不知道在什麼時候,關閉windows系統中的c$、d$、ipc$等默認共享成為了最基本的安全防范措施,驚弓之鳥們紛紛響應號召,向默認共享宣戰。然而存在是有理由的,默認共享的存在同樣如此。你可知道盲目地關閉這些默認共享會帶來某些非常嚴重的危害嗎?下面就介紹關閉默認共享後可能出現的典型問題以及如何解決這些問題的方法。
默認共享利弊共存
默認共享是windows2000及其以上操作系統在安裝完成後自動打開的共享。只要我們知道了網絡中的一台計算機的管理員賬號就可以通過默認共享訪問該計算機中的資源。
微軟推出默認共享是為了方便管理員管理網絡中的計算機,特別是在建立域的網絡專門有幾個默認共享用於存儲用戶配置文件。然而任何事有利就有弊,在開啟默認共享方便管理的同時也給計算機帶來了安全隱患。如果知道了管理員賬戶與密碼,那麼任何人都能訪問別人的計算機。這也是為什麼有點安全常識的人都會將默認共享關閉的原因。
危害:默認共享不能隨意關
既然微軟為我們提供了默認共享的功能,自然有它的作用,就好比我們為房間安裝了鎖一樣,只有擁有了合法的鑰匙(管理員權限)才能夠打開房間大門。如果我們將該鎖卸掉的話,原本可以正常出入的人員也無法進入了。因此關閉默認共享的危害與上面提到的例子一樣,在防止非法用戶進入系統的同時,合法用戶的訪問也被阻斷。
在實際工作中我們可能經常使用“netshare默認共享名/delete”命令將對應的默認共享關閉,或者編輯注冊表中的hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters,將lanmanserver\parameters子項中的autoshareserver和autosharewks數值配置為1。這樣系統啟動後將關閉原本開放的默認共享。以後,運行netshare命令時,我們查看本地計算機共享信息時會找不到任何共享資源。
也許有的人關閉了默認共享,在實際使用中並沒有出現任何故障。實際上默認共享只在某些情況下用到,關閉默認共享並不會影響上網聊天、收發郵件等普通操作,不過對於域控制器或網絡中使用了c/s類型的軟件等環境來說,盲目刪除默認共享帶來的危害是巨大的,下面,就從眾多故障中選出幾個有代表性的為大家分析,5自學網,希望引起大家對默認共享的重視。
現象1:
危害指數:★★★★
危害對象:欲登錄域環境的客戶機
出現環境:域環境
將域控制器上的默認共享全部關閉後,當網絡中有客戶端計算機想加入這個域時,則會出現問題。現象為windows98或microsoftwindowsmillenniumedition的客戶端計算機登錄到域時會出現“域登錄密碼不正確”、“沒有權限登錄域”等提示。一些windows2000或windowsxp的計算機登錄到網絡時也可能出現“域服務器不可用”等信息。如果我們手工將計算機加入域時會出現“域控制器名稱沒找到”的提示。
出現上述信息後,我們的客戶機根本無法加入建立的域中,只能進行本機登錄,在安全性和管理性上都無法達到統一,使企業網絡管理無法正常進行,自學教程,規劃好的域無法運行。
為什麼客戶端無法正常加入到域中呢?究其原因是客戶機在尋找域控制器時是通過廣播查找netlogon$這個默認共享的,如果此共享被關閉則會出現故障。
現象2:
危害指數:★★★
危害對象:網絡共享服務
出現環境:工作組環境、域環境
在網絡中任意一台計算機上禁止所有默認共享後,在網絡中其他計算機上使用unc路徑、映射的驅動器、netuse命令、netview命令或通過在“網上鄰居”中浏覽網絡,以遠程方式訪問或查看關閉默認共享的計算機時會收到“遠程服務器不容許訪問”、“系統53錯誤,網絡路徑不可達”等信息。
出現上述信息後,網絡中的其他計算機就無法訪關閉默認共享的計算機。
現象3:
危害指數:★★
危害對象:wins服務
出現環境:普通網絡、域環境
在關閉默認共享的計算機上wins服務可能無法啟動或者wins控制台顯示紅色的叉,更有甚者兩個故障同時存在。雖然wins服務在當前網絡中應用的范圍越來越少,但是通過wins服務我們還可以大大加快局域網中主機名的解析速度。wins服務無法啟動或者wins控制台顯示紅叉,那麼在解析主機名過程中會出現問題。
wins服務的異常也是我們將默認共享關閉了所帶來的,關閉默認共享會使wins相關服務與組件的運行出現問題。
現象4:
危害指數:★★★★★
危害對象:內網安全體制
出現環境:普通網絡
網絡中使用了瑞星網絡版殺毒軟件,在使用中將服務器端的默認共享關閉後,客戶端出現無法正常連接到瑞星殺毒服務器的現象,同時,服務器也無法正常檢測客戶端的漏洞以及控制客戶端升級等操作。
上述故障自然也是將默認共享關閉造成的,瑞星網絡版通過默認共享的admin$來管理計算機,當客戶機的admin$關閉後服務器將無法通過自身的掃描模塊尋找到客戶機以及它們的漏洞,關閉服務器的admin$後則會出現客戶機無法找到網絡中的瑞星殺毒服務器的問題。
值得注意的是,該問題不僅出現在網絡版瑞星殺毒軟件上,對於從多數網絡版殺毒軟件來說盲目關閉默認共享都可能帶來此危害,甚至某些網絡管理軟件也會因為admin$的關閉而無法工作。
恢復開啟默認共享
產生上述危害的原因就是關閉了默認共享,一方面是由於人為的關閉了共享,另一方面還可能是病毒或惡意程序非常關閉了這些共享。所以對於默認共享,建議大家還是不要隨意關閉為好。恢復的方法很簡單,按以下幾步進行設置即可。
第一步:檢查autoshareserver和autosharewks注冊表值,以確保未將它們設置為0。依次點擊“開始-->運行”,輸入regedit,然後按回車鍵進入注冊表編輯器。
第二:找到並單擊hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters。
第三步:如果lanmanserver\parameters子項中的autoshareserver和autosharewksdword值配置的數值為0,則將該值更改為1。
第四步:重新啟動計算機。通常運行windowsserver2003、windowsxp、windows2000的計算機會在啟動過程中自動創建。
第五步:啟動計算機後,我們可以通過運行cmd進入命令模式,然後運行netshare,在共享列表中應該會查找到admin$、c$和ipc$等默認共享的存在。
提示:如果發現按照上述設置,默認共享還沒有出現的話,那麼很有可能是病毒或非法程序破壞了系統,我們需要用更新了最新病毒庫的殺毒軟件在安全模式下掃描整個系統。
另外還有一些其他的方法,例如關閉server服務、在網卡上去掉microsoft客戶端驅動、以及在網上上去掉“文件和打印共享”選項等都可關閉默認共享。當使用這些方法關閉默認共享後出現上述問題時,就需要通過開啟相應的server服務,在網卡中添加相應驅動或選項來恢復默認共享。
如何關閉默認共享是網管們經常探討的問題,不過既然現在我們知道了關閉默認共享也會帶來一定的危害,那麼是否關閉就要慎重考慮了。我們可以根據實際情況自行取捨,一般在域環境中或網絡中安裝了網絡版殺毒軟件、程序的時候,還是應該保留這些默認共享,畢竟很多軟件對網絡的訪問與使用都建立在默認共享的基礎之上。