第10节 文件共享服务器—创建/访问共享文件及禁用共享服务

0 引言

本节内容与上一节相比，NTFS权限更倾向于本机文件的权限，本节内容倾向于通过共享远程访问服务器时权限的设定及规定。本节的主要内容如下：
（1）了解共享文件的创建及访问，理解共享权限与NTFS权限的区别和联系。
（2）了解隐藏共享文件的创建与访问，了解屏蔽隐藏共享文件自动产生的两种方法——利用批处理和利用regedit打开注册表编辑器。
（3）了解相关的DOS命令、了解通过server服务和配置高级安全防火墙-入站规则禁用共享服务。

1 共享服务器概述

• 通过网络提供文件共享服务，提供文件下载和上传服务，类似于ftp服务器。
• 文件共享服务器，遵循cifs协议，是微软开发的，主要用于Windows系统，常用于公司内部。
• ftp共享服务器，ftp协议，全球通用，常用于公司之间。

2 创建共享实验

2.1 创建共享文件夹并访问

文件共享的前提是两台虚拟机可以互相通信，即能ping通，因此首先需要两台虚拟机，然后两者处于同一个网段中，并能ping通。
（1）在虚拟机中打开winXP和win2003，将两台虚拟机的网络适配器都连接到同一个交换机上，为两者设置IP地址，XP为10.1.1.1，win2003位10.1.1.2，在winxp中ping一下win2003,，查看是否连通。具体可参考《IP地址详解及其相关概念》。




（2）在win2003D盘下创建一个文件夹，命名为“文件共享”。右键文件→属性→共享。可以定义别人通过网络访问的共享名，建议采用英文。注意，共享名是指共享出去后别人看到的名称，共享名不一定等于文件夹名。

（5）进入权限，一般设置为完全控制。

（6）如何远程访问：进入winxp,输入“ \\10.1.1.2”，表示连接到该IP地址对应的共享服务器。提示需要用户及密码登录。
tips:

• 一个"\"表示路径，两个“\\"表示网络路径。
• 当公司共享服务器比较多时，建议采用输入“\\文件共享服务器IP地址\共享名”的方式。
• "\\IP地址”叫做UNC地址。
• 通过网络路径访问时，不关心被共享的文件夹在哪个盘，只关心IP地址以及共享名。

（7）服务器一般不给管理员账户及密码，管理员账户及密码是不能轻易透露的。因此需要win2003建立普通用户及密码。进入win2003，查看已设置的用户或新建用户，并查看用户属性。

net user		#查看所有用户
net user a		#查看a用户对应信息

（8）进入winxp，输入用户名a及密码，确定可以看到share。


tips:
该共享文件夹下面的那根横线代表交换机，竖线代表网线。

（9）练习：创建一个共享文件夹名为为share，子级文件夹有upload和download，要求远程访问时，a用户只能在upload中上传，只能在download中下载，b用户则用户完全控制权限。
注意：
（1）当通过共享远程访问服务器，用a用户登录时，若要切换登录b用户，需要客户机注销后重新登录，才能切换用户。主要是因为客户机有短暂记忆。
（2)通过共享远程访问服务器，用a用户登录时，若a用户没密码，对于windows服务器，网络访问反而会受限制。

2.2 创建隐藏共享文件夹并访问

（1）在win2003D盘下创建一个文件夹，命名为“机密”。右键文件→属性→共享。可以定义别人通过网络访问的共享名，建议采用英文，后缀+"$"时，代表该共享文件夹被隐藏。

（2）对于隐藏共享文件夹，必须输入共享文件名才能访问。如“\IP地址\jm$”。
（3）对于权限的控制，隐不隐藏不影响。

3 权限控制逻辑

3.1 父子级文件共享权限的继承

取消父子级文件权限的继承关系，无法影响父级共享设置对子级文件的影响，当父级共享时，其所有子级文件均为共享。

3.2 远程权限与NTFS权限的控制关系

（1）本地NTFS权限仅限制本地用户登录的时候，在安全中设置什么权限就是什么权限。
（2）当远程登录时（通过共享登录时），受到共享与NTFS的共同影响，取共享与NTFS的交集。比如共享权限允许a共享权限为读，本地NTFS允许a的NTFS权限为写，那么a远程访问时什么权限都没有。
（3）为了简便，一般在共享权限中给所有人完全控制权限，当用户远程访问时，相当于只受NTFS的影响。

4 常用的与共享相关的DOS命令

4.1 查看共享：net share

net share   #查看共享文件夹的文件共享名

注意：默认开了各磁盘的隐藏共享，而IPC$空链接，看起来似乎没有资源，实则可以访问所有资源。

4.2 创建共享：net share 共享名=地址

net share C$=C:\    #创建共享

4.3 取消共享：net share 共享名 /del

net share C$ /del
net share D$ /del
net share ADMIN$ /del
net share IPC$	/del #无法删除，需要通过修改注册表实现

注意：该方式取消后，电脑重启时刚刚删除的默认隐藏共享又被重新共享了。有两种途经避免重新共享：
（1）将该命令添加到批处理文件bat中，并添加到电脑的启动项。电脑开机后，将自动取消共享。参考《第5节 批处理编写及其示例》。
（2）通过修改注册表，让每次开机都不自动生成共享。
tips：
每次安装软件，软件的相关信息都需要放到注册表中注册，注册表在C盘，即使软件放在D盘，但是注册信息还是放在C盘。若重装系统，C盘的注册信息同样没了，该软件若不重装，可能就不好用了。

5 通过注册表屏蔽隐藏共享自动产生

（1）系统有多个文件是注册表文件，输入regedit打开注册表编辑器。
（2）用键盘上的上下左右进行操作更为便捷。
（3）在左侧窗口中依次展开到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\lanmanserver\parameters
（4）新建DWORO值命名为AutoShareServer，设定值为0.该操作屏蔽CDE盘的自动共享。

（5）cmd 输入 shutdown -r -f-t 0 重启电脑。
（6）cmd 输入 net share 查看共享文件有哪些。

6 禁止文件共享

当服务器不是共享服务器，只提供网页服务时，可以把共享服务关了。因为开启共享服务，IPC$默认开启，容易被别人利用共享端口号入侵，宜禁用文件共享服务。

6.1 通过禁用server服务

运行→services.msc启动本地服务→找到Server→修改启动类型与恢复→确定。该服务对应445端口号。相当于445端口号停止了。



注意：即使关闭了共享服务，445号端口仍然存在，只是不起作用，比较特殊。

6.2 配置高级安全防火墙-入站规则

配置高级安全防火墙-入站规则（在win7及以上系统，win2008及以上系统），禁止被访问445，入站规则，限制别人访问我。

6.2.1 win10阻止被访问445端口

（1）点击“网络与Internet设置”→Windows防火墙→高级设置


（2）右键入站规则，新建规则，选择端口

（3）选择类型及端口号。

（4）选择阻止链接→下一步→全部勾选，下一步→命名如“阻止被访问445端口”。

（5）UDP类型端口重复设置一遍

6.2.2 win7阻止被访问445端口

控制面板→系统和安全→Windows防火墙→高级设置

7 其他

7.1 目前所学端口号对应服务

查看服务端口号：cmd 输入 netstat -an，检查445端口号是否关闭。
2289 远程桌面，23 telnet终端服务，见《第7节 服务器的远程管理》。
445 文件共享服务。

7.2 工作组与域

工作组中电脑人人平等，域环境中域管理员权限最大，只有知道其他成员IP，不需要知道其他成员账号及密码，就访问人任何点啊弄资源。

8 总结

本节内容主要归纳为三个知识点：

（1）了解共享文件的创建及访问，理解共享权限与NTFS权限的区别和联系。
（2）了解隐藏共享文件的创建与访问，了解禁用共享文件的两种方法。
（3）了解相关的DOS命令、使用regedit打开注册表编辑器、使用services.msc打开服务列表。
tips:

whoami         #查看当前用户的名字
whoami /user   #当前用户的名字及SID

参考文献

[1] 文件共享权限-以cifs文件共享服务器为例