Kiest u tijdens de Windows XP Home installatie voor een Standaard Netwerk Configuratie dan worden de volgende protocollen en diensten geïnstalleerd:
Het Internet Protocol TCP/IP ingesteld via DHCP
Client voor Microsoft-netwerken
Bestands- en printerdeling voor Microsofts netwerken
Het SMB over TCP protocol
De Quality of Service pakketplanner
Waar zijn ze voor nodig?
Het Internet Protocol TCP/IP wordt automatisch ingesteld via de Dynamic Host Configuration Protocol (DHCP) server van uw router of een ICS server. Met DHCP kunt u het internet op zonder u om zaken als routing en IP adressen te bekommeren. Of uw computer hierbij als client of server optreedt hangt af van de gebruikte TCP/IP applicaties.
De Client voor Microsoft-netwerken is nodig om verbindingen te leggen met Server Message Block servers. SMB servers zijn computers die hun lokale bronnen (printers en mappen) op het netwerk aanbieden ("serveren").
De dienst Bestands- en printerdeling voor Microsofts netwerken is alleen nodig op SMB servers, maar wordt standaard op ieder werkstation geïnstalleerd. Op een computer die zelf geen mappen of printers deelt kunt u hem handmatig verwijderen. De Wizard Netwerk instellen doet dat niet!
Recente Samba, Windows 2000 en XP clients en servers gebruiken voor de communicatie het SMB over TCP protocol op poort 445.
De Quality of Service pakketplanner kan nuttig zijn bij real-time (audio, video) netwerkapplicaties als uw applicaties, routers en switches QoS ondersteunen. Maar meestal stelt dit weinig voor.
Wat kunt u nog meer gebruiken?
Via het Netbios via TCP/IP (TCPBeui) protocol benadert de Client voor Microsoft-netwerken bronnen op Samba, Windows 3.11, 95, 98, ME, OS/2 en DOS servers. U leest er meer over in NetBIOS via TCP/IP inschakelen.
Het NetBIOS ethernetprotocol voor lokale werkgroepen NetBEUI (NetBIOS Extended User Interface) wordt formeel niet meer door Windows XP ondersteund, maar u kunt het installeren vanaf de map Valueadd\MSFT\Net\NetBEUI op de Windows XP installatie CD (NetBEUI installeren onder Windows XP). Veel informatie staat in de OS/2 sectie: Windows voorbereiden.
Met de Wizard Netwerk instellen (netsetup.cpl) kunnen de volgende voorzieningen worden ingesteld:
Internet Connection Sharing (ICS) om het internet te delen
Internet Connection Firewall (ICF) om de inbellende (gateway) PC te beschermen.
Simple File Sharing (SFS) om de bestanden op het LAN te delen.
Simple File Sharing lijkt op Eenvoudig delen in Microsofts eerdere LAN producten. Onder Windows XP Home is het de enige vorm van delen. Het verloopt via het gastaccount. Hierdoor profiteert u nauwelijks van de bescherming van het NTFS systeem. Simple File Sharing wordt in Gebruikersrechten op Windows XP Home uitvoerig besproken.
Maar in de praktijk komt het er op neer dat u de Eenvoudig gedeelde mappen via het gast-account laat benaderen. Dit gast-account heeft standaard geen wachtwoord en uw shares zijn dan door iedereen te benaderen. Dat is natuurlijk gemakkelijk, maar levert ook een enorm veiligheidsrisico op.
De oude manier van delen in het Windows evenknienetwerk, waarbij computergebruiker Jan alleen maar de shares van Piet kan benaderen als hij gebruikersaccount heeft op de computer van Piet, kwam in XP Home te vervallen. Shares zijn nu alleen maar eenvoudig te delen als u ze toegang verschaffen aan de groep Iedereen.
Internet delen, in het Engels Internet Connection Sharing (ICS) werd in Windows 98 SE geintroduceerd. Een via een modem met de internet provider verbonden Windows PC werkt als NAT router en DHCP server voor het LAN. De met de ICS server verbonden PC's krijgen via de DHCP server IP adressen in de 192.168.0.x reeks.
|
Met het internet verbonden modem (telefoon, ADSL, kabel) |
LAN interface hub/ switch |
ICS clients |
|
|---|---|---|---|
|
Internet (ISP) <------- |
Publiek IP adres |
|
|
|
|
Netwerkadresvertaling ---------- firewall---------- |
|
|
|
|
192.168.0.1 (DHCP server) |
geen IP adres
|
192.168.0.2 t/m 192.168.0.254 met netmasker: 255.255.255.0 |
De met het internet verbonden computer (hier de ICS server) heeft een firewall nodig om de servers op de onveilige interface met het publieke netwerkadres te beschermen. Hiervoor was de Internet Connection Firewall (ICF) bedoeld. Sinds Windows XP Service Pack 2 voor XP wordt de Windows firewall standaard aangezet. Ook als u geen lokaal netwerk heeft of inlogt binnen een bedrijfsnetwerk (domein).
De IP adressen 192.168.x van de ICS clients zijn niet op het internet te zien. Maar ze hebben wel virusscanners en persoonlijke firewalls nodig om besmetting van het LAN via mail, mediadragers en gedownloade bestanden te voorkomen. Daarnaast kunnen ze ook als client riskante verbindingen onderhouden met het internet (peer-to-peer, Instant Messengers, MSIE's ActiveX). Zelfs anti-virus software komt in de SANS/FBI top 20 van kwetsbare programma's voor. Daarom is op iedere met het internet verbonden computer een gebruikersaccount met beperkte rechten essentieel.
Internet delen is vooral voor "Windows netwerken" bedoeld, maar u kunt natuurlijk ook andere clients (OS/2, Linux, etc) gebruik laten maken van de Windows ICS server. U geeft ze dan een vast IP adres in 192.168.0.2 t/m 192.168.0.254 reeks en stelt 192.168.0.1 als de default route (gateway) in. De IP adressen van de DNS krijgt u van uw provider. Ze zijn ook te achterhalen door op het pictogram LAN-verbinding rechts te klikken: Status / Tabblad Ondersteuning / Details of met ipconfig /all op de prompt.
Een opzet met een hardware router en firewall is een stuk veiliger. Zo'n router draait geen Outlook of andere gemakkelijk te misbruiken client software. Een router heeft ook geen vaste schijf: hij draait altijd dezelfde software vanaf zijn EPROM. Hierdoor krijgen virussen en Trojaanse paarden geen vat op de router. Ze kunnen alleen de groen gekleurde LAN adressen besmetten, maar hun servers zijn niet op het internet te zien.
Meestal belt de router voor u naar het ADSL of kabelmodem in. U kunt de netwerkadressen zelf instellen.
|
breedbandmodem |
Router |
LAN interface hub/ switch |
Werkgroep van LAN clients |
|---|---|---|---|
|
Internet (ISP) <------- |
Publiek IP adres op WAN interface |
|
|
|
|
Netwerkadresvertaling ------router firewall---------- |
|
|
|
|
192.168.1.1 (DHCP server) op LAN interface |
geen IP
|
192.168.1.2 t/m 192.168.1.254 met netmasker: 255.255.255.0 |
Omdat de router de netwerkadresvertaling, de DHCP server en de de firewall functies levert, zet u Windows Internet Connection Sharing (ICS) en Firewall (ICF) uit.
Ieder lid van de werkgroep draait immers uitsluitend onder een veilig niet op het internet zichtbaar IP adres. Maar ook hier zijn virusscanners en zowel het in- als uitgaande persoonlijke firewalls zinvol om besmetting van het LAN via het internet en mediadragers te voorkomen. De verplichte gebruikersaccounts met beperkte rechten sluiten de beveiliging af. Want u heeft weinig aan een firewall als uw zoontje via het internet alles installeren mag.
Hoe zet u Windows Internet Connection Sharing (ICS) en Firewall (ICF) uit?
Kies in de Wizard Netwerk instellen (netsetup.cpl) bij Selecteer een verbindingsmethode voor Overige.
Kies vervolgens voor: Deze computer maakt rechtstreeks verbinding met het Internet of doet dat via een hub in het netwerk.
Sinds Windows XP Service Pack 2 wordt de bij Windows XP meegeleverde Internet Connection Firewall (ICF) standaard aangezet. Deze Windows Firewall verzorgt de netwerkadresvertaling van Internet Delen (ICS) en beschermt de op het internet aangesloten computers tegen indringers van buiten.
Op
een nieuwe Windows XP (SP0) installatie zet u hem aan via:
Daarna is het zaak om Service Pack 2 te installeren.
Service Pack 2 zet de ICF firewall standaard aan. Maar firewalls van derden kunnen de ICF firewall weer uitzetten. Deïnstalleert u zo'n programma omdat de gratis proefperiode is verstreken, dan zit u zonder firewall. Maar als het goed is zal het Windows Beveiligingscentrum u dan een waarschuwing geven.
In SP2 zet u de ICF firewall weer aan via Start / Configuratiescherm / Beveiligingscentrum / Windows firewall.
De
Windows Firewall controleert alleen het binnenkomende verkeer. Met
betrekking tot het TCP verkeer gebeurt dit via statefull
inspection. Hierbij worden alleen TCP pakketjes van vreemde hosts
die een verzoek van uw Windows client beantwoorden doorgelaten.
Pakketjes die niet van de door uw programma's benaderde diensten
afkomstig zijn worden weggegooid, tenzij u voor bepaalde programma's
uitzonderingen toestaat.
Pakketjes waar uw programma's niet om gevraagd hebben worden door de firewall onderschept, tenzij u voor bepaalde diensten (MSN) uitzonderingen toelaat. Omdat de TCP/IP stack de onderschepte pakketjes niet ziet zal zij aan vreemden ook geen "port closed" antwoord zenden. Hierdoor wordt uw PC onzichtbaar (stealth) voor poortscans vanaf het internet.
Bij het verbindingsloze UDP verkeer werkt statefull inspection niet. De meeste Peer-to-peer (P2P) en Instant Messaging (IM) programma's maken van UDP gebruik. Dit blijven dus kwetsbare diensten.
De Windows XP firewall voert geen controle uit op het uitgaande verkeer. Dit maakt het gebruik gemakkelijker (minder pop-ups), maar heeft al nadeel dat u nog steeds niet goed weet wat er op het netwerk gebeurt. In de opvolger van Windows XP (Svista) wordt uitgaande client verkeer wel gecontroleerd.
In veel persoonlijke firewalls van andere partijen kunt u wel opgeven welke programma's uitgaande verbindingen met de buitenwereld mogen maken. Bovendien krijgt u een waarschuwing als zo'n programma door een virus of een update is veranderd. Deze firewalls zetten de Windows ICF firewall meestal uit.
Op het tabbad Uitzonderingen kunt u aangeven welke applicaties (Programma toevoegen) of poorten (Poort toevoegen) toegang tot het lokale netwerk en/of de buitenwereld.
Op uw eigen thuisnetwerk moeten diensten als Bestands- en printerdeling natuurlijk wel in staat zijn om client verzoeken te ontvangen. Via de optie Bereik wijzigen kunt u aangeven van wie die verzoeken mogen komen. Bestands- en printerdeling en het UPnP-framework staan standaard op Alleen dit netwerk (subnet) ingesteld. Maar voor het Externe bureaublad en Windows Messenger is dat iedere computer, tenzij u alleen verbindingen binnen uw eigen (bedrijfs)netwerk wilt toestaan. Het bereik van Windows diensten als Extern bureaublad en Hulp op afstand kunt u beter beperken tot de IP adressen van degenen die u daadwerkelijk helpen (Bewerken \ Bereik wijzigen). Diensten die u niet nodig heeft zet u natuurlijk uit.
|
Dienst |
Poorten |
Bereik |
|---|---|---|
|
Bestands- en printerdeling |
139/TCP, 445/TCP, 137/UDP, 138/UDP |
Subnet |
|
Extern bureaublad |
3389/TCP |
Elke computer (IP adres van uw "helpdesk") |
|
Hulp op afstand |
? |
Elke computer (IP adres van uw "helpdesk") |
|
MSN Explorer |
? |
Elke computer |
|
UPnp Framework |
2869/TCP, 1900/UDP |
Subnet |
|
Windows Messenger |
? |
Elke computer (subnet, IP adressen van uw maatjes) |
Nieuwe diensten voegt u toe met Programma toevoegen. U ziet een lijst van geïnstalleerde programma's en kiest daaruit de dienst die u wilt activeren (eventueel na Bladeren). U lijkt op OK en selecteert de dienst opnieuw om het bereik (scope) in te stellen. Want standaard geeft XP Elke computer (Any) toegang tot uw dienst. Vreemd genoeg zag ik geen optie om de poorten in te stellen en dat is jammer.
Omdat in onveilige netwerken (bijv. het wlan van een vliegveld) het lokale netwerk door iedereen wordt gedeeld, kunt u onder de tab Algemeen de op uw eigen netwerk veilig beschouwde uitzonderingen tijdelijk uitzetten (Geen uitzonderingen toestaan). U kunt dan wel client verbindingen opbouwen (mail, browser), maar MSN en andere onder uitzonderingen vermelde diensten zullen het dan niet doen. Poortscanners zullen u niet meer vinden.
Op een draadloos thuisnetwerk moet u uw shares natuurlijk met WPA encryptie en MAC filters beveiligen. Want anders kunnen war-drivers meteen van de uitzonderingen op uw subnet gebruik maken. Als u uw software alleen als client inzet, is geen uitzonderingen toestaan natuurlijk de beste optie. Programma's als Windows Update die gebruik maken van een aparte bibliotheek (ICF API) kunnen de door hen benodigde poorten tijdelijk ook zelf open zetten. Het voordeel is dat u er geen omkijken naar hebt. Maar anderen vinden dit eng. Het is maar in wie je vertrouwen stelt.
In het laatste tabblad Geavanceerd kunt u onder de Instellingen van de netwerkverbinding internetdiensten aan interfaces (netwerkaarten, modems) verbinden.
U kunt protocollen activeren, toevoegen en bewerken.
Een protocol dat u misschien toevoegen moet is dat van de identificatie daemon (identd) op poort 113.
Via Bewerken in services kunt u aangeven op welk IP adres een internetdienst op het via Internet Connection Service gedeelde netwerk draait. Maar als u niet van ICS gebruik maakt en het IP adres van een Linux server invoert, werkt het niet.
Andere opties zijn het activeren van het firewall logsysteem (standaard uit) en het instellen van toegelaten ICMP protocollen (standaard geen).
Het aanzetten van het firewall logsysteem kan geen kwaad. Het bestuderen van uw eigen logbestanden is de beste manier om TCP/IP te leren kennen.
Voor IMCP geldt, iedere IMCP dienst die u niet (meer) gebruikt, zet u uit.
Met de knop Standaardinstellingen gaat Windows weer over tot de default firewall instellingen.
Meer lezen:
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (word document) : Uitleg van Microsoft over hoe je de Windows SP2 Firewall eigenlijk moet gebruiken. Het geïnstalleerd hebben van een firewall is immers niet genoeg. Maar ik denk dat maar weinig XP gebruikers de handleiding gelezen hebben.
Weinig bekend, maar goed om te weten, is dat de TCP/IP stack en firewall van Windows 2000 en XP naast hun grafische interface ook een command-line interface hebben. U roept hem op met het beheerprogramma netsh:
C:\Documents and Settings\root>netsh netsh>? De volgende opdrachten zijn beschikbaar: Opdrachten in deze context: .. - Een contextniveau omhoog. ? - Een lijst met opdrachten weergeven. abort - Wijzigingen verwijderen die zijn gemaakt in off line-modus. add - Een configuratievermelding aan een lijst met vermeldingen toevoegen. alias - Een alias toevoegen. bridge - Wijzigingen doorvoeren in de context netsh bridge. bye - Het programma afsluiten. commit - Wijzigingen doorvoeren die zijn gemaakt in off line-modus. delete - Een configuratievermelding uit een lijst met vermeldingen verwijderen. diag - Wijzigingen doorvoeren in de context netsh diag. dump - Een configuratiescript weergeven. exec - Een scriptbestand uitvoeren. exit - Het programma afsluiten. firewall - Wijzigingen doorvoeren in de context netsh firewall. help - Een lijst met opdrachten weergeven. interface - Wijzigingen doorvoeren in de context netsh interface. offline - De actieve modus instellen op off line. online - De actieve modus instellen op on line. popd - Een context van de stack verwijderen. pushd - Huidige context op stack plaatsen. quit - Het programma afsluiten. ras - Wijzigingen doorvoeren in de context netsh ras. routing - Wijzigingen doorvoeren in de context netsh routing. set - Configuratie-instellingen bijwerken. show - Gegevens weergeven. unalias - Een alias verwijderen. winsock - Wijzigingen doorvoeren in de context netsh winsock. De volgende subcontexten zijn beschikbaar: bridge diag firewall interface ras routing winsock Voor Help-informatie bij een opdracht, typt u de opdracht, gevolgd door een spatie en vervolgens ?. netsh>
Het is belangrijk om te weten dat via deze netsh(ell) programma's en scripts uw netwerk- en firewallinstellingen ingrijpend kunnen veranderen. Het is een reden te meer om nooit als beheerder te gaan internetten. Want het excuus "Ik heb toch de Windows firewall" geldt niet als ieder programma met een kritisch lek (shelltoegang) buiten uw wil uw firewall kan uitzetten. Windows zal dan een waarschuwing geven, maar het is de vraag of u dat bijtijds opmerkt. U zult het i ieder gavl niet zien als het maar een poort betreft. Opdrachten als "netsh firewall set allowedprogram WORM enable" zijn geliefd bij gatenkaas minnende virussen en wormen (hier WORM genaamd).
De opdracht "netsh firewall show state verbose = enable" laat u bijvoorbeeld zien wat er echt gebeurd. En dan blijken er nogal wat UDP poorten van zogenaamde null-sessies standaard aan te staan.
Het
grote voordeel van de Windows firewall is dat hij voor veel mensen
probleemloos werkt.
Hij wordt automatisch redelijk veilig ingesteld bij miljarden gebruikers.
Als hij uit staat geeft het beveiligingscentrum een waarschuwing.
Windows applicaties als MS Messenger kunnen de regels tijdelijk wijzigen.
De firewall maakt onderdeel uit van Internet delen.
Belangrijke nadelen zijn:
Er vindt geen controle plaats van het uitgaande verkeer (spammende wormen).
De firewall staat standaard ook aan op computers die al een interne of externe firewall hebben.
Applicaties met administrator rechten kunnen met netsh de firewall gemakkelijk "bijstellen".
De firewal houdt geen "updates" van systeembestanden bij.
Vanwege de simpele interface zal de firewall een vals gevoel van veiligheid geven.
Personal Firewalls die ook het uitgaande verkeer controleren, niet via scripts te managen zijn en me een waarschuwing geven als de door mij gebruikte internetprogramma's veranderd zijn, hebben toch wel mijn voorkeur. Maar de grote winst van de Windows Firewall is wel dat hij ook bij miljarden Windows gebruikers die je niet aan een (inter)netwerk toevertrouwen kunt standaard wordt aangezet. En dat houdt Windows weer wat langer in stand.
Windows ICF: Can't Live With it, Can't Live Without it
Microsoft Windows XP Service Pack 2 - Windows Firewall
De Wizard netwerk instellen is bedoeld om snel de netwerkfuncties van XP in te stellen.
Log in als beheerder. Zorg ervoor dat u de stuurbestanden van uw netwerkkaart geïnstalleerd heeft. Is dat nog niet gebeurd, dan moet u de Wizard nieuwe hardware draaien.
Onder Start / Alle programma's / Bureau-accessoires / Communicatie vindt u de Wizard netwerk instellen.
Hiermee kunt u:
Een Internet-verbinding delen met Internet Connection Sharing (ICS)
De Windows Firewall instellen
Mappen, bestanden en printers delen binnen een werkgroep.
De Wizard adviseert u om alle computers op het netwerk aan te zetten en een internetverbinding te maken. Gebruikt u een hardware router dan is dat waarschijnlijk al gebeurd. Computers met bronnen (mappen, printers) die u graag wilt benaderen zet u natuurlijk wel aan. En dat mag ook een Linux server zijn.
Daarna moet u een keuze maken tussen:
Deze computer maakt rechtstreeks verbinding met het Internet.
Deze computer maakt verbinding met het internet via een gateway in mijn huis of via een andere computer in mijn netwerk.
Overige.
In het eerste geval is de computer via een modem (telefoon, ISDN, kabel, adsl) met het internet verbonden. Windows zal dan een ICS server op uw computer installeren. ICS bevat een DHCP server die u waarschijnlijk niet gebruiken wilt als uw router er al een heeft.
In het tweede geval zal het modem achter een router of een andere computer staan.
In de volgende vraag moet u aangeven of u de bestanden en printers van Deze computer met anderen wilt delen.
Bestands- en printerdeling inschakelen. Windows Firewall wordt geconfigureerd voor bestands- en printerdeling in uw netwerk.
Bestands- en printerdeling uitschakelen. Bestands- en printerdeling in uw netwerk wordt door Windows Firewall geblokkeerd. Als u momenteel bestanden of printers deelt, worden deze niet langer gedeeld.
Maar in beide gevallen blijven de stuurbestanden voor Bestands- en printerdeling voor Microsofts netwerken op het systeem actief! De tweede optie verwijdert Bestands- en printerdeling niet, maar stelt slechts de Windows Firewall anders in. Zodra iemand die Firewall uitzet of verandert (netsh!), staan uw bronnen weer te kijk. Gelukkig heeft Windows XP Home geen verborgen beheerdersshares, maar XP Professional heeft die wel.
Als u uw bronnen niet met anderen delen wilt kunt u Bestands- en printerdeling voor Microsofts netwerken het best van uw systeem verwijderen! Daarna kunt u met behulp van Client voor Microsoft-netwerken nog wel de Windows, OS/2 en Linux samba shares (gedeelde mappen en printers) op andere computers bereiken.
Rechts klikken op Mijn netwerklokaties / Eigenschappen
Rechts klikken op LAN-verbinding / Bestands- en printerdeling voor Microsoft-netwerken selecteren en Verwijderen kiezen. Windows meldt u dat het voor alle verbindingen geldt. Daarna Sluiten.
Maar controleer dit voor de zekerheid met ALLE verbindingen (en zeker onder andere Windows versies).
En verwijder in Mijn netwerklokaties ook alle verbindingen die u niet kent (http://www.dialerdetect.nl)
U kunt ook de weg van Start / Configuratiescherm / Netwerkverbindingen kiezen.
Als u helemaal geen bronnen met andere computers deelt kunt u het best zowel Client voor Microsoft-netwerken als Bestands- en printerdeling voor Microsofts netwerken van uw systeem verwijderen!
Ten slotte vraagt de Wizard of u het volgende wilt:
Een netwerkinstallatiediskette maken
Een bestaande netwerkinstallatiediskette gebruiken
Een cd-rom met Windows XP gebruiken
Doorgaan met de wizard. Ik hoef de wizard niet op ander computers uit te voeren.
Aangezien de netwerkinstallatiewizard me nooit kon uitleggen wat een en ander betekende voor Linux of OS/2 koos ik altijd voor de laatste optie. Je moet een netwerk immers nooit installeren op een manier die je niet begrijpt. Want dat is vragen om problemen. Om die reden kies ik liever voor de handmatige instellingen.
Als eerste moet u PC een computernaam geven.
Hiervoor rechts-klikt u op Deze computer en kiest Eigenschappen. De opdracht sysdm.cpl werkt ook. U komt in het tabblad Systeemeigenschappen.
In het tab Computernaam ziet u de naam van de computer en de naam van de werkgroep (standaard: MSHOME). Stel die desgewenst opnieuw in. Het kan ook via de wizard Netwerk instellen. Overigens kan Windows ook niet opgegeven werkgroepen in uw netwerkomgeving laten zien.
Indien het pictogram van Deze computer nog niet uw desktop te zien is:
Start / Re klik op Deze computer / Op bureaublad weergeven.
Dat kunt ook met Mijn documenten doen.
Na een verplichte reboot logt u weer als beheerder in.
U klikt met de rechter muisknop op Deze computer en kiest Netwerkverbinding maken.
U ziet het dialoogvenster Netwerkverbinding maken.
Op het netwerk moet u over een gebruikersnaam en een wachtwoord beschikken. Ik ben als beheerder ingelogd, maar ik wil als gebruiker sjoerd een verbinding maken. U kunt immers alleen met enig recht als beheerder netwerken als u ook de benodigde MCSE papieren hebt (overigens nog geen garantie voor veilig computergebruik).
Met verbinding maken via een andere gebruikersnaam kunt u een geldig account op de andere computer kiezen. En dat kan sjoerd:wachtwoord zijn, maar ook Administrator of gast zonder wachtwoord, als de beheerder een netwerk onbenul is. Dat laatste is helaas de regel.
Windows
oppert de letter Z: voor het nieuw aan te maken netwerkstation. Dit
kunt u natuurlijk veranderen.
De Netbios sharenaam (\\computer\share) van de Map moet u zelf invullen.
Al u het niet weet kunt u voor Bladeren kiezen. Dit werkt ook op het internet. Het hangt van andermans firewall instellingen af of u wat ziet.
Ik
zie hier vier servers: deskpro, multiboot, xphome en zolder. De
opdracht "net view" geeft hetzelfde aan.
Servers waar een plus voor staan bevatten mappen (shares, bronnen). Hiervan kiest u degene die u benaderen wilt. Maar hier staan minnetjes. Maar met "net view server " zult u ze toch vaak zien. Daarna kunt u de meer specifieke opdracht geven : net use z: \\zolder\sjoerd of "grafisch" Map: \\zolder\sjoerd op Z:.
Als u er grafisch niet uitkomt kunt de hulp van de opdrachtverwerker inroepen. Ik heb het hierboven al uitgelegd.
Start / Uitvoeren / cmd
De opdracht net view laat de netwerkservers zien. U kunt zich standaard verbinden met Windows 2000, XP en samba servers, maar nog niet met OS/2 of Windows 95, 98 of ME.
Microsoft Windows XP [versie 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\root>net view Servernaam Opmerking -------------------------------------------------- \\DESKPRO \\MULTIBOOT \\XPHOME \\ZOLDER Samba 3.0.20b-2.1-SUSE De opdracht is voltooid.
Net view \\servernaam laat de shares op de server zien. Maar niet altijd:
C:\Documents and Settings\root>net view \\multiboot Systeemfout 5. Toegang geweigerd.
In dit geval wordt de gebruiker root op multiboot geweigerd. Op de opdrachtverwerker ben ik als root ingelogd.
Idealiter zou dit moeten gebeuren (de share \\multiboot\data mounten met net use)
C:\Documents and Settings\root>net use j: \\multiboot\data Wachtwoord is niet geldig voor \\multiboot\data. Geef de gebruikersnaam voor 'multiboot' op: sjoerd Geef het wachtwoord voor multiboot op: De opdracht is voltooid.
Maar er speelt ook een ander probleem. Ook gebruiker sjoerd komt er niet in, maar nu met een andere fout:
C:\Documents and Settings\sjoerd>net view \\multiboot Systeemfout 53. Kan het netwerkpad niet vinden.
Deze foutmelding geeft aan dat Windows geen antwoord kreeg van de server \\multiboot.
Redenen kunnen zijn:
De server stond uit (probeer ping server).
De server werd door een DNS probleem niet gevonden (probeer achtereenvolgens een ping op de hostnaam en het ipadres).
De server werd door verkeerde routing niet gevonden (probeer een tracert op het ipadres).
De server serveerde niets (op de server als beheerder de "net share" opdracht geven, Bestands- en printerdeling voor Microsofts netwerken moet op de server geïnstalleerd zijn).
Een firewall blokkeert het berichtenverkeer (mn TCP poort 139 en 445, maar ook ping kan geblokkeerd zijn).
Problemen met gebruikersrechten spelen op dit nivo niet. Zij geven een "Toegang geweigerd" (Access denied) foutmelding. Dit gebeurt al als u een persoonlijke map op Windows XP Home probeert te benaderen. Zie: Eenvoudig netwerkbronnen delen op NTFS . Als de bron zich op FAT32 bevindt, gebeurt dit niet.
Voor OS/2 en oudere Windows klanten moet u NetBIOS of NetBIOS via TCP/IP gebruiken. Windows 2000 en XP gebruiken standaard het SMB over TCP/IP protocol dat via poort 445 loopt. Linux (samba) kan ermee overweg, maar OS/2, DOS en Windows NT en 95 t/m ME niet.
Start / Configuratiescherm / Netwerkverbindingen. Die was er bij mij nog niet. Wel de Wizard Netwerk instellen.
In netwerkverbindingen selecteert u de LAN-verbinding. Rechts-klikken voor de Eigenschappen. U komt in de Eigenschappen voor de LAN-verbinding. Zet de handige optie Pictogram in het systeemvak weergeven gedurende de verbinding aan.
Selecteer en klik op het Internet-protocol (TCP/IP). Kies Geavanceerd op de tab Algemeen. In de geavanceerde TCP/IP-instellingen gaat u naar het Tabblad WINS. Hier selecteert u NetBIOS via TCP/IP inschakelen.
De standaard waarde Stel de NetBIOS instelling vanaf de DHCP server in, laat weliswaar SMB shares via mijn DHCP server zien, maar stelt XP niet altijd in staat om een verbinding op te bouwen via poort 139. Maar met NetBIOS via TCP/IP inschakelen doet de rest van uw heterogene netwerk weer expliciet mee.
U moet u vaak weer af- en aanmelden om de instellingen toe te passen.
Re klik op Deze Computer
Netwerkverbinding maken
Netwerkmap en server en share selecteren (\\multiboot\data)
En ik ben met mijn datapartitie verbonden.
Mocht dit niet lukken, probeer dan op de prompt:
net use g: \\server\bron
PS U kunt ook alleen gebruik maken van het NetBIOS. U moet dan NetBIOS via TCP/IP uitschakelen. Maar daarmee staat poort 445 nog niet uit.
Wilt u het uzelf gemakkelijk maken, dan geeft u de groep Iedereen op het netwerk lees- en schrijf- of alleen leestoegang tot uw XP gedeelde bronnen.
Dit is de gang van zaken bij het Eenvoudig delen van Windows XP Home. En dit is ook de eerste suggestie die Windows XP Professional in een werkgroep doet zodra u en share aanmaakt. Bij Eenvoudig delen logt iedere netwerkgebruiker via het gastaccount in.
Er is een belangrijk verschil tussen XP Home en XP Professional. Op XP Home kunnen alleen die bronnen gedeeld worden die zowel op het netwerk als op NTFS toegankelijk gemaakt zijn voor de groep Iedereen, terwijl u op XP Professional (en Windows 2000) specifieke NTFS persmissies op uw shares kunt instellen. Bijvoorbeeld de gebruiker \\XPServer\sjoerd lees en schrijfrechten geven en de groep \XPServer\Gebruikers alleen leesrechten.
|
|
Netwerk rechten |
NTFS rechten |
Resultaat |
|---|---|---|---|
|
XP Home/Prof met Eenvoudig delen |
Iedereen lezen en schrijven. |
Iedereen lezen, uitvoeren en schrijven. Dit is de standaardinstelling van FAT32 schijven! |
Als u zowel op het netwerk als op NTFS lezen en schrijven met of zonder correct wachtwoord toelaat, kunnen alle netwerkgebruikers de bestanden van de bron lezen, wissen, bewerken en inzien. |
|
XP Home/Prof met Eenvoudig delen |
Iedereen lezen en schrijven |
Iedereen alleen lezen en uitvoeren. Sjoerd lezen, uitvoeren en schrijven. |
Bij Eenvoudig delen gelden de rechten van de groep Iedereen: In dit geval kan iedereen met of zonder wachtwoord uw bron lezen. Dit speelt zowel lokaal als op het netwerk, vanwege de NTFS permissies. Gebruiker Sjoerd met zijn extra NTFS rechten lokaal wel bestanden bewerken, maar niet via het netwerk omdat hij daar deel uitmaakt van de groep Iedereen. |
|
XP Home/Prof met Eenvoudig delen |
Iedereen alleen lezen |
Iedereen lezen, uitvoeren en schrijven. Sjoerd alleen lezen. |
Via het netwerk zijn de bronnen alleen te lezen. Lokaal kan Sjoerd de bronnen ook beschrijven, omdat iedere gebruiker incl. Sjoerd onder de groep Iedereen valt. Eenvoudig gedeelde schijven zijn niet te beveiligen! |
|
XP Home/Prof met Eenvoudig delen |
Iedereen alleen lezen |
Iedereen alleen lezen. Sjoerd lezen en schrijven. |
Via het netwerk is alleen het lezen met of zonder wachtwoord van de bron toegestaan. De lokale rechten worden door de NTFS permissies bepaald, zoals die voor Sjoerd. |
Op XP Home kunt u met Fajo ook wel specifieke NTFS rechten instellen, maar omdat XP Home slechts Eenvoudig (alles of niets ) kan delen kunnen uw bronnen alleen maar via de groep Iedereen (het gastaccount) bereikt worden. Uw shares laten zich dan alleen maar delen volgens een alles of niets principe: oftewel een gast heeft op NTFS ook lees en/of schrijfrechten op een met Iedereen gedeelde map of hij heeft dat niet.
Op een Windows XP Professional bron kunt u het beste Eenvoudig delen uitschakelen door als Beheerder in de Verkenner: Extra / Mapopties / Weergave / Eenvoudig delen van bestanden gebruiken (aanbevolen) UIT te schakelen. Daarna mag u via de netwerkinstellingen nog wel toegang verlenen aan de groep Iedereen, maar zonder Eenvoudig delen van bestanden te gebruiken, wordt de naam en het wachtwoord van iedere gebruiker van een Windows XP Prof bron gecontroleerd op zijn NTFS permissies. Dus Iedere gast mag erin, maar alleen degene die de NTFS toegangsrechten hebben tot de gedeelde bronnen kunnen er wat mee. En dat kunt u zelf instellen.
Voor FAT shares en CD's gelden de NTFS permissies niet. Hier heeft de groep Iedereen de toegangsrechten tot de schijf. Maar als u Eenvoudig delen uitzet en er voor zorgt dat de Groep Iedereen geen netwerkrechten heeft, kunt u de toegangsrechten tot de bronnen net als onder Windows 9x beperken.
|
|
Netwerk rechten |
NTFS rechten |
Resultaat |
|---|---|---|---|
|
XP Prof met Eenvoudig delen uit |
Iedereen lezen en schrijven. |
Niet van toepassing. Iedereen kan lezen, uitvoeren en schrijven. FAT32 schijven! |
Op FAT schijven bepalen alleen de netwerkrechten de toegang tot de bron. |
|
XP Prof met Eenvoudig delen uit |
Gebruikers lezen en schrijven |
Niet van toepassing. Iedereen kan lezen, uitvoeren en schrijven. FAT32 schijven! |
Lokale gebruikers mogen alles op FAT schijven, maar als de groep iedereen vervangen wordt door gebruikers, mogen alleen gebruikers met het juiste naam en wachtwoord op FAT bronnen inloggen. Let er op dat de gebruiker gast ook een Gebruiker is! |
|
XP Home/Prof met Eenvoudig delen |
Iedereen alleen lezen |
Iedereen lezen, uitvoeren en schrijven. Sjoerd alleen lezen. |
Via het netwerk zijn de bronnen alleen te lezen. Lokaal kan Sjoerd de bronnen ook beschrijven, omdat iedere gebruiker incl. Sjoerd onder de groep Iedereen valt. Eenvoudig gedeelde schijven zijn niet te beveiligen! |
|
XP Home/Prof met Eenvoudig delen |
Iedereen alleen lezen |
Iedereen alleen lezen. Sjoerd lezen en schrijven. |
Via het netwerk is alleen het lezen met of zonder wachtwoord van de bron toegestaan. De lokale rechten worden door de NTFS permissies bepaald, zoals die voor Sjoerd. |
Bronnen die op een dollarteken eindigen (bronnaam$) zullen niet met "net view \\server" of in de netwerkomgeving te zien zijn. Dit heeft een historisch achtergrond. Onder OS/2 en Windows eindigen de automatisch door LAN Manager aangemaakte beheerdersbronnen (ADMIN$ en IPC$) allemaal op een dollar. Dit zijn door netwerkbeheerders gebruikte bronnen die een gewoon gebruiker niet hoeft te zien. Vandaar dat de software zo geschreven is, dat ze deze shares negeert.
Nu geloven veel gebruikers dat als ze gewone netwerkbronnen op een dollarteken laten eindigen, ze hun bronnen voor de buitenwereld verstoppen. Maar dat is niet waar. Want software hoeft de shares met dollartekens niet te negeren. Hackertools en scanners doen dit zeker niet. De beheerdersshares staan daarom al jaren in de SANS Top 20 van bekende kwetsbaarheden.
Om
uw netwerk met hackersogen te bekijken laat de gratis SoftPerfect
Network Scanner: fast and free network scanner de verborgen
shares van Windows computers wel zien. Vink hiervoor in Program
options / Shares / All aan. Het is meteen een aardige test voor uw
firewall, want als het goed is zou die geen informatie mogen lekken.
Bijv. over de vraag of de beheerder wel een wachtwoord heeft (dan
ziet u een slotje op de beheerdersshare). En of piet met wachtwoord
piet inlogt. Want dan komt u er ook snel in.
Op Windows XP home computer heb ik drie bronnen aangemaakt: test$, onpersoonlijk en Documenten. Zoals u ziet kan een simpele scanner de "verborgen" testbron test$ zien.
192.168.1.201 XP 8 ms
test$
onpersoonlijk
IPC$
DocumentenOp Windows 2000 zien we de door mij aangemaakt bron sjoerd en drie beheerdersshares: IPC$, C$ en ADMIN$. IPC is een share voor Interproces Communicatie, C$ slaat op de C schijf en ADMIN$ is een share voor opdrachten op afstand in de systeemmap (C:\WINNT).
192.168.1.204 W2K 30 ms
sjoerd
IPC$
C$
ADMIN$Volgens het artikel Verborgen shares of beheerdersshares maken en verwijderen op clientcomputers kent Windows XP Home geen verborgen beheerdersshares. Inderdaad ontbreken de shares van de root drive (C$) en de systeemshare ADMIN$ en dat is maar goed ook gezien het feit dat XP Home alleen maar via het gastaccount bronnen kan delen. Maar op Windows NT, 2000 en XP Professional horen ze tot de standaarduitrusting.
Ook Samba, Windows 9x en OS/2 kennen de shares IPC$ en ADMIN$. Er staat een slotje op, maar dat verdwijnt als u vanuit een beheerdersaccount scant. Op OS/2 staat de map ADMIN$ voor \IBMLAN. De map is alleen voor anderen zichtbaar als u als beheerder de "net share" opdracht gegeven hebt en OS/2 de NetBIOS naam kan oplossen. OS/2 maakt immers onderscheid tussen NetBIOS namen en hostnamen. Hebt u de bronnen met wachtwoorden beschermt (share-level security) dan moet u "net share IPC$" apart geven. Bij user-level security alleen "net share":
[C:\]net share Dit gebruikers-ID is niet toegevoegd als naam voor berichten. Naam resource Resource Opmerking --------------------------------------------------------- IPC$ IPC op afstand ADMIN$ C:\IBMLAN Systeembeheerder op afstand De opdracht is uitgevoerd.
U kunt ze beter meteen uitzetten met:
net share IPC$ /delete net share ADMIN$ /delete
Dit voorkomt dat iemand via poort 139 (Windows 9x, OS/2) of 445 (Windows 2000, XP) een zogeheten NULL sessie met uw computer opzet.
C:\Documents and Settings\sjoerd>net use \\win98\IPC$ "" /user:"" De opdracht is voltooid.
Bij een NULL sessie logt de gebruiker anoniem in zonder wachtwoord ("" = lege string).
De NULL sessie is met netstat te zien.
C:\Documents and Settings\root>netstat Actieve verbindingen Proto Lokaal adres Extern adres Status TCP SP2:netbios-ssn 192.168.1.5:63299 ESTABLISHED
Via een NULL sessie kan allerlei informatie worden opgevraagd. Niet alleen door u, maar door ook door hackers. Via de ADMIN$ share kunnen beheerders (wachtwoord!) opdrachten op afstand uitvoeren. Vandaar dat u ervoor moet zorgen dat verborgen shares na opstarten gewist worden (net share IPC$ /d) en/of minimaal door een firewall beschermd worden.
Een voorbeeld van een utility waarmee gevoelige informatie via het netwerk op te vragen is psinfo uit het PsTools pakket van Mark Russinovich. Deze gebruikt NETAPI32.DLL, een bibliotheek van zogenaamde NETBIOS opdrachten, die zich op Windows NT, 2000 en XP bevindt. Opvallend is dat XPHome zich hierbij voorstelt als XP Professional.
D:\win32\sysinternals\PSTOOLS>psinfo \\xphome -h -u Administrator PsInfo v1.73 - Local and remote system information viewer Copyright (C) 2001-2005 Mark Russinovich Sysinternals - www.sysinternals.com Password: System information for \\xphome: Uptime: Error reading uptime Kernel version: Microsoft Windows XP, Uniprocessor Free Product type: Professional Product version: 5.1 Service pack: 2 Kernel build number: 2600 Registered organization: Registered owner: Sjoerd Visser Install date: 25-11-2005, 17:23:53 Activation status: Error reading status IE version: 6.0000 System root: C:\WINDOWS Processors: 1 Processor speed: 4.5 GHz Processor type: AMD Athlon(TM) XP 1700+ Physical memory: 224 MB Video driver: S3 Trio32/64 Installed HotFix 25-11-2005 Windows XP Service Pack 2 25-11-2005 Windows XP Hotfix - KB873339 Etc
Ik laat niet alle output zien, maar als u de mogelijkheden van de Sysinternals Freeware - PsTools als PsExec, PsKill en PsLoggedOn ziet begrijpt u hoe belangrijk firewalls, WLAN encryptie en vooral goede wachtwoorden op het netwerk zijn. Want dat u geen mogelijkheden ziet (alle deuren die ik ken zijn op slot) om in een computer in te breken, betekent nog niet dat een inbreker die niet ziet.
Basale informatie over de beveiliging van de PC vindt u in het voor OS/2 gebruikers geschreven Lastige klanten. Het thuisnetwerk en het internet . De details kunnen onder OS/2 soms iets van Windows verschillen, maar de principes van beveiliging zijn op ieder besturingssysteem gelijk.
Het thuisnetwerk en het internet : mijn poging om de gevaren van het internet aan OS/2 gebruikers uit te leggen.
Uw firewall testen : het installeren van een firewall is niet genoeg. Hij moet ook AAN staan en waterdicht ingesteld zijn!
World of Windows Networking : veel informatie over Windows netwerken.
Windows XP and Windows 2003 Network Problem Solver
Een draadloos netwerk onder OS/2 bevat ook veel informatie die nuttig is voor Windows gebruikers.
Larry Osterman's WebLog: Why does Windows share the root of your drive?
Sysinternals Freeware - PsTools bevatten utilities die van named pipes (IPC) gebruik maken.
Informatie van Microsoft:
Verborgen shares of beheerdersshares maken en verwijderen op clientcomputers
Kan een Windows 2000- of Windows XP-client niet toevoegen aan een Windows NT-domein
Problemen met TCP/IP-verbindingen in Windows XP oplossen
Microsoft schrijft in Het Internet-protocol (TCP/IP) opnieuw instellen in Windows XP: In Microsoft Windows XP wordt de TCP/IP-stack beschouwd als een kernonderdeel van het besturingssysteem en u kunt TCP/IP daarom ook niet verwijderen.
Alles over beveiliging met de Windows XP firewall : een aardige oriënterende tekst van Microsoft.
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (word document)
Understanding Security in Microsoft Internet Explorer 6 in Windows XP SP2
Inbound connections limit in Windows XP : Een Windows XP Home kan maximaal vijf gelijktijdige verbindingen van buiten accepteren. Bij Windows XP Home professional en Windows 2000 zijn dat er tien.
Beschrijving van het proces voor het maken van een verbinding voor Hulp op afstand
Informatie van IBM:
OS/2 Warp Generation, Volume 2: Exploring LAN Connectivity With OS/2 Warp Connect : OS/2 Warp Connect gebruikt het door Microsoft geschreven LAN manager.