Solo puedo ver desde Network Neighborhood que no puedo ver otras máquinas en la LAN y otras máquinas no pueden acceder a ella. ¿Cómo puedo solucionarlo?
Algunas preguntas sobre las cuentas de invitado
Para iniciar sesión con una cuenta de invitado, debe abrir la cuenta de invitado. Hay dos formas de abrirlo. Método uno. Mi Computadora-Panel de control-Herramientas administrativas-Administración de computadoras-Usuarios y grupos locales-Usuarios, haga clic derecho en las propiedades del invitado y verifique la cuenta deshabilitada. Método dos. Abra el invitado directamente en Mi PC-Panel de control-Cuentas de usuario, pero cabe señalar que estos dos métodos tienen el mismo efecto en la máquina conectada. Pero todavía existen algunas diferencias para esta máquina, que se mencionarán más adelante.
Un poco de comprensión de los invitados
Primero, tenemos que abordar tres cosas. Dígalo primero y luego utilice la abreviatura. a Abra Invitado en Administración de computadoras-Usuarios y grupos locales-Usuarios. b. Mecanismo de apertura de cuenta de invitado en la cuenta de usuario en el panel de control. c "Denegar el inicio de sesión local desde la red" se encuentra en Mi PC-Panel de control-Herramientas administrativas-Configuración de seguridad-Política de seguridad local-Asignación de derechos de usuario. Mire la siguiente imagen:
a
************************
*Administración de computadoras: usuarios y grupos locales*
*Abrir invitados en usuarios*
****************** ******
b * * c
****************** ******** ************
*Cuentas de usuario en el Panel de control* *Asignación de derechos de usuario de la política de seguridad local*
* *Mecanismo de apertura de cuenta de invitado en *niega inicio de sesión local desde la red
******************* ********************
Nota: Acerca de abrir una cuenta de invitado Hay dos niveles de cuentas. El primer nivel (el nivel más alto) es A, que tiene el mayor poder de control; el segundo nivel es b y c, hablemos de ello ahora. es administrar si se debe activar una cuenta de invitado para esta computadora, ya sea que haya iniciado sesión con una cuenta de invitado localmente o en la red. Si A dice que no estoy permitido, entonces no está bien. Supongamos que se ha abierto A, luego dice Quiero iniciar sesión con una cuenta de invitado en mi propia computadora, luego necesito abrir B para que pueda iniciar sesión con una cuenta de invitado en esta computadora. Luego, permite que otros inicien sesión en su computadora con una cuenta de invitado a través de Internet y puede verlo en c. Si hay un invitado, no puede iniciar sesión y eliminarlo directamente.
Otra pregunta sobre el invitado
"Denegar inicio de sesión local" se encuentra en Mi PC-Panel de control-Herramientas administrativas-Configuración de seguridad-Política de seguridad local-Asignación de derechos de usuario. Descubrí que D y B se comunican entre sí. Por ejemplo, si agrega un invitado para "denegar el inicio de sesión local", la cuenta de invitado en B se cerrará automáticamente. Si vuelve a abrir la cuenta de invitado, el invitado en "Denegar inicio de sesión local" desaparecerá automáticamente. Pero si prohíbe los visitantes en la administración de la computadora, configurarlo en "Denegar inicio de sesión local" es inútil. Las personas cuidadosas encontrarán que en realidad existe un "inicio de sesión local", pero después de mi experimento, descubrí que es inútil y no tiene ningún efecto. Además, de forma predeterminada, los invitados en la administración de computadoras están prohibidos, y hay invitados en "Denegar inicio de sesión local" y "Denegar inicio de sesión desde la red" e "Iniciar sesión localmente".
2. Permitir el acceso a la cuenta de invitado desde la red.
Todo el acceso a la red a computadoras con Windows XP Home Edition o computadoras con Windows XP Professional en un grupo de trabajo utiliza la cuenta de invitado.
Debido al sistema operativo del kernel WinNT, al acceder a una computadora remota, siempre parece intentar usar primero el nombre de usuario y la contraseña locales actuales, lo que puede resultar en inaccesibilidad. Simplemente agregue la contraseña de usuario aquí.
Primero, ¿por qué no puedo acceder a los invitados habilitados?
1. De forma predeterminada, XP desactiva la cuenta de invitado.
2. De forma predeterminada, la política de seguridad local de XP prohíbe a los usuarios invitados acceder a la red.
3. De forma predeterminada, la política de seguridad local de XP-->; "Cuenta: los usuarios con contraseña vacía solo pueden iniciar sesión en la consola" está habilitada en las opciones de seguridad. la red y solo se puede iniciar sesión localmente. La contraseña predeterminada para invitados está vacía. ......
Entonces, si necesita utilizar el usuario Invitado para acceder a XP, debe realizar las tres configuraciones anteriores: habilitar Invitado, modificar la política de seguridad para permitir que Invitado acceda desde la red. , deshabilite la política de seguridad en 3 o agregue una contraseña al invitado.
A veces se encontrará con otra situación: al acceder a XP, el nombre de usuario en el cuadro de diálogo de inicio de sesión es gris, siempre es el usuario invitado y no puede ingresar a otras cuentas de usuario.
La razón es que esta política de seguridad está vigente (Herramientas Administrativas->Política de Seguridad Local->Opciones de Seguridad->"Acceso a la Red: Modo de Acceso y Seguridad para Cuentas Locales"). Por defecto, el modo de acceso de XP es "Sólo Invitado", por lo que si accedes, no podrás ingresar a otras cuentas de usuario como Invitado.
Por lo tanto, la forma más sencilla de acceder a XP es cambiar la política de seguridad anterior a "Clásica" sin habilitar Invitado. Otros sistemas pueden ingresar la información de su propia cuenta al acceder a XP.
En cuanto al acceso a 2003, los invitados están deshabilitados en 2003 de forma predeterminada, pero XP no lo disfruta. Es el molesto modo de invitado predeterminado y contradictorio, que le permite ingresar directamente el nombre de usuario y la contraseña para acceder. .
¿Es necesario abrir una cuenta de invitado al realizar transferencias de vuelos? La respuesta es no, no es necesario abrir una cuenta de invitado incluso si tienes una computadora. Si lo desea, puede incluso iniciar sesión con una cuenta de administrador y simplemente cambiar la configuración relevante. Estas configuraciones son las siguientes:
En Mi Computadora-Panel de control-Herramientas administrativas-Configuración de seguridad-Política de seguridad local-Opciones de seguridad, simplemente cambie "Acceso a la red: Modo de acceso y seguridad para cuentas locales" (predeterminado para Invitado) a "Clásico". Luego, cuando la computadora conectada hace clic en la otra parte, usted mismo puede completar el campo de usuario y podrá iniciar sesión con cualquier usuario abierto en la computadora de la otra parte. Sin embargo, cabe señalar que hay otro elemento en esta opción de seguridad, que es "Cuenta: solo las cuentas locales con contraseñas vacías pueden iniciar sesión en la consola", lo que significa que otras cuentas en la computadora de la otra parte, como la cuenta de administrador, porque la contraseña está vacía y no puedo iniciar sesión. En este momento, puede desactivar esta opción o pedirle a la otra parte que establezca una contraseña para la cuenta en la que necesita iniciar sesión.
En tercer lugar, vincule NETBIOS al protocolo TCP/IP para resolver los nombres de las computadoras.
Compruebe que el componente Servicios de archivo e impresión esté seleccionado. Si no está marcada, el servicio de navegación no estará vinculado a la interfaz NetBIOS. Las computadoras basadas en Windows que se han convertido en navegadores de respaldo y no tienen habilitado el uso compartido de archivos e impresoras no pueden compartir listas de navegación con los clientes. Cualquier computadora que se incluya en la lista de exploración también debe tener habilitado Archivo e Imprimir * * *.
Inicie el servicio "Explorador de computadora"
Cuarto, principios de entorno de red
1.
En Redes Microsoft, los usuarios pueden ver toda la red en la lista de exploración. ¿Subred o dominio de difusión? Puedes pensar en todas las computadoras del mundo. Cuando abre toda la red a través de la ventana Entorno de red, verá una lista de grupos de trabajo. Si abre un grupo de trabajo nuevamente, verá la lista de computadoras dentro (también puede usar el comando net view /domain:workgroupname en modo DOS para. get ), que es lo que llamamos lista de exploración. Básicamente, un grupo de trabajo es un grupo de computadoras que comparten una lista de navegación. Todos los grupos de trabajo son iguales, no existe ninguna regla que diga que todas las computadoras no pueden estar en el mismo grupo de trabajo.
2. ¿Dónde está la lista de exploración?
Una vez vi un debate sobre Kapok. Algunas personas dicen que la lista informática de Vecinos de Internet se obtiene mediante consulta por radio. Alguien puede dar un contraejemplo: todos mis compañeros de clase apagaron sus computadoras, pero todavía puedo verlos en Mis sitios de red. Debe obtenerse del caché de un dispositivo relativamente fijo, como un concentrador o conmutador. De hecho, solo acertaron en un aspecto, y una combinación de sus declaraciones es la respuesta correcta: la lista de navegación la proporciona el servidor principal de navegación a través de una consulta de transmisión.
3. ¿Cuál es el servidor de navegación principal?
El servidor maestro de navegación es el ordenador más importante del grupo de trabajo.
Es responsable de mantener la lista de exploración en el grupo de trabajo y la lista de servidores maestros, especificando otros grupos de trabajo y proporcionando servicios de exploración a otras computadoras en el grupo de trabajo y otras computadoras que acceden al grupo de trabajo. Cada grupo de trabajo selecciona un servidor maestro de navegación para cada protocolo de transporte, y la mayoría de los errores que encontramos a menudo cuando no podemos navegar por la red se deben a que su grupo de trabajo no tiene un servidor maestro de navegación. Puede utilizar el comando NBTSTAT-a computername en un grupo de trabajo para encontrar el servidor maestro de navegación utilizando el protocolo NBT, cuyo logotipo contiene el campo \\_MSBROWSE_name.
4. Explore cómo designar el servidor principal.
De forma predeterminada, el servidor maestro de exploración en el grupo de trabajo win98 es la primera computadora del grupo de trabajo que habilita las funciones de archivo e impresora * * *. También permite la configuración manual de una computadora win como servidor maestro de exploración. (Este método se presentará en detalle más adelante cuando se describa la configuración de la red, pero dado que la navegación en el servidor principal debe mantener una lista de navegación dinámica, el rendimiento se verá afectado). Si hay varias computadoras en un grupo de trabajo que tienen esta opción configurada, o si el servidor maestro de navegación actual está inactivo y ninguna otra computadora tiene el servidor maestro habilitado.
5. ¿Cómo elegir navegar por el servidor principal a través del navegador?
En cuanto a las noticias sobre las elecciones del navegador, Bao no estaba seguro, así que tuve que seguir lo que había en el libro. De hecho, el proceso es muy sencillo. Primero, la computadora envía un mensaje clave electoral, que contiene información de la computadora emisora (*sistema, versión y nombre de la red, etc.) y transmite el mensaje electoral a la red. Cada computadora del grupo de trabajo utilizará su propia información y mensajes electorales para comparar prioridades. El sistema * juega un papel importante y parece ser NT. NT workstation, gtWin98 y gtWFWG son, en última instancia, los más calificados para convertirse en el nuevo servidor de navegación principal.
6. ¿En qué consiste todo el proceso de navegación web?
Cuando un win98 ingresa a la red, si tiene un servicio de servidor (archivos e impresoras están habilitados), transmitirá a la red para anunciar su existencia. El servidor principal de navegación obtendrá este anuncio y lo pondrá. en las listas de Navegación mantenidas por él mismo; las computadoras que no estén vinculadas a archivos e impresoras en los protocolos correspondientes no se publicarán, por lo que no aparecerán en Entornos de Red.
Cuando una computadora cliente desea obtener una lista de los recursos de red necesarios, primero transmite una solicitud de exploración. Después de que el servidor de navegación principal recibe la solicitud, si es la lista de navegación del grupo, enviará directamente la lista de recursos requeridos por el cliente. Si la solicitud es para la lista de navegación de otro grupo de trabajo, el servidor de navegación principal encontrará el navegador principal del grupo de trabajo correspondiente en función de los registros en su propia lista de navegación y se lo devolverá al usuario, desde donde el usuario puede obtener la lista de navegación. él quiere. En cuanto a cómo intercambiar recursos con otra computadora, eso no es lo que vamos a discutir aquí.
Entiendo cómo funciona la navegación web. Déjame contarte una aplicación útil. Muchos estudiantes ahora no permiten que extraños accedan a sus computadoras a través de vecinos en línea por razones de seguridad. Sin embargo, a veces es necesario que compañeros de clase que conocen vean la próxima película, por lo que los archivos y las impresoras no se pueden eliminar. ¿Qué hacemos? Algunas personas agregan $ al título de * * * para lograr un efecto oculto, pero esto se puede ver usando net share en DOS; algunas personas le dan a * * * una contraseña, pero escuché que existe; una manera de descifrarlo, es fácil despertar la curiosidad de los "camaradas hackers". ¿Hay alguna forma de ocultar su máquina en Network Neighborhood? Para los compañeros de clase que conoce, puede pedirles que usen \\IP para acceder.
Si piensas bien, la clave es evitar que tus máquinas se anuncien en la red, y sé que algunos de nosotros lo hemos hecho realidad. En cuanto al método, no me preguntes.
Si el Barrio Online de Microsoft realmente pudiera lograr lo que ves es lo que obtienes, creo que no habría tanta gente quejándose como ahora, pero con la introducción del servicio de navegación, todo el mundo ya sabe que esto es imposible, porque la lista de navegación no se obtiene accediendo a todas las computadoras que hay en ella, y muchas veces las computadoras en la red no pueden actualizar la lista de navegación correctamente. Cuando la computadora se apaga normalmente, enviará una notificación de transmisión a la red para que el servidor de navegación principal pueda eliminarla rápidamente de la lista de navegación; sin embargo, después de un apagado anormal, la entrada permanecerá en la lista de navegación durante mucho tiempo; (45 minutos en NT). Por eso todavía podemos verlo en Network Neighborhood. La estabilidad del 98 es bien conocida: se estrelló antes de cerrarlo.
En el año 2000, SMB podía ejecutarse directamente sobre TCP/IP sin una capa NBT adicional y utilizar el puerto TCP 445. Por lo tanto, el cambio en 2000 debería ser ligeramente mayor que el del NT. NBT (NetBIOS sobre TCP/IP) se puede habilitar o deshabilitar en Conexiones de red/Propiedades/Protocolos TCPIP/Propiedades/Avanzado/WINS.
La tabla de navegación principal mantiene una lista de recursos disponibles basados en NETBLOS, que tiene un mapeo de nombres de NETBLOS a direcciones IP y también contiene información sobre todas nuestras máquinas. El cliente normal se agrega a la lista de navegación principal del navegador principal y le dice: "He venido a esta red". Mi nombre de NETBILOS es Computadora1 y la IP es 192.168.0.1. Cuando abre Network Neighborhood, primero puede encontrar el "navegador maestro" a través de la transmisión. Si no hay un "navegador maestro" o el navegador maestro está cerrado, se seleccionará un "navegador maestro" mediante "elección" en la red. Los principios que deben considerarse en la elección incluyen
1 Sistema operativo
2 Medidas para formular versiones del sistema
3 Roles de la computadora
(Nota: ¡Este proceso puede ser lento! Especialmente en el entorno mixto de 2000 98), después de encontrar el navegador principal, obtenga la lista de navegadores de respaldo del navegador principal y luego obtenga todas las listas del navegador de respaldo (el navegador principal). al realizar una copia de seguridad del navegador) La copia de seguridad almacena una copia de la tabla de exploración). En este punto, todas las computadoras aparecen en Mis sitios de red.
El proceso de navegación del cliente es el siguiente:
1. Agregue el servidor a la lista de exploración publicando un anuncio en el navegador principal.
2. Navegador principal y navegador de respaldo * * * Lista de servidores (dominio) compartidos.
3. El cliente recupera la lista de computadoras con navegador de respaldo del navegador maestro.
4. El cliente se pone en contacto con el navegador de respaldo para recuperar una lista de servidores.
5. El cliente se pone en contacto con el servidor para recuperar una lista de recursos en el servidor.
En la red, para localizar eficazmente los recursos de la red, el servicio de navegación de la red de Microsoft Windows debe ser proporcionado por un "servidor de navegación" específico.
Las funciones del servidor de navegación se dividen en "servidor de navegación principal (de dominio), "servidor de navegación de respaldo" y "servidor de navegación potencial".
El servidor de navegación suele ser una computadora que se inicia primero y luego se puede reemplazar o transferir automáticamente mediante elecciones.
Cada 15 minutos, el navegador principal de cada subred se anuncia a los demás navegadores principales de esa subred.
Cada 12 minutos, el navegador maestro de cada dominio gana contactos para obtener una lista de todos los nombres de dominio.
Cada 12 minutos, cada navegador maestro (subred) contacta al navegador maestro de dominio para actualizar la tabla de navegación.
Cada 12 minutos, cada navegador de respaldo contacta a su navegador maestro local para recuperar y actualizar la tabla de navegación.
Todos los ordenadores con un componente de servidor (es decir, la capacidad de disfrutar de los recursos de la red) se declaran ante el navegador maestro en su dominio local.
La elección del navegador ocurre cuando la subred local no puede encontrar el navegador maestro o el controlador de dominio de inicialización. La elección se determina en función del número de versión y la identidad del sistema operativo.
La mayor parte del tráfico en este proceso es tráfico de difusión. Es por eso que se requiere Wins para utilizar Network Neighborhood correctamente en un entorno de múltiples subredes. Por eso se recomienda encarecidamente utilizar Network Neighborhood lo menos posible en redes corporativas. Su proceso de trabajo determina que en una red relativamente grande y dinámica, está destinado a ser inevitable, con muchos problemas y caos.
Algunos problemas comunes:
1 A veces, aunque la computadora esté apagada, el Entorno de Internet todavía existe: la tabla de navegación no se actualiza.
Todas las máquinas en Network Neighborhood son inaccesibles: el navegador principal falló y aún no se ha seleccionado un nuevo navegador.
Algunas máquinas vecinas de la red no están disponibles.
Quinto, cambie el método de acceso a la red
De forma predeterminada, XP trata a todos los usuarios que inician sesión desde la red como cuentas de invitado, por lo que incluso si los administradores inician sesión desde la red, solo tener permisos de invitado. Si no puedes acceder a ella, intenta cambiar el modo de acceso a la red.
Abra el Editor de políticas de grupo, seleccione Configuración de la computadora → Configuración de Windows → Configuración de seguridad → Políticas locales → Opciones de seguridad, haga doble clic en la política "Acceso a la red: Modo de acceso y seguridad para cuentas locales" y establezca la configuración predeterminada en "Solo invitados - Los usuarios locales se ejecutan como invitados. La "Autenticación" cambió a "Clásico: los usuarios locales se autentican como ellos mismos".
De esta manera, incluso si no es un invitado, puede iniciar sesión en la computadora a la que desea acceder ingresando su cuenta y contraseña locales. La cuenta y contraseña locales son las cuentas y contraseñas existentes. la computadora a la que desea acceder. Si necesita una cuenta y una contraseña para acceder a la red, puede iniciar sesión ingresando su cuenta y contraseña existentes en la computadora a la que desea acceder.
Si no cambia el modo de acceso, es posible que no pueda ingresar el nombre de usuario y la contraseña, y //nombredecomputadora/invitado aparecerá atenuado y no estará disponible. Incluso si la contraseña está en blanco, no puede hacer clic en Aceptar para iniciar sesión sin abrir el invitado. Si cambia al modo clásico, al menos puede ingresar su nombre de usuario y contraseña para iniciar sesión en la computadora a la que desea acceder, tal como lo hizo en 2000 antes de abrir una cuenta de invitado. Tal vez se encuentre con circunstancias especiales, consulte a continuación.
Podemos encontrarnos con otro problema, es decir, cuando la contraseña del usuario está vacía, incluso si realiza todas las modificaciones anteriores, no podrá iniciar sesión y el acceso seguirá siendo denegado. Esto se debe a que la política "Cuentas: solo permitir que las cuentas locales con contraseñas vacías inicien sesión en la consola" está habilitada de forma predeterminada en las "Opciones de seguridad" del sistema. De acuerdo con el principio de prioridad de denegación de la política de seguridad de Windows XP, a los usuarios con contraseñas vacías se les prohibirá acceder a computadoras que utilicen Windows XP a través de la red. Solo necesitamos desactivar esta política para resolver el problema. Busque el elemento "Permitir que solo cuentas locales con contraseñas vacías inicien sesión en la consola" en las opciones de seguridad y simplemente desactívelo. De lo contrario, incluso si enciende el invitado, no podrá iniciar sesión en el modo clásico. Después de los cambios anteriores, es básicamente accesible. Puede intentar elegir el método que más le convenga. A continuación se detallan otros problemas que puede encontrar.
A menos que conozca el nombre o la dirección IP de la computadora buscando o ingresando directamente //nombre de computadora o //IP, es posible que a menudo no vea la computadora a la que desea acceder en Network Neighborhood. Haga lo siguiente: Inicie el servicio Explorador de computadora. El servicio Computer Browser mantiene una lista actualizada de computadoras en la red y proporciona la lista a las computadoras designadas como navegadores. Si se detiene este servicio, la lista no se actualizará ni mantendrá.
!
Existen restricciones de política de seguridad en Win2000/XP.
A veces, Win2000/XP es demasiado inteligente. Aunque hemos habilitado la cuenta de Invitado, todavía no podemos acceder a Win2000/XP desde Win98. Por ejemplo, si utilizamos un parche de vulnerabilidad de firewall como Rising, modificará la política de "denegar el acceso a la red a esta computadora". El método de modificación es el siguiente:
Iniciar->Ejecutar->gpedit. .MSC-& > Configuración de la computadora -> Configuración de Windows -> Políticas locales -> Asignaciones de derechos de usuario -> Eliminar el usuario invitado en "Denegar acceso a esta computadora desde la red".
Intercambio entre Win2000/XP y Win98
Si ambas computadoras usan el sistema operativo Win2000/XP, es muy simple y fácil configurar una LAN. Cuando se completa la conexión del hardware, podrá ver a la otra parte inmediatamente en "Entorno de red" en circunstancias normales. Sin embargo, si las computadoras en la LAN usan Win98, la situación no es necesariamente la misma. A menudo encontramos que, aunque el comando Ping puede pasar, el acceso mutuo entre "vecinos de red" todavía no es posible. ¿Qué debemos hacer en este momento?
Contramedida 1: habilitar el usuario invitado en Win2000/XP. Después de instalar el sistema Win2000/XP, se crearán dos cuentas de usuario de forma predeterminada, a saber, Administrador (administrador del sistema) e Invitado (cuenta de invitado). De forma predeterminada, todos los usuarios que no estén asignados a una cuenta de computadora local utilizarán la cuenta de Invitado, que no tiene contraseña. Sin embargo, esta cuenta de invitado no está habilitada de forma predeterminada.
Podemos encontrar la cuenta "Invitado" en "Panel de control | Herramientas administrativas | Administración de computadoras | Usuarios y grupos locales | Usuarios", hacer clic con el botón derecho del mouse para abrir el cuadro de diálogo "Propiedades de invitado" y eliminar la marca "Deshabilitar cuenta". casilla aquí Marque para que pueda acceder a Win2000/XP desde Win98 después de salir.
De hecho, después de habilitar la cuenta de Invitado, la mayor ventaja es que no necesita ingresar un nombre de usuario y contraseña al acceder a Win2000/XP desde Win98. Este método es más adecuado para redes de área local con usuarios inciertos y mucho tráfico, pero no es adecuado para usuarios domésticos.
-
Contramedida 2: compruebe si existen restricciones de política de seguridad en Win2000/XP. A veces, Win2000/XP es demasiado inteligente. Aunque hemos habilitado la cuenta de Invitado, todavía no podemos acceder a Win2000/XP desde Win98. En este momento, debemos buscar "Acceder a esta computadora desde la red" o "Denegar acceso a esta computadora desde la red" en "Panel de control | Herramientas administrativas | Política de seguridad local | Política local | Asignación de derechos de usuario", y luego verificar si parece.
-
Contramedida 3: Desactivar el firewall de la conexión local. Un firewall es un sistema de seguridad que actúa como límite entre una red y el mundo exterior. Microsoft proporciona a los usuarios un firewall de conexión a Internet (ICF) integrado en WinXP, que puede restringir la entrada de información no segura a la intranet desde el exterior. Sin embargo, si este firewall está habilitado en una conexión local, evitará el acceso mutuo entre grupos de trabajo y "No se puede acceder a XXX", "Es posible que no tenga permiso para usar recursos de red", "Comuníquese con el administrador de este servidor para obtener más información". más información sobre ¿Tiene permiso de acceso?", "Ruta de red no encontrada" y otras indicaciones similares. Desactive el bloqueo del firewall de las conexiones locales en este momento.
-
Contramedida 4: Agregar el protocolo NetBEUI a WinXP. De hecho, a veces es más fácil resolver el problema de la inaccesibilidad mutua agregando directamente el protocolo NetBEUI, y también puede resolver el problema de habilitar el firewall mencionado anteriormente. El protocolo NetBEUI se instalará automáticamente al instalar Win98, pero como WinXP ya no brinda soporte técnico para el protocolo NetBEUI, solo se puede agregar manualmente.
Busque el CD de instalación de WinXP e ingrese a la carpeta "Valueadd\Msft\Net\Netbeui". Hay tres archivos en él: Nbf.sys, Netbeui.txt, netnbf.inf * * *. Primero copie el archivo Nbf.sys a la carpeta "Windows\System32\ Drivers" (aquí la computadora local se refiere a la computadora con WinXP instalado), y luego copie el archivo Netnbf.inf a la carpeta "Windows\INF" del local computadora, el archivo Netbeui.txt es opcional. Sin embargo, la carpeta INF tiene atributos ocultos y los usuarios deben seleccionar "Mostrar archivos" en la ventana "Herramientas | Propiedades" en WinXP para ver el directorio.
-
Contramedida 5: Habilite "Compartir archivos e impresoras" en Win98. Este es un problema muy simple pero que a menudo se pasa por alto, es decir, una máquina equipada con Win2000/XP puede encontrar una máquina equipada con Win98 en "Entorno de red", pero debido a que Win98 no habilita "Permitir que otros usuarios accedan a mis archivos", entonces Inaccesible. Habilitar esta opción resuelve este problema.
Siete sesiones vacías, sobre sesiones vacías
Las sesiones nulas también siguen las reglas anteriores cuando usan puertos. Se estableció una sesión nula con el servidor.
Sin sesión respaldada por confianza. La sesión contiene la información de autenticación del usuario, mientras que la sesión vacía no tiene la información de autenticación del usuario.
El interés también es como el anonimato.
Sin autenticación, es imposible establecer un canal seguro para el sistema, y establecer un canal seguro también es doble. Primero, es
El segundo método consiste en establecer una clave de sesión temporal para que ambas partes puedan usar la sesión para cifrar datos.
Cambiar (por ejemplo, el nivel de autenticación para RPC y COM es PKT_PRIVACY). Ya sea que esté aprobado por NTLM o Kerberos
Después de todo, el manifiesto del certificado está destinado a crear un token que contiene la información del usuario de la sesión. (Este pasaje proviene de Joe Finamoor)
Según el modelo de control de acceso de WIN2000, una sesión nula también requiere un token.
Pero una sesión vacía se debe a que
no hay una sesión autenticada, por lo que el token no contiene información del usuario, por lo que ninguna de las partes que establece la sesión tiene una clave.
Exchange, que tampoco permite enviar información cifrada entre sistemas. Esto no significa que el token de una sesión vacía no contenga el SID. Es
una sesión vacía. El SID del token proporcionado por LSA es S-1-5-7. Este es el SID establecido por la sesión nula. El nombre de usuario es.
Inicio de sesión anónimo. Este nombre de usuario se puede ver en la lista de usuarios. Pero no en la base de datos SAM.
Lo encontré, es una cuenta integrada en el sistema.
(Para el análisis de sesiones vacías en esta sección, consulte "Sesiones vacías en".
NT/2000》/default.aspx?scid = kbEN-US; q121281
p>
Y/default.aspx? scid = kbEN-US; q124184
De hecho, las condiciones para establecer una sesión vacía también son muy estrictas. Debe poder cumplir con los requisitos anteriores, es decir, abrir los puertos TCP
139 y TCP 445. Esto lo podemos ver cerrando estos dos puertos inmediatamente. Los puertos luego se conectan a la sesión vacía. El cliente pretendía que usted se conectara al puerto 445 y luego intentó conectarse al puerto 139. Por supuesto, al final falló. no es suficiente abrir ambos puertos. El servidor también debe abrir IPC $*** Sin IPC***, lo cual
permite a * * * disfrutar del archivo, incluso si los permisos están configurados en. El inicio de sesión anónimo completo no podrá establecer una sesión.
Control. El error de conexión aún tiene permisos insuficientes. Esto es diferente a otras cuentas si desea permitir un mensaje de texto a la carpeta. * puede usar una sesión vacía como IPC$ (con nombre canalización * * *, por lo que necesita modificar el registro:
HKEY_LOCAL_MACHINE\SYSTEM\current control set\Services\lanman server\parameters<). /p>
En \: NullSessionShares,
Agregue un nuevo * * * nombre compartido para establecer una sesión vacía con * * en este momento, no dependerá de la existencia de IPC ni siquiera para más adelante Los avances tampoco son deseables, porque no hay una canalización con nombre IPC$ y RPC no es deseable. Ahora conocemos la implementación específica de IPC, una canalización con nombre)
Aunque los requisitos para establecer sesiones vacías son muy altos. estricto, todos están establecidos por defecto. Debido a que esta es la configuración predeterminada, sigue siendo valiosa para los servidores del sistema WIN2K.
La más obvia es que las sesiones vacías se pueden conectar fácilmente.
Conectarse a otros dominios y enumerar usuarios, máquinas, etc. Este es también el principio de detección de software de escaneo.
1.& gtAlgunas personas agregan un $ al título de * * * para lograr un efecto oculto, pero esto se puede ver usando net share en DOS;
Este ocultamiento es solo una limitación de la vista de red del cliente estándar de Microsoft Windows, no una limitación del servidor o la transmisión de red.
Los procesos se tratan por igual, así que modifique directamente el cliente para eliminar esta restricción o utilice software de cliente de terceros.
Se puede ver el llamado disfrute oculto, como smbclient es un representante típico. Y modifique directamente el cliente de Windows.
Por cierto, Ge Yuan lo publicó en 1999. Lo reimprimí en la Central China Security Edition y todavía está en la sección esencial.
2.& gtAlguien le dio * * * la contraseña, pero escuché que esta también es una forma de descifrarla.
Dependiendo del nivel de esta grieta, ni que decir tiene que se trata de violencia pura. Por supuesto, siempre es posible. Otra vulnerabilidad en 95
98 fue descubierta por Ge Yuan, su famoso vredir.vxd. El servidor tardó mucho en verificar la contraseña.
Los grados en realidad son proporcionados por el cliente, lo que significa que pueden ingresar hasta 256 conjeturas (en realidad no tantas, dado las palabras imprimibles)
rango del operador).
Ocho NBT NetBIOS para pequeñas y medianas empresas
En 2000, las PYMES podían ejecutarse directamente sobre TCP/IP sin una capa NBT adicional y utilizar el puerto TCP 445.
& gtPor lo tanto, el cambio en 2000 debería ser ligeramente mayor que el del NT.
De hecho, por el contrario, el campo ssaxh_capabilities indica que la "autenticación de seguridad extendida" no se utiliza y se utiliza en este momento.
El mecanismo de autenticación original solo necesita eliminar la solicitud de sesión de la capa NBT y cambiar 139/TCP a 445/TCP.
El ejemplo puede establecer con éxito una sesión vacía y abrir "\\\IPC$" con éxito.
En cuanto al RPC Over SMB de nivel superior, no se requieren cambios. Es decir, de 139/TCP a 445/TCP,
En todo el proceso de comunicación, se reducen un par de solicitudes/respuestas de sesión NBT, y el siguiente mensaje es para estas dos.
Es exactamente igual.
La llamada capa NBT siempre ha existido incluso en las comunicaciones 445. La única diferencia es el párrafo anterior.
4.& gtSi el cliente tiene NBT habilitado, accederá a los puertos 139 y 445 al conectarse.
Microsoft no dejó que 139/TCP compitiera de manera justa con 445/TCP. Los paquetes SYN que inician la conexión se envían macroscópicamente al mismo tiempo.
Específicamente, a veces se inicia primero una solicitud de conexión a 139/TCP y, a veces, primero a 445/TCP, lo que incluye
un poco de aleatoriedad
Windows transporta convenientemente los datos cuando envía el último mensaje ACK del protocolo de enlace de tres vías a 139/TCP. para ti.