编者按:网络邻居、文件共享,对我们来说,简单而又熟知,。但我们真的了解它么?
其实,在我们的生活、工作中,经常有人抱怨:
* “为什么别人的网上邻居可用,我的却不行?”
* “为什么有时候可以浏览,有时候却无法浏览网络?”
* 为什么我的Windows 2000无法访问另外一台Windows XP计算机?
* 我已经关闭了Windows防火墙,同时也能ping通这台Windows XP计算机?用“\\RemoteIP\C$”命令访问另外一台Windows XP计算机,为什么系统没有提示让我输入用户名、密码,直接弹出拒绝访问的错误消息?
解铃还须系铃人,让我们一起去看看微软的网络浏览到底是如何实现的。只有深入了解网络邻居“背后的故事”,这样才能真正守护好我们的地“网络邻居”。
上篇:
守护你的网络邻居
序:网络邻居过五关,关关被卡?
一.针对无法访问:防火墙、端口到底如何对待?
二.无法访问:都是盗版惹的祸?
三.无序系统加固,造成无法访问?
下篇:
网络邻居中的“鬼影”事件
网络邻居过五关,关关被卡?
引:网络邻居为何越来越难访问了?要解决这个问题,我们得先了解它的访问过程……
很多小型公司和事业单位一般不会单独架设服务器,这是一个最典型的工作组(对等网)模式。“对等”的意思是网络中的每一台设备既是客户机也是服务器,没有控制与被控制的关系,所以又称点对点网络(Peer To Peer)。网络中的所有设备可直接访问其他设备上的数据、软件和其他网络资源。换言之,每一台网络计算机与其他联网的计算机是对等(peer)的,它们没有层次的划分,如图1所示。
图1 小型网络对等连接
在这模型,下每一台主机都肩负着客户端和服务端两个任务。同时,各个客户端又有可能运行着不同的操作系统,如:Windows 98/ME 、Windows 2000 /XP 。它们之间相互访问看似简单,如果要确保一路畅通却是难事,要经过“过五关,斩六将”一样的严格审核,任何一个环节出现问题都可能造成访问失败。
我们将不同的系统特性综合起来考虑,可以归纳为下图2所示的四个过程:
图2 客户端到服务器端的访问控制
1.协议、端口、组件、服务
它们工作在网络邻居的底层,只有底层的网络工作正常,上层的用户验证、安全策略和权限检测等才能顺利通过。在物理链路畅通的情况下,每个访问者和被访问者都要开启必要的端口,比如TCP 135、137、139端口或者SMB服务直接使用的445端口等。此时你可以运行 netstat –an 命令,查看这些端口是否已经打开,如图3所示。
图3 运行netstat 命令的结果
2.用户身份验证
这个过程如果要分析起来就苦难的很多,举一个例子更容易理解。比如,你说“我是公司的李总”,服务器端询问你“你真的是李总吗?”这个过程就是Client提供自己的用户名和密码,向Server证明自己身份的过程。
3.安全策略审核
用户身份得到验证后,必须经过Server端的安全策略的审核,以确定是否具备网络登录的权利,以及是否受到安全选项的约束。这一过程我们可以理解为:我已经知道你是李总了,现在让我看一下你的“入场券”,这上面写明了你权利和义务,我要和“入场券的存根”对比一下。
4.权限检查
这是最后一步,最终能否访问成功,取决于共享资源的权限设置。顺利通过安全策略审核之后,共享资源将会检查该用户登录后是否具备管理、修改、读写以及删除等访问共享资源的权限。如果以上因素全部满足,那么客户端就可以顺利的完成访问服务端的文件了。
一.针对无法访问:防火墙、端口到底如何对待?
问题现象:
某公司所有电脑都处在一个工作组,公司内的计算机经常遭到局域网蠕虫病毒的攻击。有些员工将笔记本从家里带到单位后,用不了一段时间,公司所有的电脑都感染了这个从“家里”带来的病毒。但也有特殊的例子,一个员工安装了某个XX防火墙2007破解版,所以他的电脑就没有被感染。于是,大家纷纷仿效,本以为一切可以平安无事了,但当使用“网络邻居”访问其他计算机,以及使用网络共享打印机的时候却出来大问题。
网上邻居不能访问,经常会弹出诸如“参数错误,无法访问”的对话框,在开启防火墙的情况下,网络打印机也无法正常使用,每次打印都要把防火墙先关了,这样给大家照成了很多的麻烦。经过对防火墙进行设置后,网上邻居能正常访问,打印机共享也可以正常工作了。虽然他们利用防火墙将一些局域网蠕虫病毒使用的端口封掉了,但影响了正常的网络应用,因此是不值得推荐的。正确安装杀毒软件,及时更新系统更新补丁,使用正版防火墙软件,调整参数才能解决此类“网络邻居”无法访问的故障。
原因剖析与解决措施:
很多人对病毒知识了解得少之又少,而提到“冲击波”、“阻击波”等,90%的人都能立刻回想起来,这种蠕虫病毒正是利用了网络邻居相互访问的端口。
1.传统与改进
文件和打印机共享可以利用TCP/IP、或者其它协议(如NetBEUI)非常稳定的工作,现在普遍使用的是TCP/IP协议。没有服务器的状态下相互之间访问,可以采用以下两种方式:
① 通过传统的NetBIOS(NetBT),利用137、138、139端口;
② 直接利用TCP/IP上的SMB(Server Message Block)服务直接承载,需要445端口。
其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口连接的目的是获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA,同时WINS Registration也用到它,具体表现形式如图34所示。
图4 windows文件和打印机共享
2.重新加载网络协议
在通过网络邻居访问计算机的时候经常会弹出诸如“参数错误,无法访问”的对话框,这些问题往往是因为TCP/IP出现错误,或者重要文件可能被替换。最简单直接的方法就是重新装载TCP/IP协议,操作方法如下:
(1)Windows 98 /2000 协议
直接在网络属性对话框内删除TCP/IP(去掉选项),然后重新安装。
(2)Windows XP/2003 协议
命令行模式下运行“netsh int ip reset resetlog.txt”或“netsh int ip reset c:\resetlog.txt”。
“reset”命令可以重写与TCP/IP相关的注册表项:
* System\CurrentCon trolSet\Services\Tcpip\Parameters\
* System\CurrentControlSet\Services\DHCP\Parame ters\
此外,两个命令行的不同之处仅仅在于“resetlog.txt”日志文件的存储位置有所区别。前者是将日志文件创建在当前文件夹中,而后者则指定了具体的保存路径。
3.防火墙阻碍
很多时候要保证协议之间通信正常,需要排除防火墙的阻碍。这里以Windows XP SP2内置防火墙为例。如果需要开启上面对应的端口,可以参照图45中的配置,选择更改防火墙配置→例外→勾选“文件和打印机共享”→开启对应端口。
图 5 Windows XP SP2防火墙
也可以直接运行NETSH DIAG GUI,打开帮助与支持窗口。单击“设置扫描选项”,勾选所需的选项,一般包括“网络客户”、“网络适配器”、“Ping”、“Connect”和“Show”等选项。检查是上述内容是否工作正常,是解决此类问题的关键。
二.无法访问:都是盗版惹的祸?
问题现象:
《番茄花园 Windows XP Pro SP2 免激活 V 2.8》和《番茄花园 Windows XP Pro SP2 免激活 V2.9》及《番茄花园 Windows XP Pro SP2 免激活 V 2.7》等一直以来都是“平民”装机的首选,但网上爆出这些系统漏洞百出之后,安全问题被一些网友解决了。
某公司的管理员使用番茄花园,后来看到了这篇“番茄花园漏洞百出的文章”决定马上整改,从一个论坛上下载了《番茄花园SE(安全)版》,公司的所有台式机都得到了“安全升级”。公司台式机没有安装新操作系统之前,也出现过其中几台PC网络邻居无法访问的问题,但这次全面更新之后,所有的客户端都无法相互访问了,打开“网络邻居”之后一片空白。
原因剖析与解决措施:
可能有很多用户没有使用正版的操作系统,这时就可能会在反复安装完系统后依然无法访问网络邻居上的服务。因为这些Ghost版的操作系统都作了安全加固,这当然有好的一面,但副作用也比较大。有的时候访问不了网络邻居资源共享,可能是由于配置的错误的组策略安全模版,或者卸载了必要服务造成的。可以参照下面的内容启用必要的系统服务以及安装必要的服务组件,快速解决盗版带来的棘手问题。
1.检查组件是否齐全
* Microsoft网络的文件和打印机共享:这是为局域网其他户提供资源共享的必须服务组件;
* Microsoft网络客户端:这是提供你可以去访问别人共享资源的一个服务组件,我们要清楚地了解到,这两个服务组件是一个双向的问题,所以在没有服务器提供文件存储和打印服务的时候这两个组件都是必须的。
2.检查服务是否启动
* Computer Browser:计算机浏览服务,这个服务是我们必须要搞懂得一个,所以随后的内容里我会详细的解释它的每个细节。
* Workstation:创建和维护到远程服务的客户端网络连接。
* Server:支持此计算机通过网络的文件、打印、和命名管道共享。
* TCP/IP NetBIOS Helper:允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。
这里说明一下Server服务,80%以上的盗版系统都会关闭着这个服务。如果要停止这个服务后,“系统属性”中的“计算机描述”将无法更改,同时在登陆界面上也看不到这台计算机上的描述信息。也有许多关于Server服务的配置技巧,比如:net config server /SRVCOMMENT(填写计算机描述信息),或者运行net config server /hidden:yes 可以在网络邻居浏览列表里隐藏这台计算机等,这里就不一一列举了,开启被“Ghost 安全版XP”关闭的服务,网络邻居才能正常服务。毕竟网上的这些Ghost版系统都是针对个人用户的,如果要应用于公司网络,要再经过一番修改才行。
三.无序系统加固,造成无法访问?
问题现象:
可以马上和身边的同事做一个测试,这将验证管理员的疏忽和盗版系统地危害。如果安装的是同一个版本的Ghost操作系统,在图6的内容中更改计算机名称。你将可以直接访问到这台主机C 盘的内容。
提示:如果不能访问,可以让同事在他的计算机上建立一个和自己本机当前登录相同的帐户(密码相同),你现在也可以直接访问他的计算机,绝对不需要提供任何用户名和密码。
图 6 windows IPC$访问
很多人也都注意到了这个严重的网络安全问题,从论坛或者其他的刊物上得到了一些安全加固的文章,以寻求排除这些问题的捷径。最近,接到了一个求助信息:“这家公司的网络是没有‘域’的工作组状态,管理员对从某个论坛里下载了一个安全加固模板,对所有客户端做了安全加固,但是当机器重起后,发现没有网卡的图标了,网上邻居右键属性是空的!可以上网,但无法访问到其他计算机的共享文件夹。”
我建议他先利用MMC控制台将C:\windows\security\templates\setup security.inf 导入,从而恢复到安装时的安全设置。当到达现场之后,我问他都加固了什么内容,但随后的交谈中,真不知道他在说些什么。网上的一些安全工具一般不会说明原理和技术细节,而这些安全加固是必会造成网络邻居无法访问的后果。
因此,在工作组网络中使用安全加固模板时,要注意Guest用户的状态,同时要研究官方提供文档,清楚你加固计算机时候的操作步骤,它们是否影响了网络邻居的使用。
原因剖析与解决措施:
1. 开启Guest用户
掌握用户验证的内容要牢记两个问题,客户机首先用自己当前帐户信息尝试验证,另外一个就是由服务器决定时候将访问者身份映射为Guest用户。所有使用过XP家庭版的用户,默认都使用“简单文件共享”,也就意味着所有访问的用户都将被映射为Guest用户。
如果没有配置过简单文件共享那么就会弹出对话框,当然这也是一个带有安慰性质的,因为你根本无须输入任何密码就可以访问。如果你访问的计算机让你提供用户名和必要的密码信息,这就说明对方已经禁用了“简单文件共享”选项,同时证明禁用了Guest用户(2007年所有的Ghost版XP都关闭了这个用户),你可以在用户管理中开启Guest用户。
2.安全策略中的要点
客户端访问的最后一步就是服务端的安全策略审核,有的人会把这块内容说的很复杂,其实和理解安全策略很简单,“只要没有任何拒绝这个特定的用户策略,那么就可以继续。其次,最容易造成其他人无法访问你的安全策略有两点:①本地策略中的“用户权利指派”是否拒绝从网络访问这台计算机;②本地策略中的“安全选项”中是否启用了“使用空白密码的本地帐户只允许进行控制台登录,如图7所示。
图7 安全选项中的账户控制
3.正确的安全加固
除了上面说到的所有内容,还有一些网管员从论坛或者其他的刊物上得到了一些安全加固的文章,照猫画虎的做了一些自己并不清楚地东西。但是这些内容大部分不会说明原理和技术细节,而这些安全加固是必会造成网络无法访问的后果,所以,网管员在安全加固时要以微软的知识库(KB)为准。
例如,你在为了安全的原因启用了本地策略里“网络访问”中的“不允许SAM帐户和共享的匿名枚举”选项。其他的客户端就无法通过网络邻居或者“\\servername”来访问了,此时只能采用“\\servername\Shared”,即访问者必须知道共享名称的方式。
还有一个比较古老的问题,98无法访问2000和XP,当然解决方法众多,这里要提示的是某些网管员下载了一些Windows安全模版,而我们知道微软是从2000以后才开始提供这些策略模版的,这里面估计Win 98用户已经非常少了。在工作组模式下,Win2000和XP可以利用NTLMv2的用户验证安全级别,如果这项选项被更改为V2版本,如图8所示,不论你怎么调试Win 98系统,也是无法登录到XP系统的。
图8 LAN Manager身份验证级别
在工作组模式下问题很多,但是归纳起来就有两种:一是访问被拒绝的问题,而另一种是网络邻居无法使用的问题。之前的内容应该可以解决大部分“拒绝访问”的故障,下篇文章我们一起来剖析“网络邻居”原理,说明造成第2种故障的原因。
