解決工作組環(huán)境下ＸＰ互訪之疑惑

摘要：對(duì)工作組環(huán)境下XP互訪進(jìn)行了研究，描述了訪問(wèn)共享資源需要經(jīng)過(guò)的步驟，并分析了訪問(wèn)失敗了原因和尋求解決問(wèn)題的方法。

關(guān)鍵詞：身份驗(yàn)證；策略審核；權(quán)限檢查

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)32-1221-02

Working Group to Address Climate of Suspicion Visits XP

DING Zhi-yun

(Jiangsu Yancheng technician institute， Yancheng 224001， China)

Abstract: Working Group on the Environment XP visits have been studied， described the visit to share resources to go through the steps， and failed to visit analyzes the causes and find a solution to the problem.

Key words: identity validation;policy cognizance;power examination

1 引言

如今家庭用戶安裝操作系統(tǒng)還是喜歡XP，主要原因有兩個(gè)：一是功能簡(jiǎn)單；二是界面美觀。但裝有XP操作系統(tǒng)的機(jī)器在組建局域網(wǎng)的時(shí)候也出現(xiàn)了若干令人頭疼的問(wèn)題，在我的印象之中問(wèn)題最多的莫過(guò)于XP操作系統(tǒng)之間互訪問(wèn)題。

俗話說(shuō)：解鈴還需系鈴人，只有了解了XP互訪過(guò)程的原理才能解決我們的困惑。首先要明確一點(diǎn)：何為工作組，所謂工作組就是幾臺(tái)機(jī)器的地位是平等的，不是cs模式，也不是域環(huán)境模式。如此一來(lái)在地址欄中輸入\\\\對(duì)方IP地址或者\(yùn)\\\對(duì)方netbios名便需要輸入用戶名和密碼才能訪問(wèn)，而在域環(huán)境在是不需要輸入用戶名和密碼進(jìn)行驗(yàn)證的，因?yàn)樵谟颦h(huán)境下用戶名和密碼都是保存在域控制器上的。當(dāng)然了如果工作組中的機(jī)器全是2000或者2003那倒好辦了，而XP的網(wǎng)絡(luò)環(huán)境卻又一樣，其中安全因素便是其中一個(gè)很重要的方面。

2 網(wǎng)絡(luò)環(huán)境

兩臺(tái)裝有xp操作系統(tǒng)的機(jī)器，一臺(tái)機(jī)器名為A，IP地址為10.0.0.1；另一臺(tái)機(jī)器名為B，IP地址為10.0.0.2。在A和B中都有一相同的用戶名為admin1，密碼為123。兩臺(tái)機(jī)器連在一臺(tái)HUB或交換機(jī)上。

3 四道關(guān)卡

首先我們需要了解A要成功訪問(wèn)B的共享資源需要經(jīng)過(guò)以下四道關(guān)卡，如果中途失敗一步，那么訪問(wèn)將以失敗告終。四道關(guān)卡如下：1) 協(xié)議和端口，組件和服務(wù)；2) 用戶身份驗(yàn)證；3) 本地安全策略審核；4) 權(quán)限檢查。

3.1 協(xié)議和端口，組件和服務(wù)

在圖1中我們可以了解到“Microsoft文件和打印共享”服務(wù)既可走兩條大的路：一是tcp/ip協(xié)議路線，二是NETBEUI協(xié)議路線。如要走TCP/IP協(xié)議路線我們可借助兩種方式，一是走傳統(tǒng)的NetBT協(xié)議（NetBT指netbios over tcp/ip）需要開(kāi)放的端口是UDP137，UDP138，TCP139；二是直接走TCP445端口。

3.1.1實(shí)驗(yàn)一

B機(jī)關(guān)閉TCP139和TCP445端口，A機(jī)以admin1登陸并在地址欄中輸入\\\\10.0.0.2試圖訪問(wèn)B機(jī)共享失敗。對(duì)于2000和XP客戶端來(lái)說(shuō)如果在允許NBT的情況下連接服務(wù)器時(shí)，A會(huì)同時(shí)嘗試訪問(wèn)B的139和445端口，如果445端口有響應(yīng)，那么A就發(fā)送RST包給B的139端口斷開(kāi)連接，用455端口進(jìn)行會(huì)話，當(dāng)445端口無(wú)響應(yīng)時(shí)，才使用139端口，如果兩個(gè)端口都沒(méi)有響應(yīng)，則會(huì)話失敗；如果B禁止NBT，那么A只會(huì)嘗試訪問(wèn)445端口，如果445端口無(wú)響應(yīng)，則會(huì)話失敗。關(guān)閉這兩個(gè)端口的方法大致有如下幾種：一是通過(guò)IPSEC安全策略，二是禁止server服務(wù)，三是不勾選\"Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享\"，四是放火墻策略限制。

3.1.2 實(shí)驗(yàn)二

B機(jī)器以admin1用戶登陸，禁止NetBT協(xié)議，這樣一來(lái)A想訪問(wèn)B的共享資源只能通過(guò)\\\\10.0.0.2而不能通過(guò)\\\\B來(lái)訪問(wèn)。原因是禁止NetBT協(xié)議將會(huì)導(dǎo)致UDP137，UDP138，TCP139被關(guān)閉，關(guān)閉了端口UDP137，UDP138將不能將NetBios名字解析為IP地址，但此時(shí)為什么輸入\\\\10.0.0.2可以訪問(wèn)？因?yàn)榇藭r(shí)TCP445端口還在開(kāi)放，A可以通過(guò)訪問(wèn)B的445端口來(lái)達(dá)到目的。

3.2 用戶身份驗(yàn)證

我們需要了解兩點(diǎn)：一是客戶機(jī)總是優(yōu)先用自己的登錄帳號(hào)進(jìn)行驗(yàn)證，例如，A用admin1登陸，當(dāng)A訪問(wèn)B的共享資源時(shí)它會(huì)先嘗試用用戶名admin1和密碼123到B上驗(yàn)證。二是：由B決定是否將A的用戶身份映射為GUEST。那何為將A的用戶身份映射為GUEST？具體要分為B啟用了簡(jiǎn)單文件共享和B沒(méi)有啟用簡(jiǎn)單文件共享。

3.2.1 B啟用簡(jiǎn)單文件共享

啟用簡(jiǎn)單文件共享下身份驗(yàn)證步驟如下：1.確認(rèn)啟用簡(jiǎn)單文件共享模式，打開(kāi)“文件夾選項(xiàng)”，“查看”，確保勾選“使用簡(jiǎn)單文件共享”；2.如果服務(wù)器配置了簡(jiǎn)單文件共享，客戶機(jī)會(huì)被映射為GUEST用戶，并以GUEST用戶的身份進(jìn)入“安全策略審核”（GUEST帳戶要啟用）；3.如果沒(méi)有配置過(guò)簡(jiǎn)單文件共享，則會(huì)彈出圖2的灰色用戶名(GUEST)的身份驗(yàn)證對(duì)話框，不過(guò)在這個(gè)對(duì)話框中隨便你輸入什么密碼都無(wú)效，也不管你GUEST帳戶開(kāi)啟或是關(guān)閉，大家都稱這個(gè)對(duì)話框具有安慰性質(zhì)。

3.2.2 B沒(méi)有啟用簡(jiǎn)單文件共享

禁止簡(jiǎn)單文件共享下身份驗(yàn)證步驟如下：1)A機(jī)器以用戶名admin1密碼123到B機(jī)器驗(yàn)證，如果B機(jī)器上存在相同的用戶名admin1，并且密碼為123則客戶機(jī)以admin1的身份進(jìn)入“安全策略審核”；2)如果B上存在admin1但是密碼不相同，或者根本就不存在admin1，而且B上的GUEST用戶被禁止，則會(huì)彈出圖3對(duì)話框要求你輸入正確的用戶名和密碼，然后再將用戶名和密碼發(fā)到B機(jī)器上去驗(yàn)證；相反如果B上的GUEST用戶被啟用，則A直接以GUEST用戶的身份進(jìn)入“安全策略審核”。

3.3 本地安全策略審核

在這里分兩點(diǎn)進(jìn)行討論：1)如果A機(jī)以GUEST用戶身份接受安全策略審核，則會(huì)分別經(jīng)過(guò)如下兩策略，策略2：本地策略，用戶權(quán)利指派，“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”；策略3：本地策略，用戶權(quán)利指派，“從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)” 。其中需要說(shuō)明的是這兩策略是有步驟性的，如果策略2失敗，也就是說(shuō)在也就是說(shuō)“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”中有A中正在登陸的帳號(hào)，即使在“從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)” 中存在此帳號(hào)也是沒(méi)有用的，默認(rèn)原則是拒絕的優(yōu)先權(quán)大于允許的優(yōu)先權(quán)。只有上述兩個(gè)策略都滿足的情況下才能進(jìn)入下一關(guān)卡。2) 如果A以其他用戶（非GUEST）的身份接受安全策略審核，則會(huì)分別經(jīng)過(guò)如下三策略，策略1：本地策略，安全選項(xiàng)，“帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登陸”；策略2：本地策略，用戶權(quán)利指派，“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”；策略3：本地策略，用戶權(quán)利指派，“從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)” ，在圖4中也詳細(xì)地說(shuō)明了限制步驟，只要其中一步出問(wèn)題，那么將導(dǎo)致訪問(wèn)失敗，如果都能順利通過(guò)的話將進(jìn)入下一關(guān)卡：權(quán)限檢查。

3.4 權(quán)限檢查

對(duì)于FAT32來(lái)說(shuō)只有一種情況，對(duì)于NTFS來(lái)說(shuō)有兩種情況。在此我們只討論NTFS的情況，假設(shè)B機(jī)器共享了一個(gè)名為123的文件夾，右擊123文件夾會(huì)出現(xiàn)“共享”和“安全”兩個(gè)選項(xiàng)，其中“共享”選項(xiàng)限制了從網(wǎng)絡(luò)訪問(wèn)此資源的權(quán)限，“安全”選項(xiàng)限制了從本地訪問(wèn)該資源的權(quán)限。具體操作過(guò)程如圖5，圖5中可以很清楚地了解到，A要訪問(wèn)B的123文件夾，B首先會(huì)檢查A正在登陸的帳號(hào)在“共享”選項(xiàng)卡的用戶名或用戶組中存在嗎 ？如果不存在將導(dǎo)致訪問(wèn)失敗，如果存在則B會(huì)檢查A正在登陸的帳號(hào)在“NTFS”選項(xiàng)卡的用戶名或用戶組中存在嗎？如果不存在同樣會(huì)導(dǎo)致訪問(wèn)失敗，如果存在則A將以適當(dāng)?shù)臋?quán)限訪問(wèn)B的共享資源。

4 總結(jié)

到此為止整個(gè)訪問(wèn)過(guò)程結(jié)束。XP操作系統(tǒng)之間互訪必須經(jīng)過(guò)這四步，只要其中任何一步不通過(guò)都將導(dǎo)致訪問(wèn)失敗。其中最容易出問(wèn)題的是關(guān)卡三：本地安全策略審核，不少用戶抱怨不能訪問(wèn)，我想大部分可能就發(fā)生在關(guān)卡三，我認(rèn)為萬(wàn)變不離其宗，只要了解了其驗(yàn)證原理，那么解決工作組環(huán)境下XP互訪將不成問(wèn)題。

參考文獻(xiàn)：

[1] 梁磊.TCP/IP網(wǎng)絡(luò)技術(shù)[M].北京:電子工業(yè)出版社，2004:125-181.

[2] 黃永峰，黃旭.劉源源.Windows server 2003組網(wǎng)技術(shù)[M].北京:機(jī)械工業(yè)出版社，2005:190-231.

[3] 趙松濤，金道謝，張安東.Windows server 2003網(wǎng)絡(luò)配置與高級(jí)管理教程[M].北京:人民郵電出版社，2004:283-363.

[4] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社，1999:279-284.