不同需求下的共享訪問控制

在局域網(wǎng)工作環(huán)境中，為了便于訪問交流，很多人往往要將自己的重要文件夾共享出去，讓其他人能通過網(wǎng)絡(luò)快速訪問。不過，在實(shí)際工作過程中，用戶常常會(huì)面對(duì)不同的安全需求和訪問限制，這就需要用戶根據(jù)不同需求對(duì)共享訪問操作進(jìn)行靈活控制，確保共享訪問安全與高效兩不誤！

監(jiān)控共享訪問刪除操作

局域網(wǎng)中的一些惡意用戶，一旦竊取到共享文件夾的有關(guān)操作權(quán)限后，他們可能會(huì)偷偷做出一些違法的事情，例如，私下刪除共享文件夾中的部分隱私文件，或者將重要內(nèi)容轉(zhuǎn)移到其他位置處。如果我們希望對(duì)這種共享行為進(jìn)行監(jiān)控，以便調(diào)查清楚究竟是什么用戶在什么時(shí)間進(jìn)行共享訪問刪除操作的，那么可以按照如下步驟來調(diào)整共享文件所在系統(tǒng)的審核策略：

首先依次單擊“開始”|“所有程序”|“附件”|“Windows資源管理器”命令，彈出系統(tǒng)資源管理器窗口，從中找到目標(biāo)共享文件夾（該文件夾必須位于NTFS格式的磁盤分區(qū)中），用鼠標(biāo)右鍵單擊該文件夾圖標(biāo)，選擇快捷菜單中的“屬性”命令，打開該文件夾屬性對(duì)話框。

其次選擇其中的“安全”標(biāo)簽，點(diǎn)擊安全標(biāo)簽頁面中的“高級(jí)”按鈕，切換到高級(jí)設(shè)置對(duì)話框，點(diǎn)選“審核”標(biāo)簽，進(jìn)入如圖1所示的標(biāo)簽設(shè)置頁面，在這里將所有陌生的用戶賬號(hào)取消，同時(shí)按“添加”按鈕，打開用戶或組添加對(duì)話框，在“輸入要選擇的對(duì)象名稱”位置處，直接輸入可信任的用戶賬號(hào)或名稱，并按“確定”按鈕返回。

接著在其后界面的“應(yīng)用于”位置處選擇“該文件夾，子文件夾及文件”選項(xiàng)，同時(shí)在“訪問”列表中，將“刪除子文件夾及文件”、“刪除”等操作的“成功”、“失敗”選項(xiàng)都選中。要是想避免原始對(duì)象的后續(xù)文件和子文件夾繼續(xù)上述審核設(shè)置，那就需要將這里的“將這些審核項(xiàng)目只應(yīng)用到這個(gè)容器中的對(duì)象和或容器上”選項(xiàng)一并選中，再單擊“確定”按鈕保存設(shè)置操作。

當(dāng)然，要提醒大家的是，在對(duì)共享文件夾中的文件刪除操作執(zhí)行審核之前，我們必須先打開系統(tǒng)的組策略對(duì)話框，將對(duì)象訪問審核策略啟動(dòng)起來。要是不將該訪問對(duì)象審核策略啟動(dòng)起來，那么在設(shè)置共享文件夾的刪除審核策略時(shí)，系統(tǒng)可能會(huì)彈出錯(cuò)誤提示。

追蹤共享文件上傳操作

在多人共同使用同一個(gè)共享文件夾的情況下，用戶常常會(huì)通過各自的計(jì)算機(jī)上傳文件到共享文件夾中，這時(shí)很有必要弄清楚共享文件的來源，以保證共享訪問的透明性。要做到這一點(diǎn)，可以按照如下步驟來追蹤共享文件的上傳操作行為：

首先在共享文件所在主機(jī)系統(tǒng)中，依次單擊“開始”|“所有程序”|“附件”|“Windows資源管理器”命令，彈出系統(tǒng)資源管理器窗口，從中找到目標(biāo)共享文件夾，用鼠標(biāo)右鍵單擊該文件夾圖標(biāo)，選擇快捷菜單中的“屬性”命令，打開該文件夾屬性對(duì)話框。

其次點(diǎn)選“安全”標(biāo)簽，在安全標(biāo)簽設(shè)置頁面中按下“高級(jí)”按鈕，展開高級(jí)安全屬性對(duì)話框，切換到其中的審核標(biāo)簽頁面中，逐一點(diǎn)擊“編輯”|“添加”按鈕，導(dǎo)入自己可信任的用戶賬號(hào)，將其他不熟悉的賬號(hào)全部刪除掉，同時(shí)按“確定”按鈕返回到如圖2所示的設(shè)置界面。

接著從這里的“應(yīng)用到”下拉列表中選擇“只有子文件夾”選項(xiàng)或其他相關(guān)選項(xiàng)，再將“創(chuàng)建文件/寫入數(shù)據(jù)”、“創(chuàng)建文件夾/附加數(shù)據(jù)”等選項(xiàng)選中，同時(shí)設(shè)定想要審核的操作，例如只想對(duì)成功創(chuàng)建文件操作進(jìn)行審核時(shí)，只要將審核操作指定為“成功”即可，再單擊“確定”按鈕保存設(shè)置操作。這么一來，我們?nèi)蘸笸ㄟ^查看系統(tǒng)的相關(guān)日志文件，就能了解到共享文件夾中的共享內(nèi)容究竟是哪個(gè)用戶上傳的了。

控制共享文件屬性不變

為了改善共享文件的訪問效率，有時(shí)用戶需要將共享文件夾從運(yùn)行性能一般的計(jì)算機(jī)中轉(zhuǎn)移到運(yùn)行性能高的服務(wù)器中，不過利用常規(guī)的復(fù)制、剪切操作來移動(dòng)共享文件夾時(shí)，這些共享文件夾的原始屬性信息會(huì)在移動(dòng)過程中丟失掉，這樣可能會(huì)給日后的共享訪問帶來麻煩。其實(shí)，通過下面的設(shè)置操作，用戶能夠很輕松地控制共享文件夾在移動(dòng)過程中屬性信息會(huì)固定不變：

首先在對(duì)共享文件夾執(zhí)行移動(dòng)操作之前，進(jìn)入到共享文件夾所在主機(jī)系統(tǒng)中，逐一點(diǎn)選“開始”|“運(yùn)行”選項(xiàng)，打開系統(tǒng)運(yùn)行文本框，輸入“regedit”命令，按“確定”按鈕，彈出系統(tǒng)注冊(cè)表編輯界面；在該編輯界面左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到HKEY_LOCAL_MACHINE/SYSTEM/Current Control Set/ Services/lanmanserver/ Shares注冊(cè)表目錄上，再用鼠標(biāo)右擊“Shares”目錄，點(diǎn)選右鍵菜單中的“導(dǎo)出”命令，將當(dāng)前目錄下的注冊(cè)表鍵值信息導(dǎo)出存儲(chǔ)成reg格式的文件，該文件保存了所有共享文件夾的屬性信息。

其次將共享文件夾移動(dòng)到新的服務(wù)器主機(jī)中，同時(shí)將之前創(chuàng)建的reg格式文件復(fù)制到該系統(tǒng)中，并用鼠標(biāo)雙擊該注冊(cè)表文件，導(dǎo)入共享文件夾的屬性信息。之后，依次單擊“開始”|“運(yùn)行”命令，打開系統(tǒng)運(yùn)行文本框，輸入“services. msc”命令，按回車鍵后，切換到系統(tǒng)服務(wù)列表界面，雙擊“Server”選項(xiàng)，切換到如圖3所示的服務(wù)屬性對(duì)話框，先單擊“停止”按鈕，再按“啟動(dòng)”按鈕，對(duì)“Server”服務(wù)執(zhí)行重新啟動(dòng)操作，這樣共享文件夾的屬性信息就和以前一樣了。

禁止留下共享訪問痕跡

使用Windows XP系統(tǒng)的網(wǎng)上鄰居窗口訪問共享文件后，這些共享訪問記錄會(huì)被留存下來，日后通過網(wǎng)上鄰居窗口還能看到上次共享訪問痕跡，顯然Windows XP系統(tǒng)的這種共享記憶功能能會(huì)暴露用戶的共享訪問隱私。為了避免安全麻煩，我們可以進(jìn)行如下設(shè)置操作，禁止系統(tǒng)留下共享訪問痕跡：

首先逐一點(diǎn)選“開始”|“運(yùn)行”命令，打開系統(tǒng)運(yùn)行文本框，輸入“regedit”命令，單擊“確定”按鈕后，彈出系統(tǒng)注冊(cè)表編輯界面；將鼠標(biāo)定位到HKEY_LOCAL_ MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\ Network\\Lanman注冊(cè)表目錄上，目標(biāo)目錄下的每一個(gè)鍵值，其實(shí)就對(duì)應(yīng)一個(gè)共享訪問記錄，將這些所有鍵值選中并刪除，就能清除掉網(wǎng)上鄰居窗口中的共享訪問痕跡了。

為了防止共享訪問痕跡再次出現(xiàn)在網(wǎng)上鄰居窗口中，我們可以再次打開系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“Gpedit.msc”命令，彈出系統(tǒng)組策略編輯界面，依次展開該編輯界面左側(cè)列表中的“用戶配置”|“管理模板”|“桌面”目錄，用鼠標(biāo)雙擊該目錄下的“不要將最近打開的文檔的共享添加到網(wǎng)上鄰居”選項(xiàng)，彈出如圖4所示的選項(xiàng)設(shè)置對(duì)話框，在這里我們會(huì)看到Windows系統(tǒng)默認(rèn)已經(jīng)停用了這項(xiàng)策略設(shè)置功能，所以我們應(yīng)該及時(shí)重新選中“已啟用”選項(xiàng)，再按“確定”按鈕執(zhí)行設(shè)置保存操作即可。

實(shí)現(xiàn)共享訪問自動(dòng)映射

有的時(shí)候，為了提高共享訪問效率，我們需要將共享文件夾自動(dòng)映射成本地磁盤分區(qū)，以便實(shí)現(xiàn)共享資源本地化訪問。要做到這一點(diǎn)，我們可以利用批處理文件，將局域網(wǎng)中的指定共享文件夾自動(dòng)映射成本地的某個(gè)特定磁盤分區(qū)，日后只要打開指定磁盤分區(qū)窗口，就能快速訪問到目標(biāo)共享資源，下面就是具體的實(shí)現(xiàn)步驟：

首先打開記事本之類的文本編輯窗口，輸入下面的命令行代碼：

@echo off

net share \\\\Computer\\ Share H:

其中“Computer”為共享文件夾所在主機(jī)名稱，“Share”為共享文件夾的共享名稱，“H：”為本地系統(tǒng)中的一個(gè)特定磁盤分區(qū)符號(hào)，之后依次單擊文本編輯界面中的“文件”|“保存”選項(xiàng)，打開文件保存設(shè)置對(duì)話框，將上面的命令代碼保存為批處理格式的文件，假設(shè)我們將該文件取名為“yingshe.bat”，日后雙擊該批處理文件，共享文件夾就會(huì)被映射成本地系統(tǒng)的一個(gè)磁盤分區(qū)。

如果希望Windows系統(tǒng)能夠自動(dòng)完成映射操作時(shí)，可以依次單擊“開始”|“運(yùn)行”命令，在彈出的系統(tǒng)系統(tǒng)運(yùn)行框中執(zhí)行“gpedit.msc”串命，打開系統(tǒng)組策略編輯窗口，將鼠標(biāo)定位到“計(jì)算機(jī)配置”|“Windows設(shè)置”|“腳本（啟動(dòng)/關(guān)機(jī)）”目錄上，雙擊該目錄下的“啟動(dòng)”選項(xiàng)，切換到如圖5所示的選項(xiàng)設(shè)置對(duì)話框，按“添加”按鈕，打開文件選擇對(duì)話框，導(dǎo)入之前生成的“yingshe.bat”批處理文件，再按“確定”按鈕返回，這樣本地系統(tǒng)日后每次成功啟動(dòng)后，都會(huì)自動(dòng)調(diào)用“yingshe.bat”批處理文件，來實(shí)現(xiàn)共享訪問自動(dòng)映射操作。

除了通過批處理文件實(shí)現(xiàn)共享文件的映射外，我們還能利用Windows系統(tǒng)內(nèi)置的網(wǎng)絡(luò)驅(qū)動(dòng)器功能來映射共享文件夾。在進(jìn)行這種操作時(shí)，用鼠標(biāo)雙擊本地系統(tǒng)桌面中的“計(jì)算機(jī)”圖標(biāo)，單擊其后界面中的“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”工具欄按鈕，打開如圖6所示的設(shè)置界面，從“驅(qū)動(dòng)器”位置處選中一個(gè)合適的空閑磁盤分區(qū)符號(hào)，在“文件夾”位置處輸入共享文件夾的具體路徑，比方說這里輸入的是“\\\\ Computer\\Share”，當(dāng)然也能通過“瀏覽”按鈕導(dǎo)入目標(biāo)共享文件夾，再單擊“完成”按鈕結(jié)束共享訪問自動(dòng)映射設(shè)置操作。

自動(dòng)關(guān)閉所有隱藏共享

為了方便用戶遠(yuǎn)程管理磁盤分區(qū)中的內(nèi)容，Windows系統(tǒng)默認(rèn)會(huì)對(duì)各個(gè)磁盤分區(qū)開啟隱藏共享。不過，在服務(wù)器主機(jī)系統(tǒng)中，要是輕易開啟隱藏共享的話，惡意用戶可能會(huì)利用隱藏共享來偷偷攻擊服務(wù)器。為了保護(hù)服務(wù)器系統(tǒng)運(yùn)行安全，相信很多網(wǎng)管員往往會(huì)利用“net share”命令，來手工刪除服務(wù)器主機(jī)中的所有磁盤分區(qū)隱藏共享，很明顯這種方法操作效率不是很高，而且重新啟動(dòng)服務(wù)器系統(tǒng)后，之前被刪除的隱藏共享又能自動(dòng)生成了。為了實(shí)現(xiàn)自動(dòng)關(guān)閉所有隱藏共享目的，我們不妨通過批處理方式，來快速關(guān)閉所有隱藏共享，再讓服務(wù)器系統(tǒng)每次重啟成功后都自動(dòng)執(zhí)行一次刪除操作：

首先打開記事本之類的文本編輯窗口，輸入下面的命令行代碼：

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share IPC$ /del

net share ADMIN$ / del

之后依次單擊“文件”|“保存”命令，將上面的命令代碼存儲(chǔ)為bat格式的批處理文件，假設(shè)將該文件名稱取為“shut.bat”，日后每執(zhí)行一次該批處理文件，服務(wù)器系統(tǒng)中的所有隱藏共享都被刪除一次，很明顯這種關(guān)閉隱藏共享的方法很高效。

其次將上面生成的“shut.bat”批處理文件設(shè)置成啟動(dòng)腳本，確保服務(wù)器系統(tǒng)日后在重新啟動(dòng)后，隱藏共享不會(huì)自動(dòng)生成。在進(jìn)行這種操作時(shí)，可以逐一點(diǎn)選“開始”|“運(yùn)行”命令，打開系統(tǒng)運(yùn)行框，輸入字符串命令“gpedit.msc”，彈出系統(tǒng)組策略編輯界面；將鼠標(biāo)定位到“計(jì)算機(jī)配置”|“Windows設(shè)置”|“腳本(啟動(dòng)/關(guān)機(jī))”分支（如圖7所示），雙擊指定分支下的“啟動(dòng)”組策略，在其后彈出的啟動(dòng)屬性對(duì)話框中，按“添加”按鈕，單擊添加對(duì)話框中的“瀏覽”按鈕，導(dǎo)入之前創(chuàng)建好的“shut.bat”批處理文件，最后按“確定”按鈕保存上述設(shè)置，這樣服務(wù)器系統(tǒng)日后重新啟動(dòng)時(shí)也不會(huì)自動(dòng)生成隱藏共享了。

強(qiáng)制進(jìn)行共享訪問驗(yàn)證

Vista以下版本系統(tǒng)缺省狀態(tài)下處于來賓共享訪問模式下，在該模式下用戶往往不需要輸入密碼，就能輕易訪問到共享文件夾中的內(nèi)容，這對(duì)于安全性要求較高的用戶來說，顯然是不能接受的。為了保護(hù)共享訪問操作的安全，我們可以按照如下設(shè)置步驟，修改Windows系統(tǒng)的共享訪問模式，強(qiáng)制用戶必須進(jìn)行共享訪問驗(yàn)證：

首先以系統(tǒng)管理員身份登錄共享文件所在主機(jī)系統(tǒng)，逐一點(diǎn)選“開始”|“運(yùn)行”選項(xiàng)，在系統(tǒng)運(yùn)行框中輸入“gpedit.msc”命令，單擊“確定”按鈕后，進(jìn)入系統(tǒng)組策略編輯界面；將鼠標(biāo)定位到該界面左側(cè)顯示窗口中的“計(jì)算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“本地策略”|“安全選項(xiàng)”目錄上。

其次雙擊指定目錄下的“網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模型”選項(xiàng)，打開如圖8所示的組策略屬性對(duì)話框，將其中的“經(jīng)典—對(duì)本地用戶進(jìn)行身份驗(yàn)證，不改變其本來身份”項(xiàng)目選中，再單擊“確定”按鈕執(zhí)行設(shè)置保存操作，這樣Windows系統(tǒng)日后就會(huì)強(qiáng)制用戶進(jìn)行共享訪問驗(yàn)證了。