2012年7月5日 星期四

網路磁碟機和入侵風險(Network Drive and IPC$)

最近因為忙碌於公司重新裝修,同時更新了許多基礎設備,例:Gb級的網路線(Cat 6)、交換器(Switch)和 FTTH的固定制網路......等,重新進行內部網路的規劃和集中管理,其實對於使用時間較久的辦公室,這可是千載難逢的好機會,除了能夠重新釐清線路走向之外,還可以重新針對特定地區做些不同的管制,不然,經過了許多前人之手,想必一定有很多隱藏版的線路(危機)在某個不知情的角落,經常會讓你有心有餘而力不足之感。

在基礎環境重新建立之後,接著就是軟體及共用資源的設置,這部分就沒有一定的規則,畢竟各家公司所要求的使用方式都有所不同,只要能夠滿足使用者的需求和老闆想要的功能即可,更何況這部分最容易發生的問題,往往是出在使用習慣上,絕非無法滿足,這次主要就來談談設置共用資源時,經常會使用到的「網路磁碟機」,以及在這部分可能會有的風險。

還記得最早以前,大家都還在使用「網路上的芳鄰」來找別人分享出來的資料夾嗎?其實網路磁碟機的用法跟這個相當類似,只是一般人家中比較不會有資料夾需要分享給(太)多人的需求,因為一般Windows的作業系統,會有個資料夾分享的上限,除非是Server版的作業系統,才有可能解決這問題(不便宜就是),所以,現在大多數市售的NAS設備,都是採用嵌入式系統(或unix-like的作業系統),如此才能夠避開多人共用資料夾的限制。

建立網路磁碟機

其實只要搞清楚自己的系統架構,剩下的事就只是單純地將它人(伺服器主機)分享出來的資料夾,連接成為自己的網路磁碟機即可,一般使用者若是想要設定的話,設定方式可以參考《資料共享的風險》一文,如果你是苦命的網管(系統管理)人員,或許透過批次指令的方式來進網路磁碟機的設置,一方面快速,一方面也可統一管理網路磁碟機的使用型態。

按照慣例,我還是透過批次檔的方式來建置,對於很多人來說,應該只是小菜一碟吧!?個人撰寫的範例如下,請按照不同的需求來自行修改使用:(NetDrive.bat)



可能的風險

如果你有耐心的將這個批次檔看完,你會發現其實在這個批次檔中,前面幾個選項,只是讓你可用在不同部門間的連線磁碟機建立時使用,後面有多加上兩個功能,一個就是變更使用者密碼,因為在建立磁碟機連線時,雖然在批次檔中,已經設置建立網路磁碟機時的帳戶、密碼,但是基於安全性原則來說,應該登入者就應該能夠直接建立連線才對,所以在這部分,有提供管理者修改密碼的選項。

同時,在建立網路磁碟機時,針對同一台主機僅能使用一個帳號來建立磁碟機限制,這也是為何盡可能讓使用者可以採用原先登入的帳號來進行連線,除非有特殊需求,才需要再另外以其它使用者來進行網路磁碟機的連線作業。

除了修改密碼之外,另一個則是用來建立其它管理者的功能,對於沒有AD環境的辦公室來說,還是有著其管理上的功用存在(不過請勿亂用此功能,因為此權限很有可能會造成其它的安全問題,明眼人就看得出來指的是什麼......噓,有興趣的人可以Google一下就會知道我所指的意思。)

因此,這個功能也是視需要來使用,畢竟每個人所屬的網路環境,不見得適合這麼做(例:我也是看過有辦公室裡,很多人是直接以實體IP對外進行連線...),若是建立好相關設定之後,網路管理者就可以透過這個新建立的帳號(此帳號已加入Administrators),來進行相關的連線及應用,甚至可以直接透過網路磁碟機的方式來進行連線,因為在某些安全性管理上,會將原本預設的管理者帳號(Administrator)停用,因此這個管理者帳號的建立,就有其便利之處。

基於這些功能,可能帶來的風險,如果你想要進行阻擋或管制,也並非無法做到,只要關閉特定服務設立防火牆,基本上也是能夠防止可能的危害發生,但是安全性和便利性之間,總是會有不少衝突會發生,這部分也就視各自的安全政策而有所不同,真的沒有絕對正確的答案,最終的問題往往還是會發生在人身上居多。

希望這個簡單的批次檔可以幫到有需要的人,我相信各位同業們應該也有不少自己採用的方式,也歡迎留言討論,筆者在此獻醜了。

8 則留言:

  1. 我覺得寫得很好
    對非營利事業的非專業IT人員來說很有用
    感謝你的用心!

    回覆刪除
  2. To Hung:
    多謝你的打氣和支持,只希望能幫上需要的人就好,謝謝。

    回覆刪除
  3. 在 貴站 看到 NetDrive.bat 寫法,
    大大您真是太有才了 ~
    也幫了我很大的忙
    [謝謝]。

    回覆刪除
  4. To 匿名:
    有幫上你的忙就好,請繼續支持,謝謝。

    回覆刪除
  5. 但小弟我有個問題想請教 ↓

    一般使用 net use 後,我的電腦 裡面會出現 "public (\\192.168.1.254)"

    我該如何使用 net use 或是 .bat語法 去更改 網路磁碟機 的名稱呢?

    例如改成 "公用資料夾"

    Thanks ~

    回覆刪除
  6. To 匿名:
    因為這個是屬於網路的連線磁碟機,所以沒有辦法直接透過系統的label指令來修改。
    經查詢之後,可行的方法可能就得要透過登錄檔的方式來修改,你可以先連至「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\」
    查看你所建立的網路磁碟機,然後在該機碼的「_LabelFromReg」中填入你想要的名稱,就可修改連線磁碟機的相關名稱了!

    如果要導入bat中,你只要在相關路徑中寫入你所需要的名稱即可。

    回覆刪除
  7. 這是我在網路上找到的程式碼,一起學習吧 ^^

    ' NameDrive.vbs
    ' VBScript to map a network drive.
    ' Authors Guy Thomas and Barry Maybury
    ' Version 1.4 - April 2010
    ' ----------------------------------------'
    '
    Option Explicit
    Dim objNetwork, strDrive, objShell, objUNC
    Dim strRemotePath, strDriveLetter, strNewName
    '
    strDriveLetter = "X:"
    'strRemotePath = "\\alan\home"
    strNewName = "home dir"

    ' Section to map the network drive
    'Set objNetwork = CreateObject("WScript.Network")
    'objNetwork.MapNetworkDrive strDriveLetter, strRemotePath

    ' Section which actually (re)names the Mapped Drive
    Set objShell = CreateObject("Shell.Application")
    objShell.NameSpace(strDriveLetter).Self.Name = strNewName

    Wscript.Echo "Check : "& strDriveLetter & " for " & strNewName
    WScript.Quit

    ' End of Example VBScript.

    程式有2段,1段是 鏈結;另1段是 改名。視需求更改而導入bat中 一併啟動...(很方便)

    My E-mail: break@ohmygod.ddo.jp

    回覆刪除
  8. To 匿名:

    多謝你提供的資訊,受用了!基本上用什麼語法或是方式,只要能夠自己掌握的好,基本上都是好的方式。

    感覺很像戲法人人會變,各有巧妙不同,遇到問題才是學習的開始,感謝。

    回覆刪除