不同需求下的共享访问控制
开篇:润墨网以专业的文秘视角,为您筛选了一篇不同需求下的共享访问控制范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
在局域网工作环境中,为了便于访问交流,很多人往往要将自己的重要文件夹共享出去,让其他人能通过网络快速访问。不过,在实际工作过程中,用户常常会面对不同的安全需求和访问限制,这就需要用户根据不同需求对共享访问操作进行灵活控制,确保共享访问安全与高效两不误!
监控共享访问删除操作
局域网中的一些恶意用户,一旦窃取到共享文件夹的有关操作权限后,他们可能会偷偷做出一些违法的事情,例如,私下删除共享文件夹中的部分隐私文件,或者将重要内容转移到其他位置处。如果我们希望对这种共享行为进行监控,以便调查清楚究竟是什么用户在什么时间进行共享访问删除操作的,那么可以按照如下步骤来调整共享文件所在系统的审核策略:
首先依次单击“开始”|“所有程序”|“附件”|“Windows资源管理器”命令,弹出系统资源管理器窗口,从中找到目标共享文件夹(该文件夹必须位于NTFS格式的磁盘分区中),用鼠标右键单击该文件夹图标,选择快捷菜单中的“属性”命令,打开该文件夹属性对话框。
其次选择其中的“安全”标签,点击安全标签页面中的“高级”按钮,切换到高级设置对话框,点选“审核”标签,进入如图1所示的标签设置页面,在这里将所有陌生的用户账号取消,同时按“添加”按钮,打开用户或组添加对话框,在“输入要选择的对象名称”位置处,直接输入可信任的用户账号或名称,并按“确定”按钮返回。
接着在其后界面的“应用于”位置处选择“该文件夹,子文件夹及文件”选项,同时在“访问”列表中,将“删除子文件夹及文件”、“删除”等操作的“成功”、“失败”选项都选中。要是想避免原始对象的后续文件和子文件夹继续上述审核设置,那就需要将这里的“将这些审核项目只应用到这个容器中的对象和或容器上”选项一并选中,再单击“确定”按钮保存设置操作。
当然,要提醒大家的是,在对共享文件夹中的文件删除操作执行审核之前,我们必须先打开系统的组策略对话框,将对象访问审核策略启动起来。要是不将该访问对象审核策略启动起来,那么在设置共享文件夹的删除审核策略时,系统可能会弹出错误提示。
追踪共享文件上传操作
在多人共同使用同一个共享文件夹的情况下,用户常常会通过各自的计算机上传文件到共享文件夹中,这时很有必要弄清楚共享文件的来源,以保证共享访问的透明性。要做到这一点,可以按照如下步骤来追踪共享文件的上传操作行为:
首先在共享文件所在主机系统中,依次单击“开始”|“所有程序”|“附件”|“Windows资源管理器”命令,弹出系统资源管理器窗口,从中找到目标共享文件夹,用鼠标右键单击该文件夹图标,选择快捷菜单中的“属性”命令,打开该文件夹属性对话框。
其次点选“安全”标签,在安全标签设置页面中按下“高级”按钮,展开高级安全属性对话框,切换到其中的审核标签页面中,逐一点击“编辑”|“添加”按钮,导入自己可信任的用户账号,将其他不熟悉的账号全部删除掉,同时按“确定”按钮返回到如图2所示的设置界面。
接着从这里的“应用到”下拉列表中选择“只有子文件夹”选项或其他相关选项,再将“创建文件/写入数据”、“创建文件夹/附加数据”等选项选中,同时设定想要审核的操作,例如只想对成功创建文件操作进行审核时,只要将审核操作指定为“成功”即可,再单击“确定”按钮保存设置操作。这么一来,我们日后通过查看系统的相关日志文件,就能了解到共享文件夹中的共享内容究竟是哪个用户上传的了。
控制共享文件属性不变
为了改善共享文件的访问效率,有时用户需要将共享文件夹从运行性能一般的计算机中转移到运行性能高的服务器中,不过利用常规的复制、剪切操作来移动共享文件夹时,这些共享文件夹的原始属性信息会在移动过程中丢失掉,这样可能会给日后的共享访问带来麻烦。其实,通过下面的设置操作,用户能够很轻松地控制共享文件夹在移动过程中属性信息会固定不变:
首先在对共享文件夹执行移动操作之前,进入到共享文件夹所在主机系统中,逐一点选“开始”|“运行”选项,打开系统运行文本框,输入“regedit”命令,按“确定”按钮,弹出系统注册表编辑界面;在该编辑界面左侧显示区域中,将鼠标定位到HKEY_LOCAL_MACHINE/SYSTEM/Current Control Set/ Services/lanmanserver/ Shares注册表目录上,再用鼠标右击“Shares”目录,点选右键菜单中的“导出”命令,将当前目录下的注册表键值信息导出存储成reg格式的文件,该文件保存了所有共享文件夹的属性信息。
其次将共享文件夹移动到新的服务器主机中,同时将之前创建的reg格式文件复制到该系统中,并用鼠标双击该注册表文件,导入共享文件夹的属性信息。之后,依次单击“开始”|“运行”命令,打开系统运行文本框,输入“services. msc”命令,按回车键后,切换到系统服务列表界面,双击“Server”选项,切换到如图3所示的服务属性对话框,先单击“停止”按钮,再按“启动”按钮,对“Server”服务执行重新启动操作,这样共享文件夹的属性信息就和以前一样了。
禁止留下共享访问痕迹
使用Windows XP系统的网上邻居窗口访问共享文件后,这些共享访问记录会被留存下来,日后通过网上邻居窗口还能看到上次共享访问痕迹,显然Windows XP系统的这种共享记忆功能能会暴露用户的共享访问隐私。为了避免安全麻烦,我们可以进行如下设置操作,禁止系统留下共享访问痕迹:
首先逐一点选“开始”|“运行”命令,打开系统运行文本框,输入“regedit”命令,单击“确定”按钮后,弹出系统注册表编辑界面;将鼠标定位到HKEY_LOCAL_ MACHINE\Software\Microsoft\ Windows\CurrentVersion\ Network\Lanman注册表目录上,目标目录下的每一个键值,其实就对应一个共享访问记录,将这些所有键值选中并删除,就能清除掉网上邻居窗口中的共享访问痕迹了。
为了防止共享访问痕迹再次出现在网上邻居窗口中,我们可以再次打开系统运行文本框,在其中执行“Gpedit.msc”命令,弹出系统组策略编辑界面,依次展开该编辑界面左侧列表中的“用户配置”|“管理模板”|“桌面”目录,用鼠标双击该目录下的“不要将最近打开的文档的共享添加到网上邻居”选项,弹出如图4所示的选项设置对话框,在这里我们会看到Windows系统默认已经停用了这项策略设置功能,所以我们应该及时重新选中“已启用”选项,再按“确定”按钮执行设置保存操作即可。
实现共享访问自动映射
有的时候,为了提高共享访问效率,我们需要将共享文件夹自动映射成本地磁盘分区,以便实现共享资源本地化访问。要做到这一点,我们可以利用批处理文件,将局域网中的指定共享文件夹自动映射成本地的某个特定磁盘分区,日后只要打开指定磁盘分区窗口,就能快速访问到目标共享资源,下面就是具体的实现步骤:
首先打开记事本之类的文本编辑窗口,输入下面的命令行代码:
@echo off
net share \\Computer\ Share H:
其中“Computer”为共享文件夹所在主机名称,“Share”为共享文件夹的共享名称,“H:”为本地系统中的一个特定磁盘分区符号,之后依次单击文本编辑界面中的“文件”|“保存”选项,打开文件保存设置对话框,将上面的命令代码保存为批处理格式的文件,假设我们将该文件取名为“yingshe.bat”,日后双击该批处理文件,共享文件夹就会被映射成本地系统的一个磁盘分区。
如果希望Windows系统能够自动完成映射操作时,可以依次单击“开始”|“运行”命令,在弹出的系统系统运行框中执行“gpedit.msc”串命,打开系统组策略编辑窗口,将鼠标定位到“计算机配置”|“Windows设置”|“脚本(启动/关机)”目录上,双击该目录下的“启动”选项,切换到如图5所示的选项设置对话框,按“添加”按钮,打开文件选择对话框,导入之前生成的“yingshe.bat”批处理文件,再按“确定”按钮返回,这样本地系统日后每次成功启动后,都会自动调用“yingshe.bat”批处理文件,来实现共享访问自动映射操作。
除了通过批处理文件实现共享文件的映射外,我们还能利用Windows系统内置的网络驱动器功能来映射共享文件夹。在进行这种操作时,用鼠标双击本地系统桌面中的“计算机”图标,单击其后界面中的“映射网络驱动器”工具栏按钮,打开如图6所示的设置界面,从“驱动器”位置处选中一个合适的空闲磁盘分区符号,在“文件夹”位置处输入共享文件夹的具体路径,比方说这里输入的是“\\ Computer\Share”,当然也能通过“浏览”按钮导入目标共享文件夹,再单击“完成”按钮结束共享访问自动映射设置操作。
自动关闭所有隐藏共享
为了方便用户远程管理磁盘分区中的内容,Windows系统默认会对各个磁盘分区开启隐藏共享。不过,在服务器主机系统中,要是轻易开启隐藏共享的话,恶意用户可能会利用隐藏共享来偷偷攻击服务器。为了保护服务器系统运行安全,相信很多网管员往往会利用“net share”命令,来手工删除服务器主机中的所有磁盘分区隐藏共享,很明显这种方法操作效率不是很高,而且重新启动服务器系统后,之前被删除的隐藏共享又能自动生成了。为了实现自动关闭所有隐藏共享目的,我们不妨通过批处理方式,来快速关闭所有隐藏共享,再让服务器系统每次重启成功后都自动执行一次删除操作:
首先打开记事本之类的文本编辑窗口,输入下面的命令行代码:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share IPC$ /del
net share ADMIN$ / del
之后依次单击“文件”|“保存”命令,将上面的命令代码存储为bat格式的批处理文件,假设将该文件名称取为“shut.bat”,日后每执行一次该批处理文件,服务器系统中的所有隐藏共享都被删除一次,很明显这种关闭隐藏共享的方法很高效。
其次将上面生成的“shut.bat”批处理文件设置成启动脚本,确保服务器系统日后在重新启动后,隐藏共享不会自动生成。在进行这种操作时,可以逐一点选“开始”|“运行”命令,打开系统运行框,输入字符串命令“gpedit.msc”,弹出系统组策略编辑界面;将鼠标定位到“计算机配置”|“Windows设置”|“脚本(启动/关机)”分支(如图7所示),双击指定分支下的“启动”组策略,在其后弹出的启动属性对话框中,按“添加”按钮,单击添加对话框中的“浏览”按钮,导入之前创建好的“shut.bat”批处理文件,最后按“确定”按钮保存上述设置,这样服务器系统日后重新启动时也不会自动生成隐藏共享了。
强制进行共享访问验证
Vista以下版本系统缺省状态下处于来宾共享访问模式下,在该模式下用户往往不需要输入密码,就能轻易访问到共享文件夹中的内容,这对于安全性要求较高的用户来说,显然是不能接受的。为了保护共享访问操作的安全,我们可以按照如下设置步骤,修改Windows系统的共享访问模式,强制用户必须进行共享访问验证:
首先以系统管理员身份登录共享文件所在主机系统,逐一点选“开始”|“运行”选项,在系统运行框中输入“gpedit.msc”命令,单击“确定”按钮后,进入系统组策略编辑界面;将鼠标定位到该界面左侧显示窗口中的“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”目录上。
其次双击指定目录下的“网络访问: 本地帐户的共享和安全模型”选项,打开如图8所示的组策略属性对话框,将其中的“经典―对本地用户进行身份验证,不改变其本来身份”项目选中,再单击“确定”按钮执行设置保存操作,这样Windows系统日后就会强制用户进行共享访问验证了。