0 引言
本节内容与上一节相比,NTFS权限更倾向于本机文件的权限,本节内容倾向于通过共享远程访问服务器时权限的设定及规定。本节的主要内容如下:
(1)了解共享文件的创建及访问,理解共享权限与NTFS权限的区别和联系。
(2)了解隐藏共享文件的创建与访问,了解屏蔽隐藏共享文件自动产生的两种方法——利用批处理和利用regedit打开注册表编辑器。
(3)了解相关的DOS命令、了解通过server服务和配置高级安全防火墙-入站规则禁用共享服务。
1 共享服务器概述
- 通过网络提供文件共享服务,提供文件下载和上传服务,类似于ftp服务器。
- 文件共享服务器,遵循cifs协议,是微软开发的,主要用于Windows系统,常用于公司内部。
- ftp共享服务器,ftp协议,全球通用,常用于公司之间。
2 创建共享实验
2.1 创建共享文件夹并访问
文件共享的前提是两台虚拟机可以互相通信,即能ping通,因此首先需要两台虚拟机,然后两者处于同一个网段中,并能ping通。
(1)在虚拟机中打开winXP和win2003,将两台虚拟机的网络适配器都连接到同一个交换机上,为两者设置IP地址,XP为10.1.1.1,win2003位10.1.1.2,在winxp中ping一下win2003,,查看是否连通。具体可参考《IP地址详解及其相关概念》。
(2)在win2003D盘下创建一个文件夹,命名为“文件共享”。右键文件→属性→共享。可以定义别人通过网络访问的共享名,建议采用英文。注意,共享名是指共享出去后别人看到的名称,共享名不一定等于文件夹名。
(5)进入权限,一般设置为完全控制。
(6)如何远程访问:进入winxp,输入“ \\10.1.1.2”,表示连接到该IP地址对应的共享服务器。提示需要用户及密码登录。
tips:
- 一个"\"表示路径,两个“\\"表示网络路径。
- 当公司共享服务器比较多时,建议采用输入“\\文件共享服务器IP地址\共享名”的方式。
- "\\IP地址”叫做UNC地址。
- 通过网络路径访问时,不关心被共享的文件夹在哪个盘,只关心IP地址以及共享名。
(7)服务器一般不给管理员账户及密码,管理员账户及密码是不能轻易透露的。因此需要win2003建立普通用户及密码。进入win2003,查看已设置的用户或新建用户,并查看用户属性。
net user #查看所有用户
net user a #查看a用户对应信息
(8)进入winxp,输入用户名a及密码,确定可以看到share。
tips:
该共享文件夹下面的那根横线代表交换机,竖线代表网线。
(9)练习:创建一个共享文件夹名为为share,子级文件夹有upload和download,要求远程访问时,a用户只能在upload中上传,只能在download中下载,b用户则用户完全控制权限。
注意:
(1)当通过共享远程访问服务器,用a用户登录时,若要切换登录b用户,需要客户机注销后重新登录,才能切换用户。主要是因为客户机有短暂记忆。
(2)通过共享远程访问服务器,用a用户登录时,若a用户没密码,对于windows服务器,网络访问反而会受限制。
2.2 创建隐藏共享文件夹并访问
(1)在win2003D盘下创建一个文件夹,命名为“机密”。右键文件→属性→共享。可以定义别人通过网络访问的共享名,建议采用英文,后缀+"$"时,代表该共享文件夹被隐藏。
(2)对于隐藏共享文件夹,必须输入共享文件名才能访问。如“\IP地址\jm$”。
(3)对于权限的控制,隐不隐藏不影响。
3 权限控制逻辑
3.1 父子级文件共享权限的继承
取消父子级文件权限的继承关系,无法影响父级共享设置对子级文件的影响,当父级共享时,其所有子级文件均为共享。
3.2 远程权限与NTFS权限的控制关系
(1)本地NTFS权限仅限制本地用户登录的时候,在安全中设置什么权限就是什么权限。
(2)当远程登录时(通过共享登录时),受到共享与NTFS的共同影响,取共享与NTFS的交集。比如共享权限允许a共享权限为读,本地NTFS允许a的NTFS权限为写,那么a远程访问时什么权限都没有。
(3)为了简便,一般在共享权限中给所有人完全控制权限,当用户远程访问时,相当于只受NTFS的影响。
4 常用的与共享相关的DOS命令
4.1 查看共享:net share
net share #查看共享文件夹的文件共享名
注意:默认开了各磁盘的隐藏共享,而IPC$空链接,看起来似乎没有资源,实则可以访问所有资源。
4.2 创建共享:net share 共享名=地址
net share C$=C:\ #创建共享
4.3 取消共享:net share 共享名 /del
net share C$ /del
net share D$ /del
net share ADMIN$ /del
net share IPC$ /del #无法删除,需要通过修改注册表实现
注意:该方式取消后,电脑重启时刚刚删除的默认隐藏共享又被重新共享了。有两种途经避免重新共享:
(1)将该命令添加到批处理文件bat中,并添加到电脑的启动项。电脑开机后,将自动取消共享。参考《第5节 批处理编写及其示例》。
(2)通过修改注册表,让每次开机都不自动生成共享。
tips:
每次安装软件,软件的相关信息都需要放到注册表中注册,注册表在C盘,即使软件放在D盘,但是注册信息还是放在C盘。若重装系统,C盘的注册信息同样没了,该软件若不重装,可能就不好用了。
5 通过注册表屏蔽隐藏共享自动产生
(1)系统有多个文件是注册表文件,输入regedit打开注册表编辑器。
(2)用键盘上的上下左右进行操作更为便捷。
(3)在左侧窗口中依次展开到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\lanmanserver\parameters
(4)新建DWORO值命名为AutoShareServer,设定值为0.该操作屏蔽CDE盘的自动共享。
(5)cmd 输入 shutdown -r -f-t 0 重启电脑。
(6)cmd 输入 net share 查看共享文件有哪些。
6 禁止文件共享
当服务器不是共享服务器,只提供网页服务时,可以把共享服务关了。因为开启共享服务,IPC$默认开启,容易被别人利用共享端口号入侵,宜禁用文件共享服务。
6.1 通过禁用server服务
运行→services.msc启动本地服务→找到Server→修改启动类型与恢复→确定。该服务对应445端口号。相当于445端口号停止了。
注意:即使关闭了共享服务,445号端口仍然存在,只是不起作用,比较特殊。
6.2 配置高级安全防火墙-入站规则
配置高级安全防火墙-入站规则(在win7及以上系统,win2008及以上系统),禁止被访问445,入站规则,限制别人访问我。
6.2.1 win10阻止被访问445端口
(1)点击“网络与Internet设置”→Windows防火墙→高级设置
(2)右键入站规则,新建规则,选择端口
(3)选择类型及端口号。
(4)选择阻止链接→下一步→全部勾选,下一步→命名如“阻止被访问445端口”。
(5)UDP类型端口重复设置一遍
6.2.2 win7阻止被访问445端口
控制面板→系统和安全→Windows防火墙→高级设置
7 其他
7.1 目前所学端口号对应服务
查看服务端口号:cmd 输入 netstat -an,检查445端口号是否关闭。
2289 远程桌面,23 telnet终端服务,见《第7节 服务器的远程管理》。
445 文件共享服务。
7.2 工作组与域
工作组中电脑人人平等,域环境中域管理员权限最大,只有知道其他成员IP,不需要知道其他成员账号及密码,就访问人任何点啊弄资源。
8 总结
本节内容主要归纳为三个知识点:
(1)了解共享文件的创建及访问,理解共享权限与NTFS权限的区别和联系。
(2)了解隐藏共享文件的创建与访问,了解禁用共享文件的两种方法。
(3)了解相关的DOS命令、使用regedit打开注册表编辑器、使用services.msc打开服务列表。
tips:
whoami #查看当前用户的名字
whoami /user #当前用户的名字及SID
参考文献
[1] 文件共享权限-以cifs文件共享服务器为例