、PC$( Internet Process Connection)是共享“命名管道”的资源，它是为了 让进程间通信而开放的命名管道，通过提供可信任的用户名 和口令，连接双方可以建立安全的通道并以此通道进行加密 数据的交换，从而实现对远程计算机的访问。实际上，1卩。$连 接技术在黑客人侵活动中使用得很广泛。 ipc$W主要作用是用来连接共享连接，当客户端访问服 务器时，都必须经过身份验证，然后才可以建立共享连接。 而利用IPC$可以直接建立共享连接。这样，当客户端访问 服务器时，就可以避开身份验证操作。例如，执行“ net use 192.168.0.10IPC$tpassword/user ：administrator ” 命令，就可以直接以管理员的身份访问服务器，无需进行任 何身份验证操作。对于Windows XP SP2之前的古老系统来说， 还可以利用空密