Windows文件共享的误区,你有一个曾经做过?

辰岡墨竹 2010-09-13 08:16:19
误区一,设置“本地安全策略”的“帐户: 使用空白密码的本地用户只允许进行控制台登录”
注意,这个设置和文件共享八杆子都打不到一块!首先要区分“登录”和“访问”这两个词。Windows 中,“登录”是指对于进入交互式会话时用户验证,也就是“欢迎”界面(或“登录”对话框)和“远程桌面”的那个帐户登录;而“访问”说的才是文件共享和打印机服务,它才不管你帐户密码是不是空的呢。
很多人都禁用了上面的那个安全策略,这是如果你没有设置管理员密码(尤其是默认的 Administrator 用户),防火墙也允许远程桌面服务,“系统属性”里也允许远程访问的话,可就危险喽!就和安装了一个绝对免杀木马差不多。好在 Windows XP 默认只支持不支持多用户登录,这样你可以在别人试图远程登录时否决。

误区二,禁用“简单文件共享”
在“本地安全策略”的“网络访问: 本地帐号的共享和安全模式”中,将默认设置“仅来宾→本地用户以来宾身份验证”,更改为“经典→本地用户以自己的身份验证”。这个修改和下列操作效果一致:在“我的电脑”中,单击“工具”→“文件夹选项”,在“查看”选项卡中,将“高级设置”中的“使用简单文件共享(推荐)”前面的钩去掉(注意Windows XP 家庭版没有“本地安全策略”,也无法关闭简单文件共享)。
简单文件共享的意义是当外部计算机试图访问的时候,都直接以 Guest 用户来验证。而经典的模式允许用户选择一个不同的帐户,这个只对一些对共享要求比较高的用户才需要做,通常利用系统所提供的简单文件共享就可以了。由于在“高级文件共享”状态(一下指禁用“简单文件共享”的状态)下,可以对每个文件夹手动设置访问权限,。况且如果对方正在使用的帐户名是 Administrator,你的 Administrator 是空密码,没有设置权限限制也没有禁用的话,还没有修改注册表禁用 C$、ADMIN$ 等,那病毒和木马就可以长驱直入了。
至于禁用管理默认共享的方法,打开注册表的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”分支:
添加键“AutoShareServer”,类型为“REG_DWORD”,值为“0”,禁止 ADMIN$。
添加键“AutoShareWks”,类型为“REG_DWORD”,值为“0”,禁止 C$、D$ 等。

误区三,看到访问共享时提示没有权限,就去翻各种权限策略
多数文件共享问题多是防火墙阻止所致,如果使用Windows自带防火墙,需要在“安全中心”→“防火墙”设置中允许“文件和打印机共享”。如果使用第三方防火墙,需要允许Services.exe、Svchost.exe 和 Lsass.exe 访问网络和允许接入。
最简单的设置文件共享的方式:“开始”→“所有程序”→“附件”→“通讯”→“网络安装向导”,按着向导提示,一步步操作即可,这个程序会自动修改防火墙放行共享服务,启用来宾帐号,设置网络组和计算机标识等等。

误区四,安装 NetBEUI 或 IPX/SPX 协议
很多人会混淆 NetBEUI 协议和文件共享用的 NetBIOS 接口。NetBIOS只是一个编程接口和通讯框架而已,并不是真正的网络协议,它可以建立在 TCP/IP、NetBEUI 和 IPX/SPX 等网络协议之上。请打开“网络连接”→“本地连接” 的“属性”中的“TCP/IP协议”的“属性”,打开“WINS”选项卡,看到了吗?“NetBIOS over TCP/IP”!这个设置默认是“自动”,也就是根据网关的设置,多数时都是打开的(就算没有网关)。
NetBEUI 是上个世纪 80 年代 IBM 开发的一种协议,它是不支持网络路由的,在 Windows 95 开发初期时,曾经让微软公司的网络“比地狱还糟糕 1.7 倍”(语出 The Old New Thing 博客)。因为那个时候还没有 DHCP 协议,而手动去给拥有几万台计算机的网络指定 IP 地址是很可笑的。所以那时候网络管理员不得不采用 NetBEUI,但是这种协议是基于广播的,所以会导致网络负荷很重。
IPX/SPX 则是 Novell 的 NetWare 网络软件使用的协议,这种协议主要在 DOS 时代很流行,那时候很多学校都用它组廉价无盘网络。随着 Windows 流行起来,现在这种协议也基本上不再被使用了,不过如果你想玩玩红警,可能还用的着。
不建议装 NetBEUI 和 IPX/SPX,因为它不是基于 TCP/IP 的,多数防火墙都不能进行保护,也有一些软硬件兼容问题。除非你周围的电脑都是 Windows 95 的,因为 Windows 95默认安装并启用了 NetBEUI,但是它也支持 NetBIOS over TCP/IP 的,只要把 NetBEUI 删除并将TCP/IP协议绑定到文件和打印机共享也是可以的。

误区五,混淆“帐户”和“账户”
微软给英文 Account 翻译是“帐户”,很多人都写成了“账户”。《辞源》的解释是:“账”,古作“帐”,后为避免与“帷帐”混淆,另造“账” 字。账户是金融用语。
...全文
295 点赞 收藏 18
写回复
18 条回复
阿信 2011年10月12日
帐户和账户,我分傻傻分不清楚!
回复 点赞
Lactoferrin 2011年05月27日
家里的计算机都用默认共享来互传文件
回复 点赞
liujianvv 2011年04月14日
我走过误区4,呵呵
回复 点赞
辰岡墨竹 2011年04月14日
如果你只是在XP的控制面板里的”用户帐户“里关闭Guest用户的话,那么仅仅是Guest用户无法进行登录,但是仍然是可以访问共享文件的。不过如果你在计算机管理里禁用了Guest用户话,那就不行了。
回复 点赞
辰岡墨竹 2011年04月14日
嗯,就是那样的默认会先以本地用户同名的账户来尝试,更正确的说,如果你在网络连接里安装了Microsoft网络客户,那么你开机时登录时输入的帐号也同样会自动作为网络登录的帐号。不过如果对方是家庭版XP用户的话,就无法关闭“简单文件共享”,必须以Guest来访问。

如果你只是在XP的控制面板里的”用户帐户“里关闭Guest用户的话,那么仅仅是Guest用户无法进行登录,但是仍然是可以访问共享文件的。不过如果你在计算机管理
不过很多Ghost和修改版本的XP,可能不会自带正确的Guest用户甚至Guests用户组,这个时候要恢复它就比较麻烦,需要用注册表编辑器修改SAM数据库。不过一般来说用简单文件共享可以避免很多安全隐患,在小型网络里最好用它。

还有你理解错误了,“帐户: 使用空白密码的本地用户只允许进行控制台登录”,这个设置和文件共享没有关系。它所不允许的是空白密码的用户使用远程终端服务登录。不论你设置不设置它,都不影响没有密码的Guest或者其它用户访问共享文件的。

此外,如果对方机器的“本地网络策略”中:
  Guest、Everyone和Guests三个帐户中,其中任意一个帐户具有“拒绝从网络访问这台计算机”的登录权利。
  Guest、Everyone和Guests三个帐户中,都不具有“从网络访问此计算机”的登录权利。
都会导致无法以Guest用户访问共享文件。
回复 点赞
wtrd1234 2011年04月13日
还有主要的是:
使用简单共享的话 似乎必须开Guest帐户吧?

如果不开guest帐户,就只有取消简单共享

这样就可以直接手动输入 帐户名与密码登陆,但是又由于空密码的帐户登录时,会因为"帐户:使用空白密码的本地帐户xxxxx",所以必须要禁用这个策略。

这样的话,我一开始所说的那一整套步骤就说通了。

还有你的误区二里面说的
“况且如果对方正在使用的帐户名是 Administrator,你的 Administrator 是空密码”
意思是说 如果访问共享时,两个帐号名相同的话,发布共享的电脑会误认为远程电脑就是本地的管理员用户么?
回复 点赞
wtrd1234 2011年04月13日
你说的都是对的,也都是可行的。
不过,现在有一个问题,
比如:在访问共享时,以GUEST访问(输入guest密码)成功后,每次点开共享就不需要输入密码了。但是如果发布共享的电脑更改guest密码后,就怎么也无法登陆,只有重启才行。
我觉得是第一次成功登陆后记下了登录名与密码。以后一登陆会自动以上次的登录信息登陆。
有没有办法清除缓存?最好是每次访问共享时都验证下登录名与密码。
回复 点赞
wtrd1234 2011年04月13日
"本地安全指派--拒绝从网络访问这台计算机"里有没有Guest
在本地安全设置->本地策略->用户权利指派里面找到了。 确实有GUEST

共享的文件夹,右击属性中看到 共享的是everyone只读

另外 netshare 中除了我自己的共享文件夹,没有其他的。


继续试试看先。
回复 点赞
xiayu_5230 2011年04月12日
没办法,共享问题多多啊、
回复 点赞
ronald163 2011年04月12日
windows共享出问题是比较麻烦
回复 点赞
辰岡墨竹 2011年04月12日
你可以参考一下:http://support.microsoft.com/kb/304040
注意其中很多内容都需要单击相应项来展开。如果你的系统是通过第三方工具格式化或者转换为NTFS的,而不是经过XP安装程序格式化的话,可能不存在Everyone帐户这个权限,你需要在高级文件共享模式下,直接在我的电脑里给每个盘符的属性里添加这个帐户并把选择把权限应用到所有的子文件夹(权限页面的“高级”里),并允许其完全控制。然后停用那些共享文件夹,切换到简单文件共享模式下重新设置。这样应该就可以正常访问了。
C$什么的直接删除?你没有设置AutoShareWks等注册表项么?你可以在命令提示符看看net share,你的电脑上有多少共享文件。
回复 点赞
辰岡墨竹 2011年04月12日
只所以会出现没有共享的网络资源,可能是或者没有允许Guest用户访问计算机。
你可以看看"开始--设置--控制面板--计算机管理--本地安全策略"里"本地安全指派--拒绝从网络访问这台计算机"
里有没有Guest,如果有的话,必须删除掉。这样的话,按照
1.开启简单文件共享
2.“帐户:使用空白密码的本地用户只允许进行控制台登录” 已启用
3.GUEST开启
的应该是可以正确访问的。

也可能你之前打开了高级文件共享,然后无意中修改了共享文件夹的访问权限,可以在高级文件共享模式看看那个文件夹的访问权限里有没有Everyone这个用户?我觉得最大的问题可能在于,你创建的共享文件夹是之前在高级文件共享方式下创建的,将那个文件夹的访问权限指向了特定的某个账户,而没有允许Guest即Everyone去访问它。

你有没有试过再重新启用“帐户:使用空白密码的本地帐户xxxxx”?因为这个本来就是应用于终端服务的设置,理论上来说对文件共享组件没有任何影响。你可以发个截图看看。
回复 点赞
wtrd1234 2011年04月11日
实验环境:
两台电脑A(台式),B(笔记本)均为XP(不好意思,都没密码),IP在同一网段(可PING通),防火墙文件共享添加例外,并且均做以下设置
1.开启简单文件共享
2.“帐户:使用空白密码的本地帐户xxxxx” 已启用
3.GUEST开启
两台电脑通过网络安装向导,建立共享,并重启

A试图打开B共享电脑时,弹错,没有使用网络权限。拒绝访问。
于是,在试着更改上面设置组合后,在
B 关闭简单文件共享与停用设置2后A可访问B的共享。少一个操作都弹错。
开启与关闭GUEST用户无影响
在每次共享连接成功后,我会通过计算机管理里的共享文件夹->会话->结束会话,以继续实验。

于是 接着上面状态,继续用B试图访问A的共享
目前状态 A 123全开 B 3开12关闭
访问被拒绝
之后,设置A的12,情况和之前一样,B可以访问A的共享了

出于学习的目的,做这些实验。
对于联网,我希望要的结果就是关闭GUEST情况下,可以联网传文件。对于病毒什么的,如果可以通过设置来避免当然更好,对于你说的 ADMIN$ 什么的我没研究过,不过一般现在C$D$什么的共享都是直接删除的吧
我不是固执己见的人,但是我也是实用派,如果别人的理论没法用的时候,我只能相信自己的经验。
其实我也知道,既然WINDOW做这些设置出来,自然就有它的用途,这样的做法也许有点违背他们的初衷。但是,不这样设置,在总是连不上网的时候,还真是很绝望啊。
所以,出于学习的目的,还是希望听下高人的解释,以及用其他非误区的官方的设置联网的方法。
回复 点赞
wtrd1234 2011年04月11日
第一条 和 第二条 还有一条是设置防火墙,我一直是这么联网的(禁用GUEST,实在不行才会打开GUEST)
是第一次听说不可这样,因为我总是这么设置来联网的,90%是可以的,但是 听了你这么肯定的话,我决定还是再来试一下

实验结果 见楼下
回复 点赞
辰岡墨竹 2010年09月13日
CS、魔兽都不算很古老的游戏,只需要TCP/IP就可以了,如果你的电脑里安装有IPX那样的协议,卸载掉,还是能联游戏的。只有红警对TCP支持有些问题,不容易连接上去。
ADMIN$就相当于你的Windows系统目录,病毒或木马完全可以把自己加到启动脚本的文件夹,或者替换一下winlogon.scr。还有就是autorun.inf那样感染,或者像冰河那样替换NOTEPAD.EXE。还有更变态的,比如SOLA病毒,会把你的.exe/.jpg/.doc文件打包成一个RAR自解压文件,这样你运行任何程序都会执行病毒。也有一些U盘病毒是通过将你的文件夹隐藏,然后建立一个文件名相同的.exe文件,图标还是文件夹,很多人的设置默认是不显示所有文件和隐藏扩展名的,这样也容易中招。反正只要你的ADMIN$可以被读写,就极其危险。

真正的Windows,安装好后,默认是有三重保护的,一是禁用了Guest,二是简单文件共享,三是防火墙策略。用“网络安装向导”可以很安全的打开文件共享。很多盗版的XP,比如“电脑公司”的早些版本默认的设置却有隐患。
回复 点赞
gslkg 2010年09月13日
[Quote=引用 2 楼 ccs02287 的回复:]
不敢苟同
试问IPX/SPX 协议,这个不是CS、魔兽需要的吗

=============================================================
还没有修改注册表禁用 C$、ADMIN$ 等,那病毒和木马就可以长驱直入了。
=============================================================……
[/Quote]
有些木马放在C盘或者各盘的根目录,可通过autorun.inf自动运行
回复 点赞
空心兜兜 2010年09月13日
不敢苟同
试问IPX/SPX 协议,这个不是CS、魔兽需要的吗

=============================================================
还没有修改注册表禁用 C$、ADMIN$ 等,那病毒和木马就可以长驱直入了。
=============================================================

就不相信,再变态的病毒、木马,你不去主动触发运行它,它能自动生效
回复 点赞
billpu 2010年09月13日
呵呵 不错 帮顶
回复 点赞
发动态
发帖子
Windows Server
创建于2007-08-02

6019

社区成员

17.8w+

社区内容

Windows 2016/2012/2008/2003/2000/NT
社区公告
暂无公告