了解Windows权限 认识局域网共享与安全

了解Windows权限 认识局域网共享与安全（通用2篇）

篇1：了解Windows权限 认识局域网共享与安全

说起Windows的局域网共享时，就提到了IPC(InternetProcessConnection)，IPC是NT以上的系统为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用，微软把它用于局域网功能的实现，如果它被关闭，计算机就会出现“无法访问网络邻居”的故障，

在WindowsNT以后的系统里，IPC是依赖于Server服务运行的，一些习惯了单机环境的用户可能会关闭这个服务，这样的后果就是系统将无法提供与局域网有关的操作，用户无法查看别人的计算机，也无法为自己发布任何共享。

要确认IPC和Server服务是否正常，可以在命令提示符里输入命令netshare，如果Server服务未开启，系统会提示“没有启动Server服务。是否可以启动?(Y/N)[Y]：”，回车即可以启动Server服务。如果Server服务已开启，系统会列出当前的所有共享资源列表，其中少要有名为“IPC$”的共享，否则用户依然无法正常使用共享资源。

除了Server服务以外，还有两个服务会对共享造成影响，分别是“ComputerBrowser”和“TCP/IPNetBIOSHelperService”，前者用于保存和交换局域网内计算机的NetBIOS名称和共享资源列表，当一个程序需要访问另一台计算机的共享资源时，它会从这个列表里查询目标计算机，一旦该服务被禁止，IPC就认定当前没有可供访问的共享资源，用户自然就没法访问其他计算机的共享资源了;后者主要用于在TCP/IP上传输的NetBIOS协议(NetBT)和NetBIOS名称解析工作，NetBT协议为跨网段实现NetBIOS命令传输提供了载体，正因如此，早期的 入侵教材里“关于139端口的远程入侵”才能实现，因为NetBIOS协议被TCP封装起来通过Internet传输到对方机器里处理了，同样对方也是用相同途径实现数据传输的，否则 们根本无法跨网段使用网络资源映射指令“netuse”。对于本地局域网来说，NetBT是SMB协议依赖的传输媒体，也是相当重要的。

如果这两个服务异常终止，局域网内的共享可能就无法正常使用，这时候我们可以通过执行程序“services.msc”打开服务管理器，在里面查找“ComputerBrowser”和“TCP/IPNetBIOSHelperService”服务并点击“启动”即可。

熟悉Windows系统的用户或多或少都会接触到“组策略”(gpedit.msc)，这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限，但是这里的设置失误也会影响到局域网共享资源的使用，

由于IPC本身就是用于身份验证的，因此它对计算机账户的配置特别敏感，而组策略里偏偏就有很多方面的设置是针对计算机账户的，其中影响最大的要数“计算机配置CWindows配置C安全设置C本地策略C用户权利指派”里的“拒绝从网络访问这台计算机”，在Windows系统里默认是不做任何限制的，可是自从XP出现后，这个部分就默认多了两个帐户，一个是用于远程协助(也就是被简化过的终端服务)身份登录的3389用户名，另一个则是我们局域网共享的基本成员guest!

许多使用XP系统的用户无法正常开启共享资源的访问权限，正是这个项目的限制，解决方法也很容易，只要从列表里移除“Guest”帐户就可以了。

除了与帐户相关的策略，这里还有几个与NetBIOS和IPC相关的组策略设置，它们是位于“计算机配置CWindows配置C安全设置C本地策略C安全选项”里的“对匿名连接的额外限制”(默认为“无”)，对于XP以上的系统，这里还有“不允许SAM账户和共享的匿名枚举”(默认为“已停用”)、“本地账户的共享和安全模式”(默认为“仅来宾”)，其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的，当它被设置为“不允许枚举”时，其他计算机就无法获取共享资源列表，如果它被设置为“没有显式匿名权限就无法访问”的话，这台计算机就与共享功能彻底告别了，所以有时候实在找不出故障，不妨检查一下该项目。

一些刚接触NTFS分区的用户经常会发现，自己机器的共享和来宾帐户都开了，但是别人无论怎么访问都提示“权限不足”，即使给共享权限里添加了来宾帐户甚至管理员帐户也无效，这是为什么?归根究底还是因为在NTFS这部分被拦截了，用户必须理清一个概念，那就是如果你对某个共享目录的访问权限做了什么设置，例如添加删除访问成员，其相应的NTFS权限成员也要做出相应的修改，即共享权限成员和NTFS权限成员必须一致或者为“Everyone”成员，在XP/系统里出于安全因素，文件夹时常会缺少Everyone权限，因此，即使你的共享权限里设置了Everyone或Guest，它仍然会被NTFS权限因素阻止访问;如果NTFS权限成员里有共享权限成员的存在，那么访问的权限就在共享权限里匹配，例如一个目录的共享权限里打开了Everyone只读访问权限，那么即使在NTFS权限里设置了Everyone的完全控制权限，通过共享途径访问的用户依然只有“只读”的权限，但是如果在NTFS权限成员或共享权限成员里缺少Everyone的话，这个目录就无法被访问了。因此要获得正常的访问权限，除了做好共享目录的权限设置工作以外，还在共享目录上单击右键―属性―-安全，在里面添加Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、可读取等)，如果没有其他故障因素，你就会发现共享正常开启访问了。

篇2：了解Windows权限 认识局域网共享与安全

环境描述

Linux系统：Red Hat 9.0

Windows系统：Windows XP sp2

一、SAMBA服务部署

1、samba安装

(1).验证

samba是Linux系统集成的一个工具，在安装Linux的过程中用户可以选择安装。验证系统是否安装了samba可以通过如下命令进行查看：

[root@localhost root]# rpm -qa |grep samba

如果如下面所示，就说明已经安装了samba：

samba-swat-2.2.7a-7.9.0

samba-2.2.7a-7.9.0

redhat-config-samba-1.0.4-1

samba-common-2.2.7a-7.9.0

samba-client-2.2.7a-7.9.0

从图1可以看到笔者的Linux已经安装了samba。(图1)

.(2).安装

如果上述命令没有任何显示，就说明没有安装。要安装samba非常简单。将RedHat 9.0的第一张安装盘放入光驱，系统会自动挂接。如果没有挂接可输入mount /mnt/cdrom进行挂载，然后按照下面的操作进行安装：

# cd /mnt/cdrom/RedHat/RPMS

# rpm -ivh samba-common-2.2.7a-7.9.0.i386.rpm

# rpm -ivh samba-2.2.7a-7.9.0.i386.rpm

# rpm -ivh samba-client-2.2.7a-7.9.0.i386.rpm

这样我们就安装好了samba，然后输入命令进行查看：

# ls /etc/samba

可以看到有三个文件分别为lmhosts、smb.conf、smbusers。

(图2)

2、samba配置

samba安装完成后还需要配置，需要对smb.conf配置文件进行修改。我们可以用vi打开进行修改。其实对于一般的应用采用缺省设置就可以了，不过我们基于安全性和特殊性的要求需要对其中的一些项目进行修改。笔者建议修改的项目有如下几项：

(1).激活interfaces = 192.168.12.2/24 192.168.13.2/24项，这是设置可访问samba的网段，我们可以将其设置为interfaces = eth0，设置可访问的网卡。

(2).激活username map = /etc/samba/smbusers，这是用户映射，是为了服务器的安全而设置的。

(3).在smb.conf设置，申明共享文件夹。比如我们创建的共享文件夹为/home/gslw，然后分配用户访问权限。我们可以这样分配：admin、root用户可以读、写，而其他用户只能读不能写。在企业环境中我们可以通过创建组来统一设置用户的访问权限。不过需要说明的是，这些用户必须是Linux的系统用户，然后将其加入samba，

比如我们可以添加类似这样的语句：

[gslw]

comment = gslw

path = /home/gslw

write list = root

read list = gslw

smb.conf文件配置完成后保存退出即可。

(图3)

(4).下面需要配置smbusers文件，设置用户访问权限。用vi打开smbusers文件，然后将

root = administrator admin

nobody = guest pcguest smbguest

修改为

root = admin

gslw = 11

nobody = guest pcguest smbguest

保存并退出。

(图4)

配置完成后，我们输入命令testparm进行对samba配置文件的测试，如图5所示，测试正常。(图5)

3、创建共享文件夹

作为测试，我们运行命令mkdir /home/gslw创建共享文件夹，然后输入命令ls /home可以看到文件夹创建完成。

4、添加用户

要访问该共享文件夹，还需要添加用户。输入命令smbpasswd -a root，将root用户添加进来，并为其设置访问密码。同样的我们输入命令smbpasswd -a gslw，将gslw用户添加进来并为其设置密码。诸如此类，大家可以根据需要添加相应的用户。(图6)

5、设置权限

设置共享目录的访问权限，比如我们设置为完全控制可输入命令即可chmod 777 /home/gslw。权限设置完毕后需要重新启动服务，输入命令service smb restart即可。(图7)

6、访问测试

(1).linux访问

我们先在linux下访问SAMBA共享文件夹进行测试。输入命令smbclient //192.168.216.133/gslw -U root

，然后输入密码可以看到访问成功。进入smb命令行，我们输入ls命令查看共享目录中的文件，当然也可以通过mkdir命令创建目录。然后用gslw登录samba服务器，可以利用ls查看共享目录中的文件，然后用mkdir创建文件夹，可以看到没有成功，这是因为我们在samba的配置文件设置了gslw用只有读权限，没有赋予其写权限。通过上面的测试，说明我们的samba服务器创建成功，在linux下访问成功。(图8)

(2).Windows XP访问

下面我们测试在XP中是否可以访问samba服务器中的共享文件夹。打开“我的电脑”，在地址栏中输入samba服务器的IP地址。我们输入192.168.216.133回车后弹出登陆框，输入登录用户名admin密码test168，可以看到成功登录samba服务器，可以看到我们在samba的命令行下刚才创建的目录。(图9)