进入注册表不知道在什么时候,关闭Windows系统中的C$、D$、IPC$等默认共享成为了最基本的安全防范措施,惊⼸之鸟们纷纷响应号召,向默认共享宣战。然⽽存在是有理由的,默认共享的存在同样如此。你可知道盲⽬地关闭这些默认共享会带来某些⾮常严重的危害吗?看来⼤家还不知道,没关系,本⽂会为各位读者介绍关闭默认共享后可能出现的典型问题以及如何解决这些问题的⽅法。现在,让我们⾛近默认共享。
默认共享利弊共存
默认共享是Windows 2000及其以上操作系统在安装完成后⾃动打开的共享。只要我们知道了⽹络中⼀台计算机的管理员账号就可以通过默认共享访问该计算机中的资源。
微软推出默认共享是为了⽅便管理员管理⽹络中的计算机,特别是在建⽴域的⽹络专门有⼏个默认共享⽤于存储⽤户配置⽂件。然⽽任何事有利就有弊,在开启默认共享⽅便管理的同时也给计算机带来了安全隐患。如果知道了管理员账户与密码,那么任何⼈都能访问别⼈的计算机。这也是为什么有点安全常识的⼈都会将默认共享关闭的原因。
危害默认共享不能随意关
既然微软为我们提供了默认共享的功能,⾃然有它的作⽤,就好⽐我们为房间安装了锁⼀样,只有拥有了
合法的钥匙(管理员权限)才能够打开房间⼤门。如果我们将该锁卸掉的话,原本可以正常出⼊的⼈员也⽆法进⼊了。因此关闭默认共享的危害与上⾯提到的这个例⼦⼀样,在防⽌⾮法⽤户进⼊系统的同时,合法⽤户的访问也被阻断。
在实际⼯作中我们可能经常使⽤“net share 默认共享名 /delete”命令将对应的默认共享关闭,或者编辑注册表中的HKEY_LOCAL_MACHINE_System_CurrentControlSetServices_LanmanServerParameters,将LanmanServerParameters ⼦项中的 AutoShareServer和AutoShareWks数值配置为1。这样系统启动后将关闭原本开放的默认共享。以后,运⾏net share命令时,我们查看本地计算机共享信息时会不到任何共享资源(图1)。
也许有的读者关闭了默认共享,在实际使⽤中并没有出现任何故障。实际上默认共享只在某些情况下⽤到,关闭默认共享并不会影响上⽹聊天、收发邮件等普通操作,不过对于域控制器或⽹络中使⽤了C/S类型的软件等环境来说,盲⽬删除默认共享带来的危害是巨⼤的。下⾯,笔者就从众多故障中选出⼏个有代表性的为各位读者进⾏分析,希望引起⼤家对默认共享的重视。
现象1
危害指数:★★★★
危害对象:欲登录域环境的客户机
出现环境:域环境
笔者将域控制器上的默认共享全部关闭后,当⽹络中有客户端计算机想加⼊这个域时,则会出现问题。现象为Windows 98或Microsoft Windows Millennium Edition的客户端计算机登录到域时会出现“域登录密码不正确”、“没有权限登录域”等提⽰。⼀些Windows 2000或Windows XP的计算机登录到⽹络时也可能出现“域服务器不可⽤”等信息。如果我们⼿⼯将计算机加⼊域时会出现“域控制器名称没到”的提⽰。
出现上述信息后,我们的客户机根本⽆法加⼊建⽴的域中,只能进⾏本机登录,在安全性和管理性上都⽆法达到统⼀,使企业⽹络管理⽆法正常进⾏,规划好的域⽆法运⾏。
为什么客户端⽆法正常加⼊到域中呢?究其原因是客户机在寻域控制器时是通过⼴播查NETLOGON$这个默认共享的,如果此共享被关闭则会出现故障。
现象2
危害指数:★★★
危害对象:⽹络共享服务
出现环境:⼯作组环境、域环境
在⽹络中任意⼀台计算机上禁⽌所有默认共享后,在⽹络中其他计算机上使⽤UNC 路径、映射的驱动器、net use命令、net view命令或通过在“⽹上邻居”中浏览⽹络,以远程⽅式访问或查看关闭默认共享的计算机时会收到“远程服务器不容许访问”、“系统53错误,⽹络路径不可达”等信息。
出现上述信息后,⽹络中的其他计算机就⽆法访问关闭默认共享的计算机。
现象3
危害指数:★★
危害对象:WINS服务
出现环境:普通⽹络、域环境
在关闭默认共享的计算机上WINS服务可能⽆法启动或者WINS控制台显⽰红⾊的叉,更有甚者两个故障同时存在。虽然WINS服务在当前⽹络中应⽤的范围越来越少,但是通过WINS服务我们还是可以⼤⼤加快局域⽹中主机名的解析速度。WINS服务⽆法启动或者WINS控制台显⽰红叉,那么在解析主机名过程中会出现问题。
WINS服务的异常也是我们将默认共享关闭了所带来的,关闭默认共享会使WINS相关服务与组件的运⾏出现问题。
现象4
危害指数:★★★★★
危害对象:内⽹安全体制
出现环境:普通⽹络
⽹络中使⽤了瑞星⽹络版杀毒软件,在使⽤中将服务器端的默认共享关闭后,客户端出现⽆法正常连接瑞星杀毒服务器的现象,同时,服务器也⽆法正常检测客户端的漏洞以及控制客户端升级等操作。
上述故障⾃然也是将默认共享关闭造成的,瑞星⽹络版通过默认共享admin$来管理客户机,当客户机的admin$关闭后服务器将⽆法通过⾃⾝的扫描模块寻客户机以及它们的漏洞,关闭服务器的admin$后则会出现客户机⽆法到⽹络中的瑞星杀毒服务器的问题。
值得注意的是,该问题不仅出现在⽹络版瑞星杀毒软件上,对于⼤多数⽹络版杀毒软件来说盲⽬关闭默认共享都可能带来此危害,甚⾄某些⽹络管理软件也会因为admin$的关闭⽽⽆法⼯作。
恢复开启默认共享
既然我们曾经盲⽬地把房间的锁换掉,使房间的主⼈⽆法进⼊,那么现在就得马上做亡⽺补牢的⼯作,将换掉的“锁”进⾏恢复,让合法的主⼈能够在户内户外闲庭信步。
产⽣上述危害的原因就是关闭了默认共享,⼀⽅⾯是由于⼈为的关闭了共享,另⼀⽅⾯还可能是病毒或恶意程序⾮法关闭了这些共享。所以对于默认共享,笔者建议各位读者还是不要随意关闭为好。恢复的⽅法很简单,按以下⼏步进⾏设置即可。
第⼀步:检查AutoShareServer和AutoShareWks注册表值,以确保未将它们设置为0。依次点击“开始→运⾏”,输⼊regedit,然后按回车键进⼊注册表编辑器。
第⼆步:到并单击HKEY_LOCAL_MACHINE_System_CurrentControlSetServices_LanmanServerParameters。
第三步:如果LanmanServerParameters⼦项中的AutoShareServer 和AutoShareWks DWORD值配置的数值为0,则将该值更改为1(图2)。
第四步:重新启动计算机。通常运⾏Windows Server 2003、Windows XP、Windows 2000的计算机会在启动过程中⾃动创建。
第五步:启动计算机后,我们可以通过运⾏CMD进⼊命令⾏模式,然后运⾏net share,在共享列表中应
该会查到Admin$、C$和IPC$等默认共享的存在。
提⽰:如果发现按照上述设置,默认共享还没有出现的话,那么很有可能是病毒或⾮法程序破坏了系统,我们需要⽤更新了最新病毒库的杀毒软件在安全模式下扫描整个系统。
另外还有⼀些其他的⽅法,例如关闭Server服务、在⽹卡上去掉Microsoft客户端驱动、以及在⽹卡上去掉“⽂件和打印共享”选项等都可关闭默认共享。当使⽤这些⽅法关闭默认共享后出现上述问题时,就需要通过开启相应的Server服务,在⽹卡中添加相应驱动或选项来恢复默认共享。
如何关闭默认共享是⽹管们经常探讨的问题,不过既然现在我们知道了关闭默认共享也会带来⼀定的危害,那么是否关闭就要慎重考虑了。我们可以根据实际情况⾃⾏取舍,⼀般在域环境中或⽹络中安装了⽹络版杀毒软件、程序的时候,还是应该保留这些默认共享,毕竟很多软件对⽹络的访问与使⽤都建⽴在默认共享的基础之上。
发布评论