如何阻止局域网上的一台机器访问网络共享?

如何阻止局域网上的一台机器访问网络共享?

我在 Windows 网络上有一台 XP 计算机,我想将其与网络上其他计算机的网络共享隔离。我不希望这台计算机能够访问网络上的其他网络共享。我该怎么做?

答案1

你需要记住的是用户帐户机器帐户。机器帐户几乎只是用于将机器加入域。用户帐户用于登录计算机或域。管理对共享的访问是通过用户帐户完成的。用户登录到本地计算机(即工作组场景)或领域(即充当域控制器的机器向所有网络用户提供身份验证凭据 - 运行 Windows 服务器或 Linux Samba)。最简单的家庭用例是分别登录到每台 PC,即工作组模型。即使您的 PC 刚启动并转到开始按钮屏幕而没有任何登录,也会发生这种情况 - 该机器上仍会有一个“自动登录”的用户帐户。(使用mmc命令探索用户 - 这将打开 Microsoft 管理控制台)。

情况1:工作组

通过以下方式禁用“简单文件共享” Tools - Folder Options - View - Advanced settings-也可以看看。右键单击文件夹并通过 共享Sharing and Security。在此过程中,通过按钮 设置权限Permissions。这里有两种情况:

  1. 首先是当你授予通过本地用户名和密码访问存在于共享文件夹的计算机上。假设它是 USER1。在权限中只允许 USER1 访问。确保在所有其他计算机上没有 USER1。然后在连接时,将询问用户用户名和密码。如果使用您不想允许访问的计算机的人不知道用户名和密码 - 他/她将无法访问共享。当然 - 其他所有人都必须记住用户名和密码,并抵制将这些凭据提供给您希望排除的用户的诱惑。
  2. 情景 2 是当您的用户不记得网络用户名和密码等,他们来到“自动登录”的计算机。这意味着他们不知道没有密码,什么都没有,我只是用我的电脑,伙计。它们只是进入启动到Start按钮屏幕的计算机。您可以利用这一点。记下您要从中访问共享的计算机上的用户名。在共享计算机上创建具有确切用户名的用户帐户same usernamessame passwords就像在允许的计算机上一样。共享文件夹时 - 向这些用户授予权限。您还可以设置与要排除的计算机上的用户完全相同的用户名。在共享计算机上向该帐户授予权限时 - 您消除所有访问权限。您的用户将看到 - 他们可以从“允许”的计算机访问共享,并且将被拒绝从“排除”的计算机访问。在后台,您的共享计算机将以这样的方式查看访问请求:who is asking?- 用户 1 - what's your password?- 密码 1。OK you can access当排除的计算机连接时 - 将发生完全相同的交换,只是最后的响应将是Access Denied!。它之所以有效,只是因为您已将访问计算机上的用户名和密码设置为与共享计算机上的用户名密码相同。假设您有 4 台访问计算机 - 它们每台都有一个用户帐户。那么在共享计算机上,您将至少有 4 个帐户(除非所有访问计算机都设置了相同的用户名/密码“自动登录”,在这种情况下,您将在共享计算机上拥有 2 个帐户 - 一个用于访问计算机,一个用于排除的计算机)。它无需询问就能工作的唯一原因是用户名和密码匹配,并且计算机会尝试起诉他们手头上的唯一凭据。从任何网络安全角度来看,这都是……嗯……不太好,克苏鲁我想是的。但除非你的用户开始摆弄他们自动登录的那些帐户,否则它会起作用。

案例 2:

更简单 - 所有用户登录到域 - 因此所有用户名都集中存储。因此,您可以限制从中央服务器访问共享 - 仅在您共享时,然后指定允许的用户,例如这样DOMAIN\User1等。未获得特别许可的用户将无法进入。当然,您需要记住删除Everyone组。简单又好用的方法,但要求您运行 Windows 服务器(花费 $)或在 Linux 上设置 SAMBA 3 或 4 服务器。

案例 3?防火墙

我想,您可以在共享计算机上使用软件防火墙,专门排除来自要排除的计算机的 IP 地址的流量。如果请求来自该 IP 地址,告诉防火墙丢弃端口 138 和 139 的 tcp/udp 流量就足够了。不过,这必须是标准 Windows XP 防火墙以外的其他防火墙。好吧,您甚至可以在要排除的计算机上使用防火墙 - 告诉该计算机丢弃来自共享计算机的所有来自端口 138 和 139 的数据包。另一个克图鲁方式......可能会有效,只要你的用户不会撤消你的更改;)。

相关内容