Пользователи, компьютеры которых имеют доступ к сети, конечно, знают, что такое общий доступ и общие каталоги. И уж конечно, они часто пользуются возможностью общего доступа для получения доступа к файловой системе сетевых компьютеров или предоставления доступа к своей файловой системе.

Создание общего каталога

Создание общего каталога выполняется при помощи вкладки ДОСТУП диалога СВОЙСТВА соответствующего каталога.

Способы создания общего доступа

Вкладка ДОСТУП позволяет создать общую папку двумя способами: при помощи мастера ОБЩИЙ ДОСТУП К ФАЙЛУ и при помощи диалога ДОПОЛНИТЕЛЬНЫЙ ОБЩИЙ ДОСТУП.

Мастер общего доступа Мастер ОБЩИЙ ДОСТУП К ФАЙЛУ является нововведением операционной системы Windows Vista. Он является упрощенным способом создания общего каталога, позволяющим выбрать пользователей, а также выбрать параметры их доступа к общей папке из списка предопределенных настроек прав доступа.

Использование мастера общего доступа можно запретить или разрешить при помощи флажка ИСПОЛЬЗОВАТЬ МАСТЕР ОБЩЕГО ДОСТУПА (РЕКОМЕНДУЕТСЯ) списка, расположенного на вкладке ВИД диалога СВОЙСТВА ПАПКИ. Данный флажок изменяет значение параметра REG_DWORD типа SharingWizardOn, расположенного в ветви реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced. По умолчанию значение данного параметра равно 1.

Если значение параметра REG_DWORD типа NoInplaceSharing, расположенного в ветви реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, равно 1, тогда пользователям будет запрещено открывать общий доступ к файлам их профиля при помощи мастера общего доступа.

Оснастка Общий доступ Кроме вкладки ДОСТУП, для настройки общего доступа можно использовать оснастку ОБЩИЙ ДОСТУП (консоль fsmgmt.msc).

С ее помощью можно просмотреть список всех общих каталогов компьютера, изменить их настройки или создать новые общие каталоги. Кроме того, можно просматривать открытые через общие каталоги файлы и сеансы подключения к общим каталогам.

Хранение настроек общего доступа

Список каталогов, к которым открыт общий доступ, содержится в ветви реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares. Каждый каталог, для которого открыт общий доступ, хранится в виде параметра REG_MULTI_SZ типа, название которого определяет название общего каталога. Значение же параметра состоит из нескольких строчек формата «настройка»=«значение», определяющих настройки общего доступа к данному каталогу. Ниже приведены названия настроек, хранящихся в данных строчках.

CSCFlags Определяет настройки автономного доступа к данному общему каталогу. Например, данный параметр может принимать следующие значения.

• 2048. В автономном режиме будут доступны только файлы, которые пользователь указал вручную.
• 2064. В автономном режиме будут доступны все файлы, которые открывал пользователь.
• 2080. В автономном режиме будут доступны все файлы, которые открывал пользователь. При этом будет включена оптимизация производительности.
• 2096. Файлы данного общего ресурса в автономном режиме будут недоступны.

MaxUses Определяет максимальное количество пользователей, которые могут одновременно получить доступ к данному общему каталогу (при значении данной настройки, равном 4294967295, одновременное количество пользователей не ограничено).

Path Определяет путь к данному каталогу.

Permissions Определяет настройки доступа к данному общему каталогу.

Remark Определяет примечание к данному общему каталогу.

ShareName Определяет название общего каталога.

Type Определяет тип общего каталога (например, значение 1 для общего принтера или значение 0 для общей папки).

Настройки мастера Центр управления сетями и общим доступом

Некоторые настройки общего доступа можно изменить при помощи элементов основного окна мастера ЦЕНТР УПРАВЛЕНИЯ СЕТЯМИ И ОБЩИМ ДОСТУПОМ.

Сетевое обнаружение

Позволяет скрыть или отобразить ваш компьютер для других компьютеров сети.

Установка данного элемента в ON приводит к тому, что вы сможете увидеть другие компьютеры сети.

Также с помощью данного элемента, если его раскрыть, можно изменить название рабочей группы, в которую входит ваш компьютер. Для этого нужно нажать на кнопку CHANGE SETTINGS. Это приведет к открытию диалога SYSTEM PROPERTIES.

Общий доступ к файлам

Позволяет запретить общий доступ к папкам данного компьютера.

Данное поле изменяет некоторые правила стандартного брандмауэра операционной системы (параметры ветви реестра HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules).

Общий доступ к общим папкам

Позволяет предоставить или запретить общий доступ к папке ОБЩИЕ.

Данное поле позволяет изменить значение параметра Public ветви реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares.

Использование общих принтеров

Позволяет запретить общий доступ к принтерам данного компьютера.

Данное поле позволяет изменить значение параметра print$ ветви реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares.

Общий доступ с парольной защитой

Позволяет запретить получение сетевого доступа к компьютеру при помощи учетных записей, не имеющих пароля.

Общий доступ к медиафайлам

Позволяет запретить общий доступ к библиотеке музыкального проигрывателя.

Оснастка Редактор объектов групповой политики

Также настройки общего доступа можно изменить при помощи элементов подраздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ.

Подраздел Lsa

Большинство элементов данного подраздела изменяют значения параметров REG_DWORD типа ветви HKLM\System\CurrentControlSet\Control\Lsa.

LimitBlankPasswordUse Значение данного параметра изменяется элементом УЧЕТНЫЕ ЗАПИСИ: РАЗРЕШИТЬ ИСПОЛЬЗОВАНИЕ ПУСТЫХ ПАРОЛЕЙ ТОЛЬКО ПРИ КОНСОЛЬНОМ ВХОДЕ.

Данный параметр определяет, можно ли удаленно входить в операционную систему при помощи учетных записей, не защищенных паролем. По умолчанию удаленный вход запрещен.

DisableDomainCreds Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: НЕ РАЗРЕШАТЬ СОХРАНЕНИЕ УЧЕТНЫХ ДАННЫХ ИЛИ ЦИФРОВЫХ ПАСПОРТОВ .NET ДЛЯ СЕТЕВОЙ ПРОВЕРКИ ПОДЛИННОСТИ ПОЛЬЗОВАТЕЛЯ.

Данный параметр определяет, будут ли предоставляемые пользователем пароли, учетные данные и паспорта .NET сохранятся в средстве сохранения имен и паролей. По умолчанию их сохранение разрешено.

EveryoneIncludesAnonymous Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: РАЗРЕШАТЬ ПРИМЕНЕНИЕ РАЗРЕШЕНИЙ "ДЛЯ ВСЕХ" К АНОНИМНЫМ ПОЛЬЗОВАТЕЛЯМ.

По умолчанию разрешения ДЛЯ ВСЕХ не распространяются на анонимных пользователей.

ForceGuest Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: МОДЕЛЬ СОВМЕСТНОГО ДОСТУПА И БЕЗОПАСНОСТИ ДЛЯ ЛОКАЛЬНЫХ УЧЕТНЫХ ЗАПИСЕЙ.

Данный параметр может принимать следующие значения.

• 0. Данное значение устанавливается при помощи положения элемента ОБЫЧНАЯ - ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ УДОСТОВЕРЯЮТСЯ КАК ОНИ САМИ.
• 1. Данное значение устанавливается при помощи положения элемента ГОСТЕВАЯ - ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ УДОСТОВЕРЯЮТСЯ КАК ГОСТИ.

LmCompatibilityLevel Значение данного параметра изменяется элементом СЕТЕВАЯ БЕЗОПАСНОСТЬ: УРОВЕНЬ ПРОВЕРКИ ПОДЛИННОСТИ LAN MANAGER.

Данный параметр может принимать следующие значения.

• 0. Данное значение устанавливается при помощи положения элемента ОТПРАВЛЯТЬ LM И NTLM ОТВЕТЫ.
• 1. Данное значение устанавливается при помощи положения элемента ОТПРАВЛЯТЬ LM И NTLM - ИСПОЛЬЗОВАТЬ СЕАНСОВУЮ БЕЗОПАСНОСТЬ NTLMV2 ПРИ СОГЛАСОВАНИИ.
• 2. Данное значение устанавливается при помощи положения элемента ОТПРАВЛЯТЬ ТОЛЬКО NTLM ОТВЕТ.
• 3. Данное значение используется по умолчанию и устанавливается при помощи положения элемента ОТПРАВЛЯТЬ ТОЛЬКО NTLMV2 ОТВЕТ.
• 4. Данное значение устанавливается при помощи положения элемента ОТПРАВЛЯТЬ ТОЛЬКО NTLMV2-ОТВЕТ. ОТКАЗЫВАТЬ LM.
• 5. Данное значение устанавливается при помощи положения элемента ОТПРАВЛЯТЬ ТОЛЬКО NTLMV2-ОТВЕТ. ОТКАЗЫВАТЬ LM И NTLM.

NoLMHash Значение данного параметра изменяется элементом СЕТЕВАЯ БЕЗОПАСНОСТЬ: НЕ ХРАНИТЬ ХЭШ-ЗНАЧЕНИЯ LAN MANAGER ПРИ СЛЕДУЮЩЕЙ СМЕНЕ ПАРОЛЯ.

Данный параметр определяет, будет ли операционная система при установке пароля создавать не только его хэш NTLM, но и хэш LM (необходим для взаимодействия с Windows 9x). Хэш LM является слабым хэшем, при помощи значения которого очень просто взломать пароль пользователя.

По умолчанию хэш LM не сохраняется.

RestrictAnonymous Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: НЕ РАЗРЕШАТЬ ПЕРЕЧИСЛЕНИЕ УЧЕТНЫХ ЗАПИСЕЙ SAM И ОБЩИХ РЕСУРСОВ АНОНИМНЫМИ ПОЛЬЗОВАТЕЛЯМИ.

По умолчанию перечисление разрешено.

RestrictAnonymousSAM Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: НЕ РАЗРЕШАТЬ ПЕРЕЧИСЛЕНИЕ УЧЕТНЫХ ЗАПИСЕЙ SAM АНОНИМНЫМИ ПОЛЬЗОВАТЕЛЯМИ.

По умолчанию данный элемент включен. Это приводит к замене разрешений ВСЕ на разрешения ПРОШЕДШИЕ ПРОВЕРКУ.

Также некоторые настройки общего доступа изменяются при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\System\CurrentControlSet\Control\Lsa\MSV1_0.

NTLMMinClientSec Значение данного параметра изменяется элементом СЕТЕВАЯ БЕЗОПАСНОСТЬ: МИНИМАЛЬНАЯ СЕАНСОВАЯ БЕЗОПАСНОСТЬ ДЛЯ КЛИЕНТОВ НА БАЗЕ NTLM SSP (ВКЛЮЧАЯ БЕЗОПАСНЫЙ RPC).

Данный параметр может принимать следующие значения (эти значения могут суммироваться для суммирования требований).

• 524288. Данное значение устанавливается при помощи положения элемента ТРЕБОВАТЬ СЕАНСОВУЮ БЕЗОПАСНОСТЬ NTLMV2.
• 536870912. Данное значение устанавливается при помощи положения элемента ТРЕБОВАТЬ 128-БИТНОЕ ШИФРОВАНИЕ.

NTLMMinServerSec Значение данного параметра изменяется элементом СЕТЕВАЯ БЕЗОПАСНОСТЬ: МИНИМАЛЬНАЯ СЕАНСОВАЯ БЕЗОПАСНОСТЬ ДЛЯ СЕРВЕРОВ НА БАЗЕ NTLM SSP (ВКЛЮЧАЯ БЕЗОПАСНЫЙ RPC).

Данный параметр может принимать следующие значения (эти значения могут суммироваться для суммирования требований).

• 524288. Данное значение устанавливается при помощи положения элемента ТРЕБОВАТЬ СЕАНСОВУЮ БЕЗОПАСНОСТЬ NTLMV2.
• 536870912. Данное значение устанавливается при помощи положения элемента ТРЕБОВАТЬ 128-БИТНОЕ ШИФРОВАНИЕ.

Подраздел LanmanServer

И еще несколько параметров, которые можно изменить при помощи элементов данного подраздела, находятся в ветви реестра HKLM\System\CurrentControlSet\Services\LanManServer\Parameters. Эти параметры настраиваются на сервере, то есть, на компьютере, который предоставляет доступ к общим каталогам своей файловой системы.

Значения данных параметров имеют тип REG_DWORD.

NullSessionPipes Данный параметр имеет тип REG_MULTI_SZ. Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: РАЗРЕШАТЬ АНОНИМНЫЙ ДОСТУП К ИМЕНОВАННЫМ КАНАЛАМ.

По умолчанию анонимный доступ разрешен следующим каналам: netlogon, lsarpc, samr, browser.

NullSessionShares Данный параметр имеет тип REG_MULTI_SZ. Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: РАЗРЕШАТЬ АНОНИМНЫЙ ДОСТУП К ОБЩИМ РЕСУРСАМ.

Данный параметр определяет общие каталоги, к которым смогут получить доступ анонимные пользователи.

RestrictNullSessAccess Значение данного параметра изменяется элементом СЕТЕВОЙ ДОСТУП: ЗАПРЕТИТЬ АНОНИМНЫЙ ДОСТУП К ИМЕНОВАННЫМ КАНАЛАМ И ОБЩИМ РЕСУРСАМ.

По умолчанию анонимный доступ запрещен.

AutoDisconnect Значение данного параметра изменяется элементом СЕРВЕР СЕТИ MICROSOFT: ВРЕМЯ БЕЗДЕЙСТВИЯ ДО ПРИОСТАНОВКИ СЕАНСА.

По умолчанию значение данного параметра равно 15 минут.

EnableForcedLogOff Значение данного параметра изменяется элементом СЕРВЕР СЕТИ MICROSOFT: ОТКЛЮЧАТЬ КЛИЕНТОВ ПО ИСТЕЧЕНИИ РАЗРЕШЕННЫХ ЧАСОВ ВХОДА.

По умолчанию клиенты будут отключаться (соединения со службой SMB будут разрываться).

EnableSecuritySignature Значение данного параметра изменяется элементом СЕРВЕР СЕТИ MICROSOFT: ИСПОЛЬЗОВАТЬ ЦИФРОВУЮ ПОДПИСЬ (С СОГЛАСИЯ КЛИЕНТА).

Данный параметр определяет, разрешено ли будет использовать цифровую подпись для SMB-пакетов. По умолчанию использование цифровой подписи не используется.

RequireSecuritySignature Значение данного параметра изменяется элементом СЕРВЕР СЕТИ MICROSOFT: ИСПОЛЬЗОВАТЬ ЦИФРОВУЮ ПОДПИСЬ (ВСЕГДА).

Данный параметр определяет, необходимо ли будет использовать цифровую подпись для SMB-пакетов. По умолчанию использование цифровой подписи не используется.

Подраздел LanmanWorkstation

Также можно настроить ряд параметров, влияющих на работу клиента. То есть, на работу компьютера, который пытается подключиться к общим каталогам сервера.

Эти параметры имеют тип REG_DWORD и находятся в ветви реестра HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters.

EnablePlainTextPassword Значение данного параметра изменяется элементом КЛИЕНТ СЕТИ MICROSOFT: ПОСЫЛАТЬ НЕЗАШИФРОВАННЫЙ ПАРОЛЬ СТОРОННИМ SMB-СЕРВЕРАМ.

Данный параметр определяет, разрешено ли перенаправителю SMB отправлять на серверы SMB, не поддерживающие шифрование пароля, пароли открытым текстом. По умолчанию передача незашифрованного пароля запрещена.

EnableSecuritySignature Значение данного параметра изменяется элементом КЛИЕНТ СЕТИ MICROSOFT: ИСПОЛЬЗОВАТЬ ЦИФРОВУЮ ПОДПИСЬ (С СОГЛАСИЯ СЕРВЕРА).

RequireSecuritySignature Значение данного параметра изменяется элементом КЛИЕНТ СЕТИ MICROSOFT: ИСПОЛЬЗОВАТЬ ЦИФРОВУЮ ПОДПИСЬ (ВСЕГДА).

Другие настройки

Список открытых в данный момент общих папок можно просмотреть либо при помощи соответствующей оснастки, либо при помощи программы командной строки openfiles.exe.

По умолчанию список содержит в себе лишь общие папки, открытые по сети. Однако если параметру REG_DWORD типа GlobalFlag, расположенному в ветви реестра HKLM\System\CurrentControlSet\Control\Session Manager, присвоить значение 4000, тогда в списке также будут отображаться общие папки, открытые на локальном компьютере.

Продолжение следует