前言
单位内部,员工之间电脑免不了要相互访问(eg:访问共享文件夹)。这就引出网络凭证的概念,即你用什么身份访问对端计算机。
实验环境
创建共享文件夹
WinSrv 2008上新建的文件夹sharedata,共享给任何人。任何人都是参与者,即具有读写权限。
默认情况下,文件共享,网络邻居(可以发现局域网内其他用户)是关闭的,需要在网络和共享中心打开
访问共享文件夹
Win7上访问共享文件夹
值得注意的是,你第一次访问共享文件夹是需要输入账号密码的,但是只要成功连接一次,以后就不再需要使用账号密码了,即使你初次登陆的时候没有勾选“记住我的凭据”。这是因为Win7缓存了WinSrv 2008的凭证,这就带来了安全隐患。那这个缓存什么时候清除呢?只要这个用户不注销,缓存就一直存在。注销再登陆,或者关机再开机缓存就没了。或者Win7的用户不注销,WinSrv 2008改密码了,凭证自然就失效了。
查看、删除网络凭证
上图是删除所有网络凭证,如果只删除一条,可以使用命令 net use \192.168.40.144 /del
IP地址和名称访问分别缓存凭证
上面访问共享文件夹使用的是\IP地址,还可以\名称。不要以为输入其中一个另一个就不要管了,两个是独立的,都要输入账号密码
缓存网络凭证带来的风险
上面实验,Win7缓存了WinSrv管理员的网络凭证。
凭借缓存的网络凭证,Win7可以远程启停WinSrv上的服务
还可以远程访问修改WinSrv的注册表。
操作注册表可以创建用户等,参考 Windows Server 2008 用户管理
操作注册表可以开启远程桌面 参考:注册表编辑工具
操作注册表可以远程关机
镜像账号
所谓镜像账号,指的是两台机器上的账号名称,密码一样的账号。
假设有两台WinSrv,分别用A、B表示。lisi再A上是管理员,属于管理员组。lisi再B上是普通用户。B上的lisi访问A上的共享文件夹不需要输入密码,这也带来了隐患。对于有些公司内部服务器是用一台计算机刻出来的,用户名密码一样,一旦一台计算机中病毒,其他计算机即使不上网也会跟着遭殃。由于镜像账号的原因,病毒在安全凭证这一块没有任何限制。
同样的,上面演示访问远端计算机服务,注册表等。B上的普通账号在A上是管理员,那么执行上面的操作就更方便了,因为连账号密码都不用输入。但是这种方式连接到A,执行管理员的操作,是在后台完成的。A上有个UAC,默认情况下,对于加入管理员组的用户,每次打开管理工具进行计算机管理时,都会弹出提示对话框进行授权。取消UAC就不会弹框提示授权了。因此,要想显示这个现象需要关闭A上的UAC
只允许使用guest账户访问共享资源
对于学校而言,有的时候需要共享某个文件给师生使用。如果还想上面一样,需要输入账号密码,无疑很麻烦。这个时候可以请用guest账号,这样师生在获取文件的时候不需要输入账号密码。
实现上述要求需要如下几步
①在 “服务器管理器-本地用户和组-用户” guest取消“账户已禁用”。注意不要设置密码
②在“本地安全策略”出设置仅来宾
经典:需要输入账号密码
仅来宾:不需要输入账号密码