2012年7月5日 星期四

網路磁碟機和入侵風險(Network Drive and IPC$)

最近因為忙碌於公司重新裝修,同時更新了許多基礎設備,例:Gb級的網路線(Cat 6)、交換器(Switch)和 FTTH的固定制網路......等,重新進行內部網路的規劃和集中管理,其實對於使用時間較久的辦公室,這可是千載難逢的好機會,除了能夠重新釐清線路走向之外,還可以重新針對特定地區做些不同的管制,不然,經過了許多前人之手,想必一定有很多隱藏版的線路(危機)在某個不知情的角落,經常會讓你有心有餘而力不足之感。

在基礎環境重新建立之後,接著就是軟體及共用資源的設置,這部分就沒有一定的規則,畢竟各家公司所要求的使用方式都有所不同,只要能夠滿足使用者的需求和老闆想要的功能即可,更何況這部分最容易發生的問題,往往是出在使用習慣上,絕非無法滿足,這次主要就來談談設置共用資源時,經常會使用到的「網路磁碟機」,以及在這部分可能會有的風險。

還記得最早以前,大家都還在使用「網路上的芳鄰」來找別人分享出來的資料夾嗎?其實網路磁碟機的用法跟這個相當類似,只是一般人家中比較不會有資料夾需要分享給(太)多人的需求,因為一般Windows的作業系統,會有個資料夾分享的上限,除非是Server版的作業系統,才有可能解決這問題(不便宜就是),所以,現在大多數市售的NAS設備,都是採用嵌入式系統(或unix-like的作業系統),如此才能夠避開多人共用資料夾的限制。

建立網路磁碟機

其實只要搞清楚自己的系統架構,剩下的事就只是單純地將它人(伺服器主機)分享出來的資料夾,連接成為自己的網路磁碟機即可,一般使用者若是想要設定的話,設定方式可以參考《資料共享的風險》一文,如果你是苦命的網管(系統管理)人員,或許透過批次指令的方式來進網路磁碟機的設置,一方面快速,一方面也可統一管理網路磁碟機的使用型態。

按照慣例,我還是透過批次檔的方式來建置,對於很多人來說,應該只是小菜一碟吧!?個人撰寫的範例如下,請按照不同的需求來自行修改使用:(NetDrive.bat)



可能的風險

如果你有耐心的將這個批次檔看完,你會發現其實在這個批次檔中,前面幾個選項,只是讓你可用在不同部門間的連線磁碟機建立時使用,後面有多加上兩個功能,一個就是變更使用者密碼,因為在建立磁碟機連線時,雖然在批次檔中,已經設置建立網路磁碟機時的帳戶、密碼,但是基於安全性原則來說,應該登入者就應該能夠直接建立連線才對,所以在這部分,有提供管理者修改密碼的選項。

同時,在建立網路磁碟機時,針對同一台主機僅能使用一個帳號來建立磁碟機限制,這也是為何盡可能讓使用者可以採用原先登入的帳號來進行連線,除非有特殊需求,才需要再另外以其它使用者來進行網路磁碟機的連線作業。

除了修改密碼之外,另一個則是用來建立其它管理者的功能,對於沒有AD環境的辦公室來說,還是有著其管理上的功用存在(不過請勿亂用此功能,因為此權限很有可能會造成其它的安全問題,明眼人就看得出來指的是什麼......噓,有興趣的人可以Google一下就會知道我所指的意思。)

因此,這個功能也是視需要來使用,畢竟每個人所屬的網路環境,不見得適合這麼做(例:我也是看過有辦公室裡,很多人是直接以實體IP對外進行連線...),若是建立好相關設定之後,網路管理者就可以透過這個新建立的帳號(此帳號已加入Administrators),來進行相關的連線及應用,甚至可以直接透過網路磁碟機的方式來進行連線,因為在某些安全性管理上,會將原本預設的管理者帳號(Administrator)停用,因此這個管理者帳號的建立,就有其便利之處。

基於這些功能,可能帶來的風險,如果你想要進行阻擋或管制,也並非無法做到,只要關閉特定服務設立防火牆,基本上也是能夠防止可能的危害發生,但是安全性和便利性之間,總是會有不少衝突會發生,這部分也就視各自的安全政策而有所不同,真的沒有絕對正確的答案,最終的問題往往還是會發生在人身上居多。

希望這個簡單的批次檔可以幫到有需要的人,我相信各位同業們應該也有不少自己採用的方式,也歡迎留言討論,筆者在此獻醜了。