打造最安全之局域网共享
关于局域网的安全,尤其是在企业和公司内部,一直是网络管理人员们最为关注的话题。从熊猫烧香到机器狗,还会一直闹腾的ARP病毒,等等,都能通过局域网来感染大量内部的计算机。当然这些安全问题造成的原因是多方面的,今天我的重点来讲一下局域网安全中的一角――局域网共享!
Windows平台的共享设置条目繁多,这也就造成了会出现各种各样的局域网不能访问的故障。还好,网上的牛人很多,出来了很多自动设置类的工具,很方便也很好用,在这里大家也会知道工具背后的秘密。实际当中还是会碰到那么些个用工具也没什么效果。不如手动走一遍流程吧!(以下是我从最安全的角度去建立局域网共享的,一些基本操作不做详述)
目标:建立只能通过 \\IP才可访问,并只有
指定的用户(必须有
密码)才可访问,对共享资源提供精确的
双重权限访问控制。
1. 添加用于共享访问的用户(必须设置密码,其它不安全帐户一并删除)
2. 保证在同一工作组下
3. 开放139和445端口(系统开启或关闭网络防火墙,只开445安全性会更高点)
(netstat -an 可查看端口是否开放)
(netstat -an 可查看端口是否开放)
我这里说明一下:
#################################################################################
实现文件/打印机共享的协议的端口:139(NBT协议,NetBios),445(SMB协议,基于NBT的)
=================================================================================
139和445都可以通信,同样开放的情况下,445优先级比139高,如下情况:
=================================================================================
139和445都可以通信,同样开放的情况下,445优先级比139高,如下情况:
①.客户端与共享服务器都开启两个端口的情况下,访问是优先通过445口进行的;
②.客户端只开启其中一个端口,则必须要求服务器有相应端口才能建立会话
③.当不对称情况,即一个只开139,一个只开445,访问都将失败。
④.访问是基础同一协议的,所以不可能在关闭两个端口的情况下进行访问
⑤.NT机器(2000以前的)没有SMB协议,只能通过139口访问
=================================================================================
=================================================================================
开启445端口,复制以下内容,保存为netshare.reg,双击导入即可。
Windows Registry Editor Version 5.00
;开启445端口,需要重启才能生效。0关闭,1开启。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000001
; 关闭139端口可以通过禁用 netbios 协议来实现
; 139端口关闭方法:控制面板->网络和拨号连接->本地连接,点属性按钮进入“本地连接 属性”页面,选
; 择“Internet 协议 (TCP/IP)”,然后点属性按钮,在弹出窗口点高级按钮,然后选择WINS标签,点“禁
; 用 TCP/IP 上的 NetBios”,最后确定退出。
;开启445端口,需要重启才能生效。0关闭,1开启。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000001
; 关闭139端口可以通过禁用 netbios 协议来实现
; 139端口关闭方法:控制面板->网络和拨号连接->本地连接,点属性按钮进入“本地连接 属性”页面,选
; 择“Internet 协议 (TCP/IP)”,然后点属性按钮,在弹出窗口点高级按钮,然后选择WINS标签,点“禁
; 用 TCP/IP 上的 NetBios”,最后确定退出。
4. 开启两个服务
1.workstation
2.server
要网上邻居查看工作组计算机,还要开启以下服务:
1.Computer Browser
2.Windows Firewall/Internet Connection Sharing
3.TCP/IP NetBIOS Helper;
1.workstation
2.server
要网上邻居查看工作组计算机,还要开启以下服务:
1.Computer Browser
2.Windows Firewall/Internet Connection Sharing
3.TCP/IP NetBIOS Helper;
这里就开1和2。
5. 权限策略设置:(最小性原则)
用户:新建组,组中用户具有访问权限
用户:新建组,组中用户具有访问权限
组策略:(gpedit.msc--Windows设置--安全设置--本地策略--)
安全选项--
网络访问:本地帐户的共享和安全模式 --经典
网络访问:不允许SAM帐户的匿名枚举 --已停用
网络访问:不允许SAM帐户和共享的匿名枚举 --已停用
网络访问: 可匿名访问的共享 --清空
网络访问: 可匿名访问的命名管道 --清空
网络访问: 可远程访问的注册表路径和子路径 --清空
网络访问:让每个人权限应用于匿名用户 --已停用
网络访问:允许匿名SID/名称转换 --已停用(可能会造成网络上低版本的用户访问出现问题)
帐户:使用空白密码的本地帐户只允许进行控制台登录 --已启用
网络访问:本地帐户的共享和安全模式 --经典
网络访问:不允许SAM帐户的匿名枚举 --已停用
网络访问:不允许SAM帐户和共享的匿名枚举 --已停用
网络访问: 可匿名访问的共享 --清空
网络访问: 可匿名访问的命名管道 --清空
网络访问: 可远程访问的注册表路径和子路径 --清空
网络访问:让每个人权限应用于匿名用户 --已停用
网络访问:允许匿名SID/名称转换 --已停用(可能会造成网络上低版本的用户访问出现问题)
帐户:使用空白密码的本地帐户只允许进行控制台登录 --已启用
用户权力指派--
允许从网络访问此计算机 -----删除所有帐户,添加我们第一步创建的用户进来
拒绝从网络访问此计算机 -----添加Guests等其它不允许的帐户,当然别添加Everyone
允许从网络访问此计算机 -----删除所有帐户,添加我们第一步创建的用户进来
拒绝从网络访问此计算机 -----添加Guests等其它不允许的帐户,当然别添加Everyone
审核策略--审核对象访问 --“成功”和“失败”项全部选中
(共享目录的属性窗口,在“安全”标签中单击“高级”按钮,切换到“审核”标签,单击“添加”按钮,将所有有权访问共享目录的账户都添加进来并保存设置)
(共享目录的属性窗口,在“安全”标签中单击“高级”按钮,切换到“审核”标签,单击“添加”按钮,将所有有权访问共享目录的账户都添加进来并保存设置)
6. 网络文件和打印机共享服务:在网络连接--本地连接属性--常规选项中打“√”选用就行了!
7. 文件夹选项--使用简单文件共享--去掉“√”,这样文件夹右键就多个安全性选项,有利于进行权限分配。
㈠访问权限:共享目录的属性窗口,在“共享”标签中单击“权限”按钮,删除所有帐户并添加第一步中创建的帐户,并给予相应权限。
㈡本地磁盘文件操作权限:共享目录的属性窗口,在“共享”标签中单击“安全”按钮,只删除无用的帐户,保留Administrators组,不然自己都进不去了,再添加第一步中的帐户。
8. 删除默认共享提高安全性(以下内容保存为reg后缀后导入)
Windows Registry Editor Version 5.00
;禁止ipc$空连接进行枚举,屏蔽匿名方式获取本机的信息,由不安全的0值修改为安全级别高一些值 1 或 2
;0x1 匿名用户无法列举本机用户列表
;0x2 匿名用户无法连接本机IPC$共享
;不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
;禁止默认共享,禁止自动打开默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
;禁止ipc$空连接进行枚举,屏蔽匿名方式获取本机的信息,由不安全的0值修改为安全级别高一些值 1 或 2
;0x1 匿名用户无法列举本机用户列表
;0x2 匿名用户无法连接本机IPC$共享
;不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
;禁止默认共享,禁止自动打开默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
9. 来优化一下速度,到此我们已经完成了设置。
Windows Registry Editor Version 5.00
;加快局域网访问速度,禁止搜索网络打印机
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
;加快搜索网上邻居的速度,禁止搜索网络计划任务
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]
;加快局域网访问速度,禁止搜索网络打印机
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
;加快搜索网上邻居的速度,禁止搜索网络计划任务
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]
10. 开始--运行--\\对方ip ,输入帐户密码即可实现安全访问了。
这里我提供一些小技巧给大家分享下:
=》 XP的访问机制(产生用户访问数据集,都会用第一个用户USER及密码访问)造成的无法访问
处理的办法:net use \\192.168.1.7\ipc$ /dele ,然后再输入 \\192.168.1.7时用户和密码就能访问了
处理的办法:net use \\192.168.1.7\ipc$ /dele ,然后再输入 \\192.168.1.7时用户和密码就能访问了
=》自动登录局域网,访问一个名为server的电脑,用户名为user,密码是8888:
net use \\server\IPC$ "8888" /user:"user"
net use \\server\IPC$ "8888" /user:"user"
=》快速备份/更新数据
set source=d:\work
set dest=\\file_bck\backup
net use \\file_bck\IPC$ "1234" /user:"user"
xcopy %source% %dest% /e /v /r /y /z
set source=d:\work
set dest=\\file_bck\backup
net use \\file_bck\IPC$ "1234" /user:"user"
xcopy %source% %dest% /e /v /r /y /z