會計電算化局域網(wǎng)共享資源的安全管理研究

1、    會計電算化局域網(wǎng)共享資源的安全管理研究        張克友 時間:2009年08月27日     字 體: 大 中 小        關鍵詞:        摘 要： 通過對會計電算化局域網(wǎng)主要功能和特點的分析,有針對性地提出了會計電算化局域網(wǎng)共享資源的安全管理技術和解

2、決方案。? ? 關鍵詞： 會計電算化；共享資源；局域網(wǎng)；安全管理?1 會計電算化局域網(wǎng)的綜合分析1.1 會計電算化局域網(wǎng)的主要功能1.2 會計電算化局域網(wǎng)的特點2 會計電算化局域網(wǎng)共享資源的安全技術2.1 關閉系統(tǒng)默認的共享資源電腦系統(tǒng)要進行卓有成效的防范，最徹底的辦法就是在計算機中關閉這些特殊共享資源。要禁止這些共享，打開“管理工具”“計算機管理”“共享文件夾”“共享”，在相應的共享文件夾上按右鍵，點“停止共享”即可。但是，計算機重新啟動后，這些共享又會重新開啟。如果每次開機都要如此操作一番，很麻煩。按照下面的方法就可以避免每次開機都要進行的重新操作。先用記事本編輯如下一個文件：共6行，分別

3、為net share cdefg / del、net share c /del、net share d / del、net share e / del、net share f / del和net share g / del，然后將它保存為delshare.bat。注意：這個文件是假設您的計算機有C、D、E、F、G 5個分區(qū)，如果您的計算機只有C、D、E 3個分區(qū)，則上述文件中可刪去 net share f / del和net share g / del 2行。最后將該文件或其快捷方式放到 C：Documents and Settings All users Start Menu Program

4、s 啟動文件夾中即可。重啟計算機時即可開機自動關閉這些特殊共享資源。打開注冊表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent Version Run”分支，在其下新建“字符串值”，命名可隨意，比如“delshareC”，鼠標右鍵單擊“修改”，在接著出現(xiàn)的“編輯字符串”窗口的“數(shù)值數(shù)據(jù)”欄中輸入“net shareC /del”(不包括引號)按“確定”按鈕。同樣可添加“字符串值”如“delshareD”，“數(shù)值數(shù)據(jù)”為“net shareD /del”等，機器有幾個分區(qū)直到加完為止。之后保存注冊表，重啟計算機后也能實現(xiàn)開機自動關閉這些特殊

5、資源。2.2 在局域網(wǎng)中“隱身”隱身術? 在會計電算化局域網(wǎng)內(nèi)，不同計算機之間要查看本機之外的財務信息數(shù)據(jù)和文件，必須將所在的文件夾設為“共享”。但是，一旦將文件夾共享之后，局域網(wǎng)內(nèi)所有的計算機都可以在網(wǎng)上鄰居中看到這個共享的文件夾了，如果只讓部分需要訪問這個文件的用戶訪問，而不讓其他不相關的用戶打開文件，其辦法就是隱身。要想其他用戶無法通過網(wǎng)上鄰居直接來訪問某個文件夾，可以將其“隱藏”起來，具體方法如下：右擊文件夾圖標 ，選擇彈出快捷菜單中的“共享和安全”， 在打開的窗口中選擇“共享”標簽 ， 選擇“共享該文件夾”， 在“共享名”后面的文本框中輸入共享文件夾名并在文件夾名后添加1個半角的“”

6、字符，最后單擊“確定”保存設置。如果沒有在上面的窗口中給共享文件名添加“”符，也可以右擊該共享文件夾，選擇“重命名”，將這個共享的文件名稱后添加1個半角的“”符(比如“CW”)。以后，其他用戶打開網(wǎng)上鄰居時，在網(wǎng)上鄰居列表中將不會看到該共享文件夾了。如果希望某個用戶去訪問你的這個共享文件夾，只要告訴他這個共享文件夾的絕對路徑即可，此路徑為“你的計算機CW”，只要將其輸入到資源管理器的地址欄中并回車即可訪問了。需要注意的是，后面的“”是必不可少的，如果少了該字符訪問將不成功。? 上面的方法是在局域網(wǎng)內(nèi)隱藏一個特定的文件夾，如果想將自己的計算機也隱藏起來，安全系數(shù)就更高：單擊“開始”“運行”，在打

7、開的“運行”對話框中輸入“cmd”，打開命令行窗口，輸入“net config server / hidden：yes”， 再回車就可以了。這樣，別人就無法從網(wǎng)上鄰居中直接看到你的計算機， 只有通過在資源管理器地址欄中輸入“計算機名”才能訪問你的計算機。不過，上面的方法只能對當前有效，以后每次重新啟動系統(tǒng)都要重新運行該命令。如果希望將自己的計算機從網(wǎng)上鄰居中永久隱藏，可以通過修改注冊表來達到目的：打開注冊 表編輯器，在左側窗口中展開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSei ServerslanmanserverParameters”，在右側窗 口中找

8、到DWORD類型值改為“1”，按F5刷新注冊表即可。2.3 讓共享資源更安全現(xiàn)在很多朋友都是通過局域網(wǎng)連接上網(wǎng)，常常遇到這樣的情況：自己沒有運行什么文件，而硬盤燈突然閃爍不停，這就是其他人在訪問你機器上的共享文件，到底是誰訪問了你的電腦，如何才能增強系統(tǒng)共享資源的安全性呢?下面就以Windows XP為例介紹幾種增強Windows XP共享資源安全性的方法。? 在Windows 2000/XP中，網(wǎng)絡監(jiān)視器不再監(jiān)測訪問本機的連接情況，但可以使用“計算機管理”來進行監(jiān)視。單擊“開始”“設置”“控制面板”，雙擊“管理工具”，再雙擊“計算機管理”，依次展開“共享文件夾”，下面共有3個選項：“共享”、

9、“會話”和“打開文件”。(1)共享：顯示當前系統(tǒng)的共享資源，在這里可以創(chuàng)建設置共享及其權限。(2)會話：顯示當前來訪者的用戶名、IP地址、打開的文件數(shù)以及來訪時間等基本信息。在用戶名上單擊右鍵，還可以斷開惡意來訪者的連接。(3)打開文件：顯示所有來訪者及其打開的文件，如果不希望對方瀏覽你的文件，則單擊右鍵，在彈出菜單中可以關閉其中1個或所有打開的文件。通過以上方法就能快速查看到是誰在竊取秘密，并迅速采取行之有效的措施來應對。由于共享資源在默認狀態(tài)下是所有用戶都可以訪問的，這增加了潛在的危險性。但可以通過修改組策略來指定特定的用戶才有權限訪問共享資源。具體操作如下：? (1)依次點擊“開始”“運

10、行”，在“運行”框中輸入“gpedit.mse”，打開組策略設置界面。? (2)依次點擊“計算機配置”“Windows設置”“安全設置”“本地策略”“用戶權利指派”，在右側窗口中找到“從網(wǎng)絡訪問此計算機”項。(3)雙擊“從網(wǎng)絡訪問此計算機”在彈出的窗口中點擊“添加用戶或組”來添加可以訪問你共享資源的用戶，當然也可以點擊“刪除”按鈕來刪除你不信任的用戶。這樣，就可以設置只讓特定的用戶訪問你的共享資源了。(1)采用上面的方法打開組策略設置窗口后，依次打開“計算機配置”“Windows設置”“安全設置”“本地策略” “安全選項”，在右側窗口中找到“設備：只有本地登錄的用戶才能訪問CD-ROM”項。(

11、2)雙擊該項，從彈出的窗口中勾選“已啟用”，然后點擊“確定”即可，這樣局域網(wǎng)內(nèi)的其他用戶就不能訪問你的光驅了。(3)使用同樣的方法，你還可以啟用“設備：只有本地用戶才能訪問軟盤”等選項，具體操作方法是相同的，這里不再介紹。? 經(jīng)過以上的幾種方法，不需要任何的第三方工具軟件，共享文件已經(jīng)比較安全了。3 網(wǎng)絡共享資源不能互訪的解決措施網(wǎng)絡提供了豐富的共享資源，但訪問這些資源時卻會經(jīng)常出現(xiàn)“拒絕訪問”或“權限不足”的錯誤提示信息，特別是在 Windows工作組環(huán)境中，很難有效地對客戶機的用戶賬號和訪問權限進行管理。此外，網(wǎng)絡中不同版本的Windows 操作系統(tǒng)共存，網(wǎng)絡防火墻配置不當，也是出現(xiàn)以上問

12、題的主要原因。3.1 問題的產(chǎn)生? Windows NT/2000/XP/2003系統(tǒng)支持 NTFS 文件系統(tǒng)，采用NTFS 可以有效增強系統(tǒng)的安全性，但在訪問控制列表(ACL)中對用戶訪問控制權限設置不當時，也會導致用戶無法訪問本機共享資源，出現(xiàn)“權限不足”的提示信息。在Windows工作組環(huán)境中，一般情況下，用戶要使用Guest賬號訪問共享資源。但為了系統(tǒng)的安全，禁用了本系統(tǒng)的Guest賬號。此外，在Windows 2000/XP/2003系統(tǒng)中，組策略默認是不允許Guest賬號從網(wǎng)絡訪問這臺計算機的，這樣就導致其他用戶無法訪問本機的共享資源，出現(xiàn)“拒絕訪問”的提示信息。用戶為了增強本機的

13、安全性，防止非法入侵，安裝了網(wǎng)絡防火墻。但對網(wǎng)絡防火墻設置不當，同樣會導致其他用戶無法訪問本機的共享資源，出現(xiàn)“拒絕訪問”的提示信息，這是因為防火墻關閉了共享資源所需要的NetBIOS 端口。3.2 問題的解決了解共享資源不能成功互訪的主要原因后，就可以著手解決訪問中出現(xiàn)的問題。在很多情況下，為了本機系統(tǒng)的安全，Guest賬號是被禁用的，這樣就無法訪問該機器的共享資源，因此必須啟用Guest 賬號。以Windows XP系統(tǒng)為例，在共享資源提供端，進入“控制面板”“管理工具”后，運行“計算機管理”工具，接著依次展開“計算機管理(本地)” “系統(tǒng)工具” “本地用戶和組”“用戶”，找到Guest賬

14、號。如果Guest賬號出現(xiàn)一個紅色的叉號，表明該賬號已被停用，右擊該賬號，在Guest 屬性對話框中，去除“賬號已停用”的鉤選標記，單擊“確定”后，就啟用了Guest? 賬號。此方法適用于Windows 2000/XP/2003系統(tǒng)。使用Guest賬號訪問共享資源存在很大的安全隱患。不過可以為每個訪問用戶創(chuàng)建一個指定的賬號：首先，在共享資源提供端創(chuàng)建一個新的賬號，然后指定該賬號的訪問權限；最后，在要訪問該共享資源的客戶機中新建一個相同用戶和密碼的賬號，使用此賬號登錄客戶機后，就能正常訪問該賬號所允許的共享資源。此方法較為安全，但要為網(wǎng)絡中每個用戶創(chuàng)建一個賬號，不適應規(guī)模較大的網(wǎng)絡。有時，雖然啟

15、用了本機的Guest賬號，但用戶還是不能訪問本機提供的共享資源，這是因為組策略默認不允許Guest 賬號從網(wǎng)絡訪問本機。可采用下面的方法：單擊“開始”“運行”，在運行框中輸入“gpedit.mse”，在組策略窗口中依次展開“本地計算機策略計算機配置Windows設置安全設置本地策略用戶權利指派”，在右欄中找到“拒絕從網(wǎng)絡訪問這臺機器”項，打開后刪除其中的Guest賬號，接著打開“從網(wǎng)絡訪問此計算機”項，在屬性窗口中添加Guest 賬號，這樣就能使用Guest賬號從網(wǎng)絡中訪問該機的共享資源了。此方法適用于Windows 2000/XP/2003系統(tǒng)。很多機器都安裝了網(wǎng)絡防火墻，若設置不當同樣會導

16、致用戶無法訪問本機的共享資源，這時就要開放本機的共享資源所需的NetBIOS端口。以天網(wǎng)防火墻為例，在“自定義IP規(guī)則”窗口中選中“允許局域網(wǎng)的機器使用我的共享資源”規(guī)則，最后點擊“保存”按鈕，這樣就開放了NetBIOS端口。網(wǎng)絡中很多機器使用NTFS文件系統(tǒng)，它的ACL功能可以對用戶的訪問權限進行控制，用戶要訪問這些機器的共享資源，必須賦予相應的權限。如使用Guest賬號訪問該機器的Temp共享文件夾，則右擊該共享目錄，選擇“屬性”，切換到“安全”標簽頁，然后將Guest賬號添加到用戶列表中，接著指定Guest訪問權限，至少要賦予“讀取”和“列出文件夾目錄”權限。如果想讓多個用戶賬號訪問該共享目錄，只需要添加Every賬號，然后賦予“讀取”和“列出文件夾目錄”權限即可，這樣就避免逐一添加和指定每個用戶訪問賬號。此方法適用于采用NTFS文件系統(tǒng)的Windows NT/2000/XP/2003系統(tǒng)。由于針對會計電算化局域網(wǎng)資源共享的設計是一項巨大的系統(tǒng)工程，它不僅涉及頂尖的操作系統(tǒng)設計技術、軟件技術、加密技術等，而且需要大量的人力、物力的投入。本文主要是提出了會計