檔案共享權限-以cifs檔案共享服務器為例
- 0共享服務器概述
- 1創建共享實驗
- 1.1創建共享檔案夾并訪問
- 1.2創建隱藏共享檔案夾并訪問
- 2權限控制邏輯
- 2.1父子級檔案共享權限的繼承
- 2.2遠程權限與NTFS權限的控制關系
- 3常用DOS命令
- 3.1查看共享:net share
- 3.2創建共享:net share 共享名=地址
- 3.3取消共享:net share 共享名 /del
- 4通過注冊表屏蔽共享自動產生
- 5禁止檔案共享
- 5.1通過禁用server服務
- 5.2配置高級安全防火墻-入站規則
- win10阻止被訪問445埠
- win7阻止被訪問445埠
- 6其他
- 6.1目前所學埠號對應服務
- 6.2作業組與域
- 7總結
本節內容與上一節相比,NTFS權限更傾向于本機檔案的權限,本節內容傾向于分享檔案共享時權限的設定及規則,額外的,本節內容也分享一些禁用檔案共享的方法,
0共享服務器概述
- 通過網路提供檔案共享服務,提供檔案下載和上傳服務,類似于ftp服務器,
- 檔案共享服務器,cifs協議,主要用于Windows系統,常用于公司內部,
- ftp共享服務器,ftp協議,全球通用,常用于公司之間,
1創建共享實驗
1.1創建共享檔案夾并訪問
-
在虛擬機中打開winXP和win2003
-
為兩者設定IP地址,XP為10.1.1.1,win2003位10.1.1.2.
-
在winxp中ping一下win2003,,查看是否連通,
-
在win2003D盤下創建一個檔案夾,命名為“檔案共享”,右鍵檔案→屬性→共享,可以定義別人通過網路訪問的共享名,建議采用英文,
-
進入權限,設定為完全控制,
-
如何遠程訪問:進入winxp,輸入“\10.1.1.2”,表示連接到該IP地址對應的共享服務器,提示需要用戶及密碼登錄,當公司共享服務器比較多時,建議采用輸入“\10.1.1.2\share”的方式,
-
進入win2003,查看已設定的用戶或新建用戶,并查看用戶屬性,
net user #查看所有用戶
net user a #查看a用戶對應資訊
- 進入winxp,輸入用戶名a密碼a,確定可以看到share,
- 練習:創建一個共享檔案夾名為為share,子級檔案夾有upload和download,要求遠程訪問時,a用戶只能在upload中上傳,只能在download中下載,b用戶則用戶完全控制權限,
1.2創建隱藏共享檔案夾并訪問
- 在win2003D盤下創建一個檔案夾,命名為“機密”,右鍵檔案→屬性→共享,可以定義別人通過網路訪問的共享名,建議采用英文,
- 對于隱藏共享檔案夾,必須輸入共享檔案名才能訪問,如“10.1.1.1\jm$”,
- 對于權限的控制,隱不隱藏不影響,
2權限控制邏輯
2.1父子級檔案共享權限的繼承
- 取消父子級檔案權限的繼承關系,無法影響父級共享設定對子級檔案的影響,當父級共享時,其所有子級檔案均為共享,
2.2遠程權限與NTFS權限的控制關系
- 當本地登錄用戶a時,僅受NTFS權限控制其權限,
- 當遠程登錄用戶a時,受共享權限與NTFS權限的共同制約,共享權限與NTFS權限的限制關系,對于權限型別,取兩者權限交集,對于每一類權限的控制規則,按嚴格取,
- 當設定共享權限為everyone完全控制時,遠程登錄用戶與本地登錄用戶時權限一致,特殊權限是否也是如此?
3常用DOS命令
3.1查看共享:net share
net share
IPC$空鏈接,看起來似乎沒有資源,實則可以訪問所有資源,
3.2創建共享:net share 共享名=地址
net share C$=C:
3.3取消共享:net share 共享名 /del
net share C$
net share D$
net share ADMIN$
net share IPC$ #無法洗掉,需要通過修改注冊表實作
該方式取消后,電腦重啟時又重新共享,有兩種途經避免重新共享:
- 將該命令添加到批處理檔案bat中,并添加到電腦的啟動項,電腦開機后,將自動取消共享,參考《批處理檔案及示例》
- 通過修改注冊表,讓每次開機都不自動生成共享,
4通過注冊表屏蔽共享自動產生
- 系統有多個檔案是注冊表檔案,輸入regedit打開注冊表編輯器,
- 用鍵盤上的上下左右進行操作更為便捷,
- 在左側視窗中依次展開到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\lanmanserver\parameters
- 新建DWORO值命名為AutoShareServer,設定值為0.該操作屏蔽CDE盤的自動共享,
- cmd 輸入 shutdown -r -f-t 0 重啟電腦
- cmd 輸入 net share 查看共享檔案有哪些
5禁止檔案共享
當提供網頁共享時,就會有對外提供了IP,容易被別人利用共享埠號入侵,宜禁用檔案共享服務,
5.1通過禁用server服務
運行→services.msc啟動本地服務→找到Server→修改啟動型別與恢復→確定,該服務對應445埠號,
5.2配置高級安全防火墻-入站規則
配置高級安全防火墻-入站規則,禁止被訪問445,該方法使用與win7及以上系統,win2008及以上系統,入站規則,限制別人訪問我,
win10阻止被訪問445埠
- 點擊“網路與Internet設定”→Windows防火墻→高級設定
- 右鍵入站規則,新建規則,選擇埠
- 選擇型別及埠號,
- 選擇阻止鏈接→下一步→全部勾選,下一步→命名如“阻止被訪問445埠”,
- ODP型別埠重復設定一遍
win7阻止被訪問445埠
- 控制面板→系統和安全→Windows防火墻→高級設定
6其他
6.1目前所學埠號對應服務
- 查看服務埠號:cmd 輸入 netstat -an,檢查445埠號是否關閉,
- 2289 遠程桌面,23 telnet終端服務,見《第6節 服務器的遠程管理》,
- 445 檔案共享服務,
6.2作業組與域
作業組中電腦人人平等,域中有帶頭大哥,
7總結
本節內容主要歸納為三個知識點:
- 了解共享檔案的創建于訪問,理解共享權限與NTFS權限的區別和聯系,
- 了解隱藏共享檔案的創建與訪問,了解禁用共享檔案的兩種方法,
- 了解相關的DOS命令、使用regedit打開注冊表編輯器、使用services.msc打開服務串列,
參考文獻
- 《Windows系統中域和作業組的區別》
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/374668.html
標籤:其他
下一篇:http和https的區別