打造最安全之局域网共享

       关于局域网的安全,尤其是在企业和公司内部,一直是网络管理人员们最为关注的话题。从熊猫烧香到机器狗,还会一直闹腾的ARP病毒,等等,都能通过局域网来感染大量内部的计算机。当然这些安全问题造成的原因是多方面的,今天我的重点来讲一下局域网安全中的一角――局域网共享!
       Windows平台的共享设置条目繁多,这也就造成了会出现各种各样的局域网不能访问的故障。还好,网上的牛人很多,出来了很多自动设置类的工具,很方便也很好用,在这里大家也会知道工具背后的秘密。实际当中还是会碰到那么些个用工具也没什么效果。不如手动走一遍流程吧!(以下是我从最安全的角度去建立局域网共享的,一些基本操作不做详述)
  
     目标:建立只能通过 \\IP才可访问,并只有 指定的用户(必须有 密码)才可访问,对共享资源提供精确的 双重权限访问控制。
  1. 添加用于共享访问的用户(必须设置密码,其它不安全帐户一并删除)
 
  2. 保证在同一工作组下
  
  3. 开放139和445端口(系统开启或关闭网络防火墙,只开445安全性会更高点)
                                       (netstat -an 可查看端口是否开放)
我这里说明一下:
#################################################################################
实现文件/打印机共享的协议的端口:139(NBT协议,NetBios),445(SMB协议,基于NBT的)
=================================================================================
139和445都可以通信,同样开放的情况下,445优先级比139高,如下情况:
①.客户端与共享服务器都开启两个端口的情况下,访问是优先通过445口进行的;
②.客户端只开启其中一个端口,则必须要求服务器有相应端口才能建立会话
③.当不对称情况,即一个只开139,一个只开445,访问都将失败。
④.访问是基础同一协议的,所以不可能在关闭两个端口的情况下进行访问
⑤.NT机器(2000以前的)没有SMB协议,只能通过139口访问
=================================================================================
 
开启445端口,复制以下内容,保存为netshare.reg,双击导入即可。
Windows Registry Editor Version 5.00

;开启445端口,需要重启才能生效。0关闭,1开启。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000001

;    关闭139端口可以通过禁用 netbios 协议来实现
;    139端口关闭方法:控制面板->网络和拨号连接->本地连接,点属性按钮进入“本地连接 属性”页面,选
;    择“Internet 协议 (TCP/IP)”,然后点属性按钮,在弹出窗口点高级按钮,然后选择WINS标签,点“禁
;    用 TCP/IP 上的 NetBios”,最后确定退出。
 
  4. 开启两个服务
         1.workstation
         2.server
         要网上邻居查看工作组计算机,还要开启以下服务:
         1.Computer Browser
         2.Windows Firewall/Internet Connection Sharing
         3.TCP/IP NetBIOS Helper;
      这里就开1和2。
 
  5. 权限策略设置:(最小性原则)
      用户:新建组,组中用户具有访问权限
     组策略:(gpedit.msc--Windows设置--安全设置--本地策略--)
     安全选项--
      网络访问:本地帐户的共享和安全模式       --经典
      网络访问:不允许SAM帐户的匿名枚举        --已停用
      网络访问:不允许SAM帐户和共享的匿名枚举  --已停用
      网络访问: 可匿名访问的共享               --清空
      网络访问: 可匿名访问的命名管道           --清空
      网络访问: 可远程访问的注册表路径和子路径 --清空
      网络访问:让每个人权限应用于匿名用户     --已停用
      网络访问:允许匿名SID/名称转换           --已停用(可能会造成网络上低版本的用户访问出现问题)
      帐户:使用空白密码的本地帐户只允许进行控制台登录 --已启用
    用户权力指派--
         允许从网络访问此计算机   -----删除所有帐户,添加我们第一步创建的用户进来
         拒绝从网络访问此计算机   -----添加Guests等其它不允许的帐户,当然别添加Everyone
        审核策略--审核对象访问    --“成功”和“失败”项全部选中
        (共享目录的属性窗口,在“安全”标签中单击“高级”按钮,切换到“审核”标签,单击“添加”按钮,将所有有权访问共享目录的账户都添加进来并保存设置)

   6.  网络文件和打印机共享服务:在网络连接--本地连接属性--常规选项中打“√”选用就行了!

  7.  文件夹选项--使用简单文件共享--去掉“√”,这样文件夹右键就多个安全性选项,有利于进行权限分配。
      ㈠访问权限:共享目录的属性窗口,在“共享”标签中单击“权限”按钮,删除所有帐户并添加第一步中创建的帐户,并给予相应权限。
      ㈡本地磁盘文件操作权限:共享目录的属性窗口,在“共享”标签中单击“安全”按钮,只删除无用的帐户,保留Administrators组,不然自己都进不去了,再添加第一步中的帐户。
 
  8.  删除默认共享提高安全性(以下内容保存为reg后缀后导入)
Windows Registry Editor Version 5.00

;禁止ipc$空连接进行枚举,屏蔽匿名方式获取本机的信息,由不安全的0值修改为安全级别高一些值 1 或 2
;0x1 匿名用户无法列举本机用户列表    
;0x2 匿名用户无法连接本机IPC$共享
;不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

;禁止默认共享,禁止自动打开默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
 
  9.  来优化一下速度,到此我们已经完成了设置。
Windows Registry Editor Version 5.00

;加快局域网访问速度,禁止搜索网络打印机
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]

;加快搜索网上邻居的速度,禁止搜索网络计划任务
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]

  10. 开始--运行--\\对方ip   ,输入帐户密码即可实现安全访问了。

这里我提供一些小技巧给大家分享下:
=》 XP的访问机制(产生用户访问数据集,都会用第一个用户USER及密码访问)造成的无法访问
处理的办法:net use \\192.168.1.7\ipc$ /dele ,然后再输入 \\192.168.1.7时用户和密码就能访问了
 
=》自动登录局域网,访问一个名为server的电脑,用户名为user,密码是8888:
     net use \\server\IPC$ "8888" /user:"user"
 
=》快速备份/更新数据
    set source=d:\work
    set dest=\\file_bck\backup
    net use \\file_bck\IPC$ "1234" /user:"user"
    xcopy %source% %dest% /e /v /r /y /z

你可能感兴趣的:(网络安全,局域网,共享,休闲,系统修复)