Windows 网络凭证

前言

单位内部，员工之间电脑免不了要相互访问（eg:访问共享文件夹）。这就引出网络凭证的概念，即你用什么身份访问对端计算机。

实验环境

创建共享文件夹

WinSrv 2008上新建的文件夹sharedata，共享给任何人。任何人都是参与者，即具有读写权限。

默认情况下，文件共享，网络邻居（可以发现局域网内其他用户）是关闭的，需要在网络和共享中心打开

访问共享文件夹

Win7上访问共享文件夹

值得注意的是，你第一次访问共享文件夹是需要输入账号密码的，但是只要成功连接一次，以后就不再需要使用账号密码了，即使你初次登陆的时候没有勾选“记住我的凭据”。这是因为Win7缓存了WinSrv 2008的凭证，这就带来了安全隐患。那这个缓存什么时候清除呢？只要这个用户不注销，缓存就一直存在。注销再登陆，或者关机再开机缓存就没了。或者Win7的用户不注销，WinSrv 2008改密码了，凭证自然就失效了。

查看、删除网络凭证

上图是删除所有网络凭证，如果只删除一条，可以使用命令 net use \\192.168.40.144 /del

IP地址和名称访问分别缓存凭证

上面访问共享文件夹使用的是\\IP地址，还可以\\名称。不要以为输入其中一个另一个就不要管了，两个是独立的，都要输入账号密码

 

缓存网络凭证带来的风险

上面实验，Win7缓存了WinSrv管理员的网络凭证。

凭借缓存的网络凭证，Win7可以远程启停WinSrv上的服务

还可以远程访问修改WinSrv的注册表。

操作注册表可以创建用户等，参考 Windows Server 2008 用户管理 

操作注册表可以开启远程桌面 参考：注册表编辑工具

 操作注册表可以远程关机

镜像账号

所谓镜像账号，指的是两台机器上的账号名称，密码一样的账号。

假设有两台WinSrv，分别用A、B表示。lisi再A上是管理员，属于管理员组。lisi再B上是普通用户。B上的lisi访问A上的共享文件夹不需要输入密码，这也带来了隐患。对于有些公司内部服务器是用一台计算机刻出来的，用户名密码一样，一旦一台计算机中病毒，其他计算机即使不上网也会跟着遭殃。由于镜像账号的原因，病毒在安全凭证这一块没有任何限制。

同样的，上面演示访问远端计算机服务，注册表等。B上的普通账号在A上是管理员，那么执行上面的操作就更方便了，因为连账号密码都不用输入。但是这种方式连接到A，执行管理员的操作，是在后台完成的。A上有个UAC，默认情况下，对于加入管理员组的用户，每次打开管理工具进行计算机管理时，都会弹出提示对话框进行授权。取消UAC就不会弹框提示授权了。因此，要想显示这个现象需要关闭A上的UAC

只允许使用guest账户访问共享资源

对于学校而言，有的时候需要共享某个文件给师生使用。如果还想上面一样，需要输入账号密码，无疑很麻烦。这个时候可以请用guest账号，这样师生在获取文件的时候不需要输入账号密码。

实现上述要求需要如下几步

①在 “服务器管理器-本地用户和组-用户” guest取消“账户已禁用”。注意不要设置密码

②在“本地安全策略”出设置仅来宾

经典：需要输入账号密码

仅来宾：不需要输入账号密码