在局域網(wǎng)共享文件管理中,網(wǎng)管員通常都會(huì)設(shè)置共享文件訪問(wèn)權(quán)限,為不同用戶分配不同的訪問(wèn)權(quán)限,便于保護(hù)共享文件安全。但是,往往忽略了操作系統(tǒng)其實(shí)存在默認(rèn)共享,并且在Windows電腦系統(tǒng)安裝后都會(huì)有默認(rèn)的共享分區(qū),但是這些默認(rèn)共享分區(qū)在方便局域網(wǎng)中共享文件的同時(shí)也存在了安全隱患,若不經(jīng)常使用這些最好關(guān)掉,給系統(tǒng)一個(gè)安全保障。
默認(rèn)情況下,Windows會(huì)創(chuàng)建一些隱藏的共享文件夾,這些文件夾在名稱的末尾都有美元“$”標(biāo)志。當(dāng)用戶在文件資源管理器的網(wǎng)絡(luò)節(jié)點(diǎn),或者使用命令查看網(wǎng)絡(luò)共享時(shí),無(wú)法查看到這些隱藏共享。這種情況在XP、Vista、Windows7、Windows8/Windows 8.1和Windows10中都存在,目的是讓系統(tǒng)管理員、程序以及相關(guān)服務(wù)能夠以此管理網(wǎng)絡(luò)環(huán)境。
Windows在默認(rèn)情況下會(huì)開(kāi)啟以下隱藏管理共享:
• 根分區(qū)或卷
• 系統(tǒng)根目錄
• FAX$共享
• IPC$共享
• PRINT$共享
這些共享的開(kāi)啟可以讓任何有管理權(quán)限進(jìn)入你的電腦或者活動(dòng)目錄(Active Directory)域(連接狀態(tài)下)的用戶進(jìn)入任何分區(qū),而并不需要你主動(dòng)分享文件,因?yàn)樗呀?jīng)拿到了你的賬戶憑據(jù)。在基于Windows NT架構(gòu)的系統(tǒng)(XP、Vista、Win7、Win8/Win8.1和Win10等都是)中,所有分區(qū)都通過(guò)“管理共享”功能對(duì)管理員開(kāi)放共享。因此這種機(jī)制存在安全隱患,你可以采取以下三種方式徹底關(guān)閉該共享功能。
1、關(guān)閉Server服務(wù)
①在運(yùn)行、任務(wù)管理器或Cortana搜索欄(Win10)/開(kāi)始菜單搜索欄(Win7)/開(kāi)始屏幕搜索欄(Win8.1)輸入services.msc后回車,打開(kāi)“服務(wù)”
②找到Server,雙擊打開(kāi)
③在“啟動(dòng)類型”中選擇“禁用”,然后在“服務(wù)狀態(tài)”點(diǎn)擊“停止”后確定
這種方法能夠關(guān)閉文章開(kāi)頭提到的管理共享,不過(guò)對(duì)于需要開(kāi)啟打印和傳真等共享和某些文件共享的用戶來(lái)說(shuō),這種方式有些“矯枉過(guò)正”。后面兩種方式更適合這部分用戶。
2、在注冊(cè)表中關(guān)閉“管理共享”
雖然是在注冊(cè)表中操作,但這種方法其實(shí)并不費(fèi)事,不過(guò)最好在修改前備份一下注冊(cè)表,以防修改錯(cuò)誤導(dǎo)致不必要的麻煩。
具體方法如下:
①在運(yùn)行、任務(wù)管理器或Cortana搜索欄(Win10)/開(kāi)始菜單搜索欄(Win7)/開(kāi)始屏幕搜索欄(Win8.1)輸入regedit后回車,打開(kāi)注冊(cè)表編輯器
②定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
③新建DWORD(32位)值,重命名為AutoShareWks,并將其數(shù)值數(shù)據(jù)設(shè)置為“0”后點(diǎn)擊確定
3、如果你不在局域網(wǎng)內(nèi)使用共享服務(wù),干脆將“本地連接‘屬性中的“網(wǎng)絡(luò)的文件和打印機(jī)共享 ”卸載掉,默認(rèn)共享就可以徹底被關(guān)閉了
4、批處理自啟動(dòng)法
打開(kāi)記事本,輸入以下內(nèi)容(記得每行最后要回車):
代碼如下:
net share iPC$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
……(你有幾個(gè)硬盤分區(qū)就寫幾行這樣的命令)
保存為NotShare.bat(注意后綴?。?,然后把這個(gè)批處理文件拖到“程序”→“啟動(dòng)”項(xiàng),這樣每次開(kāi)機(jī)就會(huì)運(yùn)行它,也就是通過(guò)net命令關(guān)閉共享。
如果哪一天你需要開(kāi)啟某個(gè)或某些共享,只要重新編輯這個(gè)批處理文件即可(把相應(yīng)的那個(gè)命令行刪掉)。
5、設(shè)置共享文件訪問(wèn)權(quán)限。
關(guān)閉了windows默認(rèn)共享之后,我們就可以手動(dòng)設(shè)置共享文件夾或共享磁盤,然后為局域網(wǎng)用戶設(shè)置共享文件訪問(wèn)權(quán)限了,這樣可以極大地提升共享文件的安全,防止未經(jīng)授權(quán)隨意訪問(wèn)共享文件的行為。有的用戶還通過(guò)域控制器進(jìn)一步設(shè)置共享文件權(quán)限,監(jiān)控共享文件訪問(wèn)日志等。但是無(wú)論是windows自身的共享文件訪問(wèn)權(quán)限管理還是域控制器共享文件權(quán)限設(shè)置,都無(wú)法完全保障共享文件的安全。比如,無(wú)法在用戶讀取共享文件的時(shí)候禁止復(fù)制共享文件內(nèi)容、允許修改共享文件時(shí)禁止刪除共享文件、允許打開(kāi)共享文件時(shí)禁止另存為本地磁盤,以及禁止拖動(dòng)共享文件、禁止打印共享文件等,從而無(wú)法保證共享文件真正安全。這就需要借助第三方共享文件夾管理軟件來(lái)實(shí)現(xiàn)。
例如有一款”大勢(shì)至局域網(wǎng)共享文件管理軟件“(下載地址:http://www.grabsun.com/gongxiangwenjianshenji.html),在共享文件服務(wù)器上安裝本系統(tǒng)之后,會(huì)自動(dòng)掃描到本機(jī)所有的共享文件夾列表,以及服務(wù)器上所有的用戶,然后就可以為不同用戶設(shè)置共享文件夾的不同訪問(wèn)權(quán)限,可以設(shè)置只讓讀取共享文件而禁止拷貝服務(wù)器共享文件內(nèi)容、只讓打開(kāi)共享文件而禁止另存為本地磁盤、只讓修改共享文件而禁止刪除服務(wù)器共享文件,以及禁止拖動(dòng)共享文件到訪問(wèn)者自己的電腦、禁止打印共享文件等。如下圖所示:
設(shè)置方法也非常簡(jiǎn)單。左側(cè)點(diǎn)擊共享文件夾,然后用戶單擊選擇一個(gè)賬號(hào),然后頂部勾選相應(yīng)的訪問(wèn)權(quán)限即可。比如,我們勾選“禁止刪除”而不勾選“禁止修改”,就可以實(shí)現(xiàn)允許修改共享文件而禁止刪除共享文件了;同樣,我們勾選“禁止另存為”,則共享文件就只能打開(kāi)、讀取但無(wú)法另存為到本地磁盤了;同樣,如果我們勾選“禁止復(fù)制文件”和“禁止復(fù)制文件內(nèi)容”以及“禁止拖拽文件“,則就可以實(shí)現(xiàn)只讓打開(kāi)、讀取而無(wú)法復(fù)制文件到本地磁盤、無(wú)法復(fù)制文件內(nèi)容、無(wú)法拖動(dòng)共享文件等,從而極大地保護(hù)了共享文件的完全。
同時(shí),系統(tǒng)還可以詳細(xì)記錄共享文件訪問(wèn)日志、監(jiān)控共享文件訪問(wèn)行為,便于管理員事后備查和審計(jì),如下圖所示:
總之,局域網(wǎng)共享設(shè)置的方法很多,但為了安全起見(jiàn),一方面我們需要關(guān)閉windows默認(rèn)共享、取消windows默認(rèn)共享,防止給黑客可乘之機(jī);另一方面,我們也需要精細(xì)設(shè)置共享文件訪問(wèn)權(quán)限,為局域網(wǎng)用戶分配合理的共享文件訪問(wèn)權(quán)限。同時(shí),為了全面保護(hù)共享文件的安全,我們還需要借助第三方共享文件夾管理軟件、共享文件訪問(wèn)控制軟件來(lái)進(jìn)一步保護(hù)共享文件訪問(wèn)權(quán)限,防止越權(quán)訪問(wèn)共享文件的行為。
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。