• Windows 网络凭证


    前言

    单位内部,员工之间电脑免不了要相互访问(eg:访问共享文件夹)。这就引出网络凭证的概念,即你用什么身份访问对端计算机。

    实验环境

    创建共享文件夹

    WinSrv 2008上新建的文件夹sharedata,共享给任何人。任何人都是参与者,即具有读写权限。

    默认情况下,文件共享,网络邻居(可以发现局域网内其他用户)是关闭的,需要在网络和共享中心打开

    访问共享文件夹

    Win7上访问共享文件夹

    值得注意的是,你第一次访问共享文件夹是需要输入账号密码的,但是只要成功连接一次,以后就不再需要使用账号密码了,即使你初次登陆的时候没有勾选“记住我的凭据”。这是因为Win7缓存了WinSrv 2008的凭证,这就带来了安全隐患。那这个缓存什么时候清除呢?只要这个用户不注销,缓存就一直存在。注销再登陆,或者关机再开机缓存就没了。或者Win7的用户不注销,WinSrv 2008改密码了,凭证自然就失效了。

    查看、删除网络凭证

    上图是删除所有网络凭证,如果只删除一条,可以使用命令 net use \192.168.40.144 /del

    IP地址和名称访问分别缓存凭证

    上面访问共享文件夹使用的是\IP地址,还可以\名称。不要以为输入其中一个另一个就不要管了,两个是独立的,都要输入账号密码

    缓存网络凭证带来的风险

    上面实验,Win7缓存了WinSrv管理员的网络凭证。

    凭借缓存的网络凭证,Win7可以远程启停WinSrv上的服务

    还可以远程访问修改WinSrv的注册表。

    操作注册表可以创建用户等,参考 Windows Server 2008 用户管理 

    操作注册表可以开启远程桌面 参考:注册表编辑工具

     操作注册表可以远程关机

    镜像账号

    所谓镜像账号,指的是两台机器上的账号名称,密码一样的账号。

    假设有两台WinSrv,分别用A、B表示。lisi再A上是管理员,属于管理员组。lisi再B上是普通用户。B上的lisi访问A上的共享文件夹不需要输入密码,这也带来了隐患。对于有些公司内部服务器是用一台计算机刻出来的,用户名密码一样,一旦一台计算机中病毒,其他计算机即使不上网也会跟着遭殃。由于镜像账号的原因,病毒在安全凭证这一块没有任何限制。

    同样的,上面演示访问远端计算机服务,注册表等。B上的普通账号在A上是管理员,那么执行上面的操作就更方便了,因为连账号密码都不用输入。但是这种方式连接到A,执行管理员的操作,是在后台完成的。A上有个UAC,默认情况下,对于加入管理员组的用户,每次打开管理工具进行计算机管理时,都会弹出提示对话框进行授权。取消UAC就不会弹框提示授权了。因此,要想显示这个现象需要关闭A上的UAC

    只允许使用guest账户访问共享资源

    对于学校而言,有的时候需要共享某个文件给师生使用。如果还想上面一样,需要输入账号密码,无疑很麻烦。这个时候可以请用guest账号,这样师生在获取文件的时候不需要输入账号密码。

    实现上述要求需要如下几步

    ①在 “服务器管理器-本地用户和组-用户” guest取消“账户已禁用”。注意不要设置密码

    ②在“本地安全策略”出设置仅来宾

    经典:需要输入账号密码

    仅来宾:不需要输入账号密码

     

  • 相关阅读:
    15、集合--TreeSet的源码分析(待完成)
    13、集合--HashSet相关方法源码解析(等map更新完成之后在进行补充)
    11、集合--Set接口
    10、集合--Set、AbstractSet、HashSet、TreeSet、SortedSet源码
    9、集合--ArrayList和LinkedList的一些对比
    8、集合--LinkedList的测试以及相关方法的源码分析
    7、集合--ArrayList的测试以及相关方法的源码解析
    6、集合--List接口
    Linux 高可用(HA)集群之keepalived详解
    CentOS7安装配置redis-3.0.0
  • 原文地址:https://www.cnblogs.com/kelamoyujuzhen/p/9745587.html
Copyright © 2020-2023  润新知