“我為人人,人人為我”,好的資源當然要大家一起分享,但您的共享文件夾是否真的安全呢?任何不合理或不完善的安全設置,不僅僅給共享文件夾帶來安全隱患,還可能給Windows系統帶來致命打擊,因此,我們必須“細心呵護”共享文件夾。
訪問權限 嚴格設置 為了保證Windows系統的安全穩定,很多用戶都是使用NTFS文件系統,因此共享文件夾的訪問權限不但受到“共享權限”限制,還受到NTFS文件系統的ACL(訪問控制列表)包含的訪問權限的制約。下面筆者就以“CCE”共享文件夾為例,介紹如何合理設置“cceuser”用戶對“CCE”共享文件夾的訪問權限,以此來增強共享文件夾的安全。
1. 共享權限設置 在資源管理器中,右鍵點擊“CCE”共享文件夾,選擇“屬性”,切換到“共享”標簽頁,點擊“權限”按鈕,彈出“CCE的權限”設置對話框,點擊“添加”按鈕,將“cceuser ”賬號添加到“組或用戶名稱”列表框內,這裡“cceuser”賬號對“CCE”共享文件夾要有讀取和寫入權限,因此筆者要給該賬號賦予“完全控制”權限,最後點擊“確定”按鈕,完成共享權限設置。
2. NTFS訪問權限設置 以上只是設置了“CCE”共享文件夾的共享訪問權限,畢竟“CCE”共享文件夾是受“共享訪問權限”和“NTFS訪問權限”雙重制約的,如果NTFS文件系統不允許“cceuser”用戶訪問共享,也是不行的,並且還要給該賬號設置合理的NTFS訪問權限。
在“CCE”共享文件屬性對話框中切換到“安全”標簽頁後,首先將“cceuser”賬號添加到“組或用戶名稱”列表框中,接下來還要為該賬號設置訪問權限。選中“cceuser”賬號後,在“cceuser的權限”列表框中選中“讀取和運行、列出文件夾目錄、讀取、修改和寫入”項目,最後點擊“確定”按鈕。
經過以上操作後,就完成了“CCE”共享文件夾的“cceuser”用戶的訪問權限設置,其它用戶的共享文件夾訪問權限設置方法是相同的,就不再贅述。
磁盤管理 合理配制
由於共享文件夾中存在著大量的共享資源,因此它要占用一定的硬盤空間。某些有寫入權限的用戶,任意上傳大量與工作無關的文件,不但浪費磁盤資源,而且還容易被感染病毒,因此共享文件夾毫無節制的占用硬盤空間資源,也會帶來意想不到的安全隱患,必須進行限制。
1. 磁盤配額,限制用戶 Windows系統提供的“磁盤配額”功能,可以對每位Windows用戶使用的硬盤空間資源進行限制,這樣就可以間接的起到控制共享文件夾容量大小的作用。
還是以“CCE”共享文件夾和“cceuser”用戶為例,這裡“CCE”共享文件夾位於D盤中,下面就要啟用D盤中的“磁盤配額”功能,指定“cceuser”用戶可以使用的硬盤空間數。
在資源管理器中,右鍵點擊D盤盤符,選擇“屬性”選項,切換到“配額”標簽頁,選中“啟用配額管理”項後,激活“磁盤配額”功能。確保選中“拒絕將磁盤空間給超過配額限制的用戶”項。另外建議選中“用戶超出配額限制時記錄事件”和“用戶超過警告等級時記錄事件”這兩項,以便將配額告警記錄到日志中,最後點擊“應用”。
下面點擊“配額項”按鈕,彈出磁盤配額項目窗口,接下來就為“cceuser”用戶進行配額限制了。點擊“配額→新建配額項”,在選擇用戶對話框,選中“cceuser”用戶,點擊“確定”,然後在“添加新配額項”中為該用戶設置配額限制,選中“將磁盤空間限制為”項目,在空白欄中輸入“500”,接著在“將警告等級設置為”欄中輸入“490”,磁盤容量單位選擇“MB”,最後點擊“確定”,完成“cceuser”用戶的磁盤配額設置,這樣該用戶就只能使用500 MB的共享文件夾硬盤空間了。其他用戶的配額設置方法是相同,按照上面的步驟配置即可。
2. 備份恢復“磁盤配額” 備份磁盤配額項目非常簡單,由於“CCE”共享文件夾位於D盤,這裡筆者以備份Windows 系統的D盤的磁盤配額項目為例,右鍵點擊“D盤”盤符,在彈出的菜單中選擇“屬性”,切換到“配額”標簽頁,點擊下方的“配額項”按鈕,彈出“配額項目”管理對話框,點擊“配額→導出”,在“文件名”欄中為備份文件起個名字,最後點擊“保存”按鈕,完成磁盤配額項目的備份。其它盤符的磁盤配額項目備份和以上相同,不再贅述。
恢復磁盤配額項目同樣簡單,在配額項目管理對話框中,點擊“配額→導入”,然後找到備份文件,點擊“打開”按鈕後,接著在磁盤配額提示框中點擊“是”按鈕,完成磁盤配額項目的恢復。
提示:磁盤配額項目的備份和恢復都是以磁盤盤符為單位的,要注意,在進行備份和恢復時,只有NTFS文件系統的磁盤分區才能進行以上操作。
3.移動共享,注意權限 由於某些需要,有時要把共享文件夾移動位置,拷貝到別的目錄下。復制操作雖然很簡單,但要將共享文件夾所包含的用戶訪問權限信息和具體共享文件一起復制過去,這是一般的復制操作做不到的。利用“XCOPY”命令就能很好的解決這個問題。
筆者以D盤的CCE共享文件夾為例,將共享文件及其所包含的用戶訪問權限信息,復制到D盤的CCEB共享文件夾下。在“命令提示符”窗口中的“D:\>”提示符下,運行“xcopy CCE CCEB /O /S”命令後,就可以將CCE共享文件夾和所包含的用戶訪問權限信息,都復制到CCEB共享文件夾下了。其中“/O”參數表示“復制文件的所有權和 ACL 信息”,“/S”表示“復制目錄和子目錄”。
4.有備無患,備份ACL 如果共享文件夾所包含的ACL信息(用戶訪問權限)意外丟失,單憑記憶是很難恢復,還有可能造成遺漏,給共享文件夾留下安全隱患。這時用戶就可以使用CACLS命令,做好這些共享文件夾的ACL信息備份。
以D盤的共享文件夾CCE為例,該共享文件夾中包含著大量的ACL信息,下面就使用CACLS命令對此共享文件夾中的所有ACL信息進行備份。在“命令提示符”窗口中切換到“D:\>”提示符下,運行“cacls d:\ CCE /t > d:\aclsCCE.txt”命令後,就將共享文件夾CCE中所包含的ACL信息都備份到D盤的“aclsCCE.txt”文件中了。當ACL信息意外丟失時,就可以按照備份文件“aclsCCE.txt”中ACL信息,對CCE共享文件夾的訪問權限進行重新設置,避免了部分ACL信息的遺漏,保證了共享文件夾的安全性。