解决工作组环境下ＸＰ互访之疑惑.docVIP

解决工作组环境下ＸＰ互访之疑惑 　　摘要：对工作组环境下XP互访进行了研究，描述了访问共享资源需要经过的步骤，并分析了访问失败了原因和寻求解决问题的方法。 　　关键词：身份验证；策略审核；权限检查 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)32-1221-02 　　Working Group to Address Climate of Suspicion Visits XP 　　DING Zhi-yun 　　(Jiangsu Yancheng technician institute, Yancheng 224001, China) 　　Abstract: Working Group on the Environment XP visits have been studied, described the visit to share resources to go through the steps, and failed to visit analyzes the causes and find a solution to the problem. 　　Key words: identity validation;policy cognizance;power examination 　　 　　1 引言 　　 　　如今家庭用户安装操作系统还是喜欢XP，主要原因有两个：一是功能简单；二是界面美观。但装有XP操作系统的机器在组建局域网的时候也出现了若干令人头疼的问题，在我的印象之中问题最多的莫过于XP操作系统之间互访问题。 　　俗话说：解铃还需系铃人，只有了解了XP互访过程的原理才能解决我们的困惑。首先要明确一点：何为工作组，所谓工作组就是几台机器的地位是平等的，不是cs模式，也不是域环境模式。如此一来在地址栏中输入\\对方IP地址或者\\对方netbios名便需要输入用户名和密码才能访问，而在域环境在是不需要输入用户名和密码进行验证的，因为在域环境下用户名和密码都是保存在域控制器上的。当然了如果工作组中的机器全是2000或者2003那倒好办了，而XP的网络环境却又一样，其中安全因素便是其中一个很重要的方面。 　　 　　2 网络环境 　　 　　两台装有xp操作系统的机器，一台机器名为A,IP地址为10.0.0.1；另一台机器名为B，IP地址为10.0.0.2。在A和B中都有一相同的用户名为admin1，密码为123。两台机器连在一台HUB或交换机上。 　　 　　3 四道关卡 　　 　　首先我们需要了解A要成功访问B的共享资源需要经过以下四道关卡，如果中途失败一步，那么访问将以失败告终。四道关卡如下：1) 协议和端口，组件和服务；2) 用户身份验证；3) 本地安全策略审核；4) 权限检查。 　　3.1 协议和端口，组件和服务 　　在图1中我们可以了解到“Microsoft文件和打印共享”服务既可走两条大的路：一是tcp/ip协议路线，二是NETBEUI协议路线。如要走TCP/IP协议路线我们可借助两种方式，一是走传统的NetBT协议（NetBT指netbios over tcp/ip）需要开放的端口是UDP137,UDP138,TCP139；二是直接走TCP445端口。 　　3.1.1实验一 　　B机关闭TCP139和TCP445端口，A机以admin1登陆并在地址栏中输入\\10.0.0.2试图访问B机共享失败。对于2000和XP客户端来说如果在允许NBT的情况下连接服务器时，A会同时尝试访问B的139和445端口，如果445端口有响应，那么A就发送RST包给B的139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；如果B禁止NBT，那么A只会尝试访问445端口，如果445端口无响应，则会话失败。关闭这两个端口的方法大致有如下几种：一是通过IPSEC安全策略，二是禁止server服务，三是不勾选Microsoft网络的文件和打印机共享，四是放火墙策略限制。 　　3.1.2 实验二 　　B机器以admin1用户登陆，禁止NetBT协议，这样一来A想访问B的共享资源只能通过\\10.0.0.2而不能通过\\B来访问。原因是禁止NetBT协议将会导致UDP137,UDP138,TCP139被关闭，关闭了端口UDP137,UDP138将不能将NetBios名字解析为IP地址，但此时为什么输入\\10.0.0.2可以访问？因为此时TCP445端口还在开放，A可以通过访问B的445端口来达到目的。 　　3.2 用户身份验证 　　我们需要了解两点：一是客户机总是优先用自己的登录帐号进