如何实现局域网共享与网上邻居安全如何实现局域网共享与网上邻居安全如何实现局域网共享与网上邻居安全.txt一. 局域网内的邻居 李小姐是某公司的文秘，昨天刚连夜赶出一份项目报告，就急匆匆带回公司给经理为客户们做讲解了，刚离开公司那 30 层高的会议厅，李小姐就忙着回自己在 15 楼的工作岗位了，但是李小姐刚踏出电梯，就接到了参与演示的工作人员的电话，说发现报告的演示文档不齐全，要她迅速带上来，李小姐才发现是自己过于迷糊而少复制了几份文件，但是她更清楚如果这个马虎行为让客户看到，恐怕会对公司造成负面形象，李小姐一时陷入窘境。突然，她想到了公司的局域网 一场危机总算解除了，李小姐通过局域网把文件传输上来，演示人员不动声色的补充了剩下的文件，会议进行得很顺利，大家总算松了口气 网络的基本作用是实现资源共享，而作为最小网络分布结构的局域网（Local Area Network，LAN）更是把这个概念淋漓尽致的发展起来，那么，局域网内的共享是怎么实现的呢？ 1. 局域网实现原理 在了解共享之前，我们需要对局域网的概念有个了解，局域网并不同于外界通讯使用的 TCP/IP 协议体系，它是一种建立在传统以太网（Ethernet）结构上的网络分布，除了使用 TCP/IP 协议，它还涉及许多协议。 在局域网里，计算机要查找彼此并不是通过 IP 进行的，而是通过网卡 MAC 地址，它是一组在生产时就固化的唯一标识号，根据协议规范，当一台计算机要查找另一台计算机时，它必须把目标计算机的 IP 通过 ARP 协议（地址解析协议）在物理网络中广播出去，“广播”是一种让任意一台计算机都能收到数据的数据发送方式，计算机收到数据后就会判断这条信息是不是发给自己的，如果是，就会返回应答，在这里，它会返回自身地址。当源计算机收到有效的回应时，它就得知了目标计算机的 MAC 地址并把结果保存在系统的地址缓冲池里，下次传输数据时就不需要再次发送广播了，这个地址缓冲池会定时刷新重建，以免造成数据冗余现象。实际上，共享协议规定局域网内的每台启用了文件及打印机共享服务的计算机在启动的时候必须主动向所处网段广播自己的 IP 和对应的 MAC 地址，然后由某台计算机（通常是局域网内某个工作组里第一台启动的计算机）承担接收并保存这些数据的角色，这台计算机就被称为“浏览主控服务器” ，它是工作组里极为重要的计算机，负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表，为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务，它的标识是含有_MSBROWSE_名字段。这就是我们能在网络邻居看到其他计算机的来由，它实际上是一个浏览列表，用户可以使用“nbtstat -r”来查看在浏览主控服务器上声明了自己的 NetBIOS 名称列表。 浏览列表记录了整个局域网内开启的计算机的资源描述，当我们要访问另一台计算机的共享资源时，系统实际上是通过发送广播查询浏览主控服务器，然后由浏览主控服务器提供的浏览列表来“发现”目标计算机的共享资源的。 但是仅知道彼此的地址还不够，计算机之间必须建立一条连接的数据链路才能正常工作，这就需要另一个基本协议来进行了。NetBIOS（网络基本输入输出系统）协议是 IBM 开发的用于给局域网提供网络以及其他特殊功能的命令集，几乎每个局域网都必须在这种协议上面进行工作，NetBIOS 相当于 Intranet 上的 TCP/IP 协议。而后推出的 NetBEUI 协议（NetBIOS 用户扩展接口协议）则是对前者进行了功能扩充，这几个协议都是组成局域网的基本必备，最后，为了建立连接，局域网还需要 TCP/IP 协议。 2. Windows 下的局域网共享 Windows 系统对于局域网内机算机的身份和权限验证是在一个被称为“IPC” （命名管道）的组件技术上实现的，它实质上是Windows 为了方便管理员从远方登录管理计算机而设置的，在局域网里它也负责文件的共享和传输，所以它是 Windows 局域网不可缺的基础组件。 默认情况下，局域网之间的共享服务通过来宾帐户“Guest”的身份进行，这个帐户在 Windows 系统里权限最少，为方便阻止来访者越权访问提供了基础，同时它也是资源共享能正常进行的最小要求，任何一台要提供局域网共享服务的计算机都必须开放来宾帐户，命令是“net user guest /active:yes” 。 除了使用 IPC 作为身份验证，系统还使用 SMB（Server Message Block）协议用来做文件共享，这个协议与共享存在很大联系，稍后我们将会讲到。 二. 局域网共享的实现 虽然我们可以把局域网定义为“一定数量的计算机通过互连设备连接构成的网络” ，但是仅仅使用网卡让计算机构成一个物理连接的网络还不能实现真正意义的局域网，它还需要进行一定的协议设置，才能实现资源共享。 首先，同一个局域网内的计算机 IP 地址应该是分布在相同网段里的，虽然以太网最终的地址形式为网卡 MAC 地址，但是提供给用户层次的始终是相对好记忆的 IP 地址形式，而且系统交互接口和网络工具都通过 IP 来寻找计算机，因此为计算机配置一个符合要求的IP 是必须的，这是计算机查找彼此的基础，除非你是在 DHCP 环境里，因为这个环境的 IP 地址是通过服务器自动分配的。 其次，要为局域网内的机器添加“交流语言”局域网协议，包括最基本的 NetBIOS 协议和 NetBEUI 协议，然后还要确认“Microsoft 网络的文件和打印机共享”已经安装并为选中状态，然后，还要确保系统安装了“Microsoft 网络客户端” ，而且仅仅有这个客户端，否则很容易导致各种奇怪的网络故障发生。 然后，用户必须为计算机指定至少一个共享资源，如某个目录、磁盘或打印机等，完成了这些工作，计算机才能正常实现局域网资源共享的功能。 最后，计算机必须开启 139、445 这两个端口的其中一个，它们被用作 NetBIOS 会话连接，而且是 SMB 协议依赖的端口，如果这两个端口被阻止，对方计算机访问共享的请求就无法回应。 但是并非所有用户都能很顺利的享受到局域网资源共享带来的便利，由于操作系统环境配置、协议文件受损、某些软件修改等因素，时常会令局域网共享出现各种各样的问题，如果你是网络管理员，就必须学习如何分析排除大部分常见的局域网共享故障了。 三. 局域网共享故障的分析与排除 IPC、Server 服务与共享故障 临近毕业了，学生小王找了一家平面设计公司作为实习单位，这天办公室有同事急匆匆找网络部索要杀毒软件，但不凑巧管理员外出未归，小王为人比较热心，虽然自己不是学网络专业的，可是想想也略懂皮毛，就自告奋勇去帮忙了，幸好只是个小病毒，他轻易就解决了，在同事的夸奖下，小王心血来潮顺便给她做了系统优化。 可是才过十几分钟，那个同事又出来找网络部了，她说自己的机器被小王摆弄后无法打开别人计算机的共享了，这下，小王第一次明白了什么叫好心的后果 我在前面说起 Windows 的局域网共享时，提到了IPC（Internet Process Connection） ，IPC 是 NT 以上的系统为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用，微软把它用于局域网功能的实现，如果它被关闭，计算机就会出现“无法访问网络邻居”的故障。 在 Windows NT 以后的系统里，IPC 是依赖于 Server 服务运行的，一些习惯了单机环境的用户可能会关闭这个服务，这样的后果就是系统将无法提供与局域网有关的操作，用户无法查看别人的计算机，也无法为自己发布任何共享。 要确认 IPC 和 Server 服务是否正常，可以在命令提示符里输入命令 net share，如果 Server 服务未开启，系统会提示“没有启动 Server 服务。是否可以启动? (Y/N) Y:” ，回车即可以启动Server 服务。如果 Server 服务已开启，系统会列出当前的所有共享资源列表，其中至少要有名为“IPC$”的共享，否则用户依然无法正常使用共享资源。 除了 Server 服务以外，还有两个服务会对共享造成影响，分别是“Computer Browser”和“TCP/IP NetBIOS Helper Service” ，前者用于保存和交换局域网内计算机的 NetBIOS 名称和共享资源列表，当一个程序需要访问另一台计算机的共享资源时，它会从这个列表里查询目标计算机，一旦该服务被禁止，IPC 就认定当前没有可供访问的共享资源，用户自然就没法访问其他计算机的共享资源了；后者主要用于在 TCP/IP 上传输的 NetBIOS 协议（NetBT）和NetBIOS 名称解析工作，NetBT 协议为跨网段实现 NetBIOS 命令传输提供了载体，正因如此，早期的黑客入侵教材里“关于 139 端口的远程入侵”才能实现，因为 NetBIOS 协议被 TCP 封装起来通过Internet 传输到对方机器里处理了，同样对方也是用相同途径实现数据传输的，否则黑客们根本无法跨网段使用网络资源映射指令“net use” 。对于本地局域网来说，NetBT 是 SMB 协议依赖的传输媒体，也是相当重要的。 如果这两个服务异常终止，局域网内的共享可能就无法正常使用，这时候我们可以通过执行程序“services.msc”打开服务管理器，在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服务并点击“启动”即可。 系统安全策略与共享故障 熟悉 Windows 系统的用户或多或少都会接触到“组策略”（gpedit.msc） ，这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限，但是这里的设置失误也会影响到局域网共享资源的使用。 由于 IPC 本身就是用于身份验证的，因此它对计算机账户的配置特别敏感，而组策略里偏偏就有很多方面的设置是针对计算机账户的，其中影响最大的要数“计算机配置 Windows 配置 安全设置 本地策略 用户权利指派”里的“拒绝从网络访问这台计算机” ，在 Windows 2000 系统里默认是不做任何限制的，可是自从 XP 出现后，这个部分就默认多了两个帐户，一个是用于远程协助（也就是被简化过的终端服务）身份登录的 3389 用户名，另一个则是我们局域网共享的基本成员 guest！ 许多使用 XP 系统的用户无法正常开启共享资源的访问权限，正是这个项目的限制，解决方法也很容易，只要从列表里移除“Guest”帐户就可以了。 除了与帐户相关的策略，这里还有几个与 NetBIOS 和 IPC 相关的组策略设置，它们是位于“计算机配置 Windows 配置 安全设置 本地策略 安全选项”里的“对匿名连接的额外限制”（默认为“无” ） ，对于 XP 以上的系统，这里还有“不允许 SAM 账户和共享的匿名枚举” （默认为“已停用” ） 、 “本地账户的共享和安全模式” （默认为“仅来宾” ） ，其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的，当它被设置为“不允许枚举”时，其他计算机就无法获取共享资源列表，如果它被设置为“没有显式匿名权限就无法访问”的话，这台计算机就与共享功能彻底告别了，所以有时候实在找不出故障，不妨检查一下该项目。 权限与共享的冲突 如今的局域网普遍建立在 Windows 2000 以上的系统架构上运行，而且 IPC 的作用本来就是为了提供身份验证，因而共享始终离不开权限的影子，何况如果系统不会把文件共享的访问身份设置为最小权限的来宾帐户的话，别有用心的访问者就能轻易夺取管理员级别了。但是也正因为这样，一些时候权限反而会成为阻挠共享顺利进行的罪魁祸首。 防火墙与共享的矛盾 现在基本上已经没有一台计算机是不曾安装网络防火墙和病毒防火墙的了，可是用户在众多的墙里享受安全特性的时候，偶尔也会发