三．无序系统加固，造成无法访问？

问题现象：
　　可以马上和身边的同事做一个测试，这将验证管理员的疏忽和盗版系统地危害。如果安装的是同一个版本的Ghost操作系统，在图6的内容中更改计算机名称。你将可以直接访问到这台主机C 盘的内容。

　　提示：如果不能访问，可以让同事在他的计算机上建立一个和自己本机当前登录相同的帐户（密码相同），你现在也可以直接访问他的计算机，绝对不需要提供任何用户名和密码。
　　
　　图 6 windows IPC$访问

　　很多人也都注意到了这个严重的网络安全问题，从论坛或者其他的刊物上得到了一些安全加固的文章，以寻求排除这些问题的捷径。最近，接到了一个求助信息：“这家公司的网络是没有‘域’的工作组状态，管理员对从某个论坛里下载了一个安全加固模板，对所有客户端做了安全加固，但是当机器重起后，发现没有网卡的图标了，网上邻居右键属性是空的！可以上网，但无法访问到其他计算机的共享文件夹。”

　　我建议他先利用MMC控制台将C:\windows\security\templates\setup security.inf 导入，从而恢复到安装时的安全设置。当到达现场之后，我问他都加固了什么内容，但随后的交谈中，真不知道他在说些什么。网上的一些安全工具一般不会说明原理和技术细节，而这些安全加固是必会造成网络邻居无法访问的后果。

　　因此，在工作组网络中使用安全加固模板时，要注意Guest用户的状态，同时要研究官方提供文档，清楚你加固计算机时候的操作步骤，它们是否影响了网络邻居的使用。
原因剖析与解决措施：
　　
1． 开启Guest用户

　　掌握用户验证的内容要牢记两个问题，客户机首先用自己当前帐户信息尝试验证，另外一个就是由服务器决定时候将访问者身份映射为Guest用户。所有使用过XP家庭版的用户，默认都使用“简单文件共享”，也就意味着所有访问的用户都将被映射为Guest用户。
　　如果没有配置过简单文件共享那么就会弹出对话框，当然这也是一个带有安慰性质的，因为你根本无须输入任何密码就可以访问。如果你访问的计算机让你提供用户名和必要的密码信息，这就说明对方已经禁用了“简单文件共享”选项，同时证明禁用了Guest用户（2007年所有的Ghost版XP都关闭了这个用户），你可以在用户管理中开启Guest用户。

2．安全策略中的要点
　　客户端访问的最后一步就是服务端的安全策略审核，有的人会把这块内容说的很复杂，其实和理解安全策略很简单，“只要没有任何拒绝这个特定的用户策略，那么就可以继续。其次，最容易造成其他人无法访问你的安全策略有两点：①本地策略中的“用户权利指派”是否拒绝从网络访问这台计算机；②本地策略中的“安全选项”中是否启用了“使用空白密码的本地帐户只允许进行控制台登录，如图7所示。

图7 安全选项中的账户控制

3．正确的安全加固

　　除了上面说到的所有内容，还有一些网管员从论坛或者其他的刊物上得到了一些安全加固的文章，照猫画虎的做了一些自己并不清楚地东西。但是这些内容大部分不会说明原理和技术细节，而这些安全加固是必会造成网络无法访问的后果，所以，网管员在安全加固时要以微软的知识库（KB）为准。
　　
　　例如，你在为了安全的原因启用了本地策略里“网络访问”中的“不允许SAM帐户和共享的匿名枚举”选项。其他的客户端就无法通过网络邻居或者“\\servername”来访问了，此时只能采用“\\servername\Shared”，即访问者必须知道共享名称的方式。
　　
　　还有一个比较古老的问题，98无法访问2000和XP，当然解决方法众多，这里要提示的是某些网管员下载了一些Windows安全模版，而我们知道微软是从2000以后才开始提供这些策略模版的，这里面估计Win 98用户已经非常少了。在工作组模式下，Win2000和XP可以利用NTLMv2的用户验证安全级别，如果这项选项被更改为V2版本，如图8所示，不论你怎么调试Win 98系统，也是无法登录到XP系统的。

图8 LAN Manager身份验证级别

　　在工作组模式下问题很多，但是归纳起来就有两种：一是访问被拒绝的问题，而另一种是网络邻居无法使用的问题。之前的内容应该可以解决大部分“拒绝访问”的故障，下篇文章我们一起来剖析“网络邻居”原理，说明造成第2种故障的原因。