“我为人人,人人为我”,好的资源当然要大家一起分享,但您的共享文件夹是否真的安全呢?任何不合理或不完善的安全设置,不仅仅给共享文件夹带来安全隐患,还可能给Windows系统带来致命打击,因此,我们必须“细心呵护”共享文件夹。
访问权限 严格设置
为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。下面笔者就以“CCE”共享文件夹为例,介绍如何合理设置“cceuser”用户对“CCE”共享文件夹的访问权限,以此来增强共享文件夹的安全。
1. 共享权限设置
在资源管理器中,右键点击“CCE”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“CCE的权限”设置对话框,点击“添加”按钮,将“cceuser ”账号添加到“组或用户名称”列表框内,这里“cceuser”账号对“CCE”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,最后点击“确定”按钮,完成共享权限设置。
2. NTFS访问权限设置
以上只是设置了“CCE”共享文件夹的共享访问权限,毕竟“CCE”共享文件夹是受“共享访问权限”和“NTFS访问权限”双重制约的,如果NTFS文件系统不允许“cceuser”用户访问共享,也是不行的,并且还要给该账号设置合理的NTFS访问权限。
在“CCE”共享文件属性对话框中切换到“安全”标签页后,首先将“cceuser”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“cceuser”账号后,在“cceuser的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,最后点击“确定”按钮。
经过以上操作后,就完成了“CCE”共享文件夹的“cceuser”用户的访问权限设置,其它用户的共享文件夹访问权限设置方法是相同的,就不再赘述。
磁盘管理 合理配制
由于共享文件夹中存在着大量的共享资源,因此它要占用一定的硬盘空间。某些有写入权限的用户,任意上传大量与工作无关的文件,不但浪费磁盘资源,而且还容易被感染病毒,因此共享文件夹毫无节制的占用硬盘空间资源,也会带来意想不到的安全隐患,必须进行限制。
1. 磁盘配额,限制用户
Windows系统提供的“磁盘配额”功能,可以对每位Windows用户使用的硬盘空间资源进行限制,这样就可以间接的起到控制共享文件夹容量大小的作用。
还是以“CCE”共享文件夹和“cceuser”用户为例,这里“CCE”共享文件夹位于D盘中,下面就要启用D盘中的“磁盘配额”功能,指定“cceuser”用户可以使用的硬盘空间数。
在资源管理器中,右键点击D盘盘符,选择“属性”选项,切换到“配额”标签页,选中“启用配额管理”项后,激活“磁盘配额”功能。确保选中“拒绝将磁盘空间给超过配额限制的用户”项。另外建议选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”这两项,以便将配额告警记录到日志中,最后点击“应用”。
下面点击“配额项”按钮,弹出磁盘配额项目窗口,接下来就为“cceuser”用户进行配额限制了。点击“配额→新建配额项”,在选择用户对话框,选中“cceuser”用户,点击“确定”,然后在“添加新配额项”中为该用户设置配额限制,选中“将磁盘空间限制为”项目,在空白栏中输入“500”,接着在“将警告等级设置为”栏中输入“490”,磁盘容量单位选择“MB”,最后点击“确定”,完成“cceuser”用户的磁盘配额设置,这样该用户就只能使用500 MB的共享文件夹硬盘空间了。其他用户的配额设置方法是相同,按照上面的步骤配置即可。
2. 备份恢复“磁盘配额”
备份磁盘配额项目非常简单,由于“CCE”共享文件夹位于D盘,这里笔者以备份Windows 系统的D盘的磁盘配额项目为例,右键点击“D盘”盘符,在弹出的菜单中选择“属性”,切换到“配额”标签页,点击下方的“配额项”按钮,弹出“配额项目”管理对话框,点击“配额→导出”,在“文件名”栏中为备份文件起个名字,最后点击“保存”按钮,完成磁盘配额项目的备份。其它盘符的磁盘配额项目备份和以上相同,不再赘述。
恢复磁盘配额项目同样简单,在配额项目管理对话框中,点击“配额→导入”,然后找到备份文件,点击“打开”按钮后,接着在磁盘配额提示框中点击“是”按钮,完成磁盘配额项目的恢复。
提示:磁盘配额项目的备份和恢复都是以磁盘盘符为单位的,要注意,在进行备份和恢复时,只有NTFS文件系统的磁盘分区才能进行以上操作。
3.移动共享,注意权限
由于某些需要,有时要把共享文件夹移动位置,拷贝到别的目录下。复制操作虽然很简单,但要将共享文件夹所包含的用户访问权限信息和具体共享文件一起复制过去,这是一般的复制操作做不到的。利用“XCOPY”命令就能很好的解决这个问题。
笔者以D盘的CCE共享文件夹为例,将共享文件及其所包含的用户访问权限信息,复制到D盘的CCEB共享文件夹下。在“命令提示符”窗口中的“D:\>”提示符下,运行“xcopy CCE CCEB /O /S”命令后,就可以将CCE共享文件夹和所包含的用户访问权限信息,都复制到CCEB共享文件夹下了。其中“/O”参数表示“复制文件的所有权和 ACL 信息”,“/S”表示“复制目录和子目录”。
4.有备无患,备份ACL
如果共享文件夹所包含的ACL信息(用户访问权限)意外丢失,单凭记忆是很难恢复,还有可能造成遗漏,给共享文件夹留下安全隐患。这时用户就可以使用CACLS命令,做好这些共享文件夹的ACL信息备份。
以D盘的共享文件夹CCE为例,该共享文件夹中包含着大量的ACL信息,下面就使用CACLS命令对此共享文件夹中的所有ACL信息进行备份。在“命令提示符”窗口中切换到“D:\>”提示符下,运行“cacls d:\ CCE /t > d:\aclsCCE.txt”命令后,就将共享文件夹CCE中所包含的ACL信息都备份到D盘的“aclsCCE.txt”文件中了。当ACL信息意外丢失时,就可以按照备份文件“aclsCCE.txt”中ACL信息,对CCE共享文件夹的访问权限进行重新设置,避免了部分ACL信息的遗漏,保证了共享文件夹的安全性。
