在局域网共享文件管理中,网管员通常都会设置共享文件访问权限,为不同用户分配不同的访问权限,便于保护共享文件安全。但是,往往忽略了操作系统其实存在默认共享,并且在Windows电脑系统安装后都会有默认的共享分区,但是这些默认共享分区在方便局域网中共享文件的同时也存在了安全隐患,若不经常使用这些较好关掉,给系统一个安全保障。
默认情况下,Windows会创建一些隐藏的共享文件夹,这些文件夹在名称的末尾都有美元“$”标志。当用户在文件资源管理器的网络节点,或者使用命令查看网络共享时,无法查看到这些隐藏共享。这种情况在XP、Vista、Windows7、Windows8/Windows 8.1和Windows10中都存在,目的是让系统管理员、程序以及相关服务能够以此管理网络环境。
Windows在默认情况下会开启以下隐藏管理共享:
• 根分区或卷
• 系统根目录
• FAX$共享
• IPC$共享
• PRINT$共享
这些共享的开启可以让任何有管理权限进入你的电脑或者活动目录(Active Directory)域(连接状态下)的用户进入任何分区,而并不需要你主动分享文件,因为他已经拿到了你的账户凭据。在基于Windows NT架构的系统(XP、Vista、Win7、Win8/Win8.1和Win10等都是)中,所有分区都通过“管理共享”功能对管理员开放共享。因此这种机制存在安全隐患,你可以采取以下三种方式彻底关闭该共享功能。
1、关闭Server服务
①在运行、任务管理器或Cortana搜索栏(Win10)/开始菜单搜索栏(Win7)/开始屏幕搜索栏(Win8.1)输入services.msc后回车,打开“服务”
②找到Server,双击打开
③在“启动类型”中选择“禁用”,然后在“服务状态”点击“停止”后确定
这种方法能够关闭文章开头提到的管理共享,不过对于需要开启打印和传真等共享和某些文件共享的用户来说,这种方式有些“矫枉过正”。后面两种方式更适合这部分用户。
2、在注册表中关闭“管理共享”
虽然是在注册表中操作,但这种方法其实并不费事,不过较好在修改前备份一下注册表,以防修改错误导致不必要的麻烦。
具体方法如下:
①在运行、任务管理器或Cortana搜索栏(Win10)/开始菜单搜索栏(Win7)/开始屏幕搜索栏(Win8.1)输入regedit后回车,打开注册表编辑器
②定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
③新建DWORD(32位)值,重命名为AutoShareWks,并将其数值数据设置为“0”后点击确定
3、如果你不在局域网内使用共享服务,干脆将“本地连接‘属性中的“网络的文件和打印机共享 ”卸载掉,默认共享就可以彻底被关闭了
4、批处理自启动法
打开记事本,输入以下内容(记得每行较后要回车):
代码如下:
net share iPC$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
……(你有几个硬盘分区就写几行这样的命令)
保存为NotShare.bat(注意后缀!),然后把这个批处理文件拖到“程序”→“启动”项,这样每次开机就会运行它,也就是通过net命令关闭共享。
如果哪一天你需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。
5、设置共享文件访问权限。
关闭了windows默认共享之后,我们就可以手动设置共享文件夹或共享磁盘,然后为局域网用户设置共享文件访问权限了,这样可以极大地提升共享文件的安全,防止未经授权随意访问共享文件的行为。有的用户还通过域控制器进一步设置共享文件权限,监控共享文件访问日志等。但是无论是windows自身的共享文件访问权限管理还是域控制器共享文件权限设置,都无法完全保障共享文件的安全。比如,无法在用户读取共享文件的时候禁止复制共享文件内容、允许修改共享文件时禁止删除共享文件、允许打开共享文件时禁止另存为本地磁盘,以及禁止拖动共享文件、禁止打印共享文件等,从而无法保证共享文件真正安全。这就需要借助第三方共享文件夹管理软件来实现。
例如有一款”大势至局域网共享文件管理软件“(下载地址:http://www.grabsun.com/gongxiangwenjianshenji.html),在共享文件服务器上安装本系统之后,会自动扫描到本机所有的共享文件夹列表,以及服务器上所有的用户,然后就可以为不同用户设置共享文件夹的不同访问权限,可以设置只让读取共享文件而禁止拷贝服务器共享文件内容、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除服务器共享文件,以及禁止拖动共享文件到访问者自己的电脑、禁止打印共享文件等。如下图所示:
设置方法也非常简单。左侧点击共享文件夹,然后用户单击选择一个账号,然后顶部勾选相应的访问权限即可。比如,我们勾选“禁止删除”而不勾选“禁止修改”,就可以实现允许修改共享文件而禁止删除共享文件了;同样,我们勾选“禁止另存为”,则共享文件就只能打开、读取但无法另存为到本地磁盘了;同样,如果我们勾选“禁止复制文件”和“禁止复制文件内容”以及“禁止拖拽文件“,则就可以实现只让打开、读取而无法复制文件到本地磁盘、无法复制文件内容、无法拖动共享文件等,从而极大地保护了共享文件的完全。
同时,系统还可以详细记录共享文件访问日志、监控共享文件访问行为,便于管理员事后备查和审计,如下图所示:
总之,局域网共享设置的方法很多,但为了安全起见,一方面我们需要关闭windows默认共享、取消windows默认共享,防止给黑客可乘之机;另一方面,我们也需要精细设置共享文件访问权限,为局域网用户分配合理的共享文件访问权限。同时,为了全面保护共享文件的安全,我们还需要借助第三方共享文件夹管理软件、共享文件访问控制软件来进一步保护共享文件访问权限,防止越权访问共享文件的行为。