不同需求下的共享訪問控制

在局域網工作環境中，為了便于訪問交流，很多人往往要將自己的重要文件夾共享出去，讓其他人能通過網絡快速訪問。不過，在實際工作過程中，用戶常常會面對不同的安全需求和訪問限制，這就需要用戶根據不同需求對共享訪問操作進行靈活控制，確保共享訪問安全與高效兩不誤！

監控共享訪問刪除操作

局域網中的一些惡意用戶，一旦竊取到共享文件夾的有關操作權限后，他們可能會偷偷做出一些違法的事情，例如，私下刪除共享文件夾中的部分隱私文件，或者將重要內容轉移到其他位置處。如果我們希望對這種共享行為進行監控，以便調查清楚究竟是什么用戶在什么時間進行共享訪問刪除操作的，那么可以按照如下步驟來調整共享文件所在系統的審核策略：

首先依次單擊“開始”|“所有程序”|“附件”|“Windows資源管理器”命令，彈出系統資源管理器窗口，從中找到目標共享文件夾（該文件夾必須位于NTFS格式的磁盤分區中），用鼠標右鍵單擊該文件夾圖標，選擇快捷菜單中的“屬性”命令，打開該文件夾屬性對話框。

其次選擇其中的“安全”標簽，點擊安全標簽頁面中的“高級”按鈕，切換到高級設置對話框，點選“審核”標簽，進入如圖1所示的標簽設置頁面，在這里將所有陌生的用戶賬號取消，同時按“添加”按鈕，打開用戶或組添加對話框，在“輸入要選擇的對象名稱”位置處，直接輸入可信任的用戶賬號或名稱，并按“確定”按鈕返回。

接著在其后界面的“應用于”位置處選擇“該文件夾，子文件夾及文件”選項，同時在“訪問”列表中，將“刪除子文件夾及文件”、“刪除”等操作的“成功”、“失敗”選項都選中。要是想避免原始對象的后續文件和子文件夾繼續上述審核設置，那就需要將這里的“將這些審核項目只應用到這個容器中的對象和或容器上”選項一并選中，再單擊“確定”按鈕保存設置操作。

當然，要提醒大家的是，在對共享文件夾中的文件刪除操作執行審核之前，我們必須先打開系統的組策略對話框，將對象訪問審核策略啟動起來。要是不將該訪問對象審核策略啟動起來，那么在設置共享文件夾的刪除審核策略時，系統可能會彈出錯誤提示。

追蹤共享文件上傳操作

在多人共同使用同一個共享文件夾的情況下，用戶常常會通過各自的計算機上傳文件到共享文件夾中，這時很有必要弄清楚共享文件的來源，以保證共享訪問的透明性。要做到這一點，可以按照如下步驟來追蹤共享文件的上傳操作行為：

首先在共享文件所在主機系統中，依次單擊“開始”|“所有程序”|“附件”|“Windows資源管理器”命令，彈出系統資源管理器窗口，從中找到目標共享文件夾，用鼠標右鍵單擊該文件夾圖標，選擇快捷菜單中的“屬性”命令，打開該文件夾屬性對話框。

其次點選“安全”標簽，在安全標簽設置頁面中按下“高級”按鈕，展開高級安全屬性對話框，切換到其中的審核標簽頁面中，逐一點擊“編輯”|“添加”按鈕，導入自己可信任的用戶賬號，將其他不熟悉的賬號全部刪除掉，同時按“確定”按鈕返回到如圖2所示的設置界面。

接著從這里的“應用到”下拉列表中選擇“只有子文件夾”選項或其他相關選項，再將“創建文件/寫入數據”、“創建文件夾/附加數據”等選項選中，同時設定想要審核的操作，例如只想對成功創建文件操作進行審核時，只要將審核操作指定為“成功”即可，再單擊“確定”按鈕保存設置操作。這么一來，我們日后通過查看系統的相關日志文件，就能了解到共享文件夾中的共享內容究竟是哪個用戶上傳的了。

控制共享文件屬性不變

為了改善共享文件的訪問效率，有時用戶需要將共享文件夾從運行性能一般的計算機中轉移到運行性能高的服務器中，不過利用常規的復制、剪切操作來移動共享文件夾時，這些共享文件夾的原始屬性信息會在移動過程中丟失掉，這樣可能會給日后的共享訪問帶來麻煩。其實，通過下面的設置操作，用戶能夠很輕松地控制共享文件夾在移動過程中屬性信息會固定不變：

首先在對共享文件夾執行移動操作之前，進入到共享文件夾所在主機系統中，逐一點選“開始”|“運行”選項，打開系統運行文本框，輸入“regedit”命令，按“確定”按鈕，彈出系統注冊表編輯界面；在該編輯界面左側顯示區域中，將鼠標定位到HKEY_LOCAL_MACHINE/SYSTEM/Current Control Set/ Services/lanmanserver/ Shares注冊表目錄上，再用鼠標右擊“Shares”目錄，點選右鍵菜單中的“導出”命令，將當前目錄下的注冊表鍵值信息導出存儲成reg格式的文件，該文件保存了所有共享文件夾的屬性信息。

其次將共享文件夾移動到新的服務器主機中，同時將之前創建的reg格式文件復制到該系統中，并用鼠標雙擊該注冊表文件，導入共享文件夾的屬性信息。之后，依次單擊“開始”|“運行”命令，打開系統運行文本框，輸入“services. msc”命令，按回車鍵后，切換到系統服務列表界面，雙擊“Server”選項，切換到如圖3所示的服務屬性對話框，先單擊“停止”按鈕，再按“啟動”按鈕，對“Server”服務執行重新啟動操作，這樣共享文件夾的屬性信息就和以前一樣了。

禁止留下共享訪問痕跡

使用Windows XP系統的網上鄰居窗口訪問共享文件后，這些共享訪問記錄會被留存下來，日后通過網上鄰居窗口還能看到上次共享訪問痕跡，顯然Windows XP系統的這種共享記憶功能能會暴露用戶的共享訪問隱私。為了避免安全麻煩，我們可以進行如下設置操作，禁止系統留下共享訪問痕跡：

首先逐一點選“開始”|“運行”命令，打開系統運行文本框，輸入“regedit”命令，單擊“確定”按鈕后，彈出系統注冊表編輯界面；將鼠標定位到HKEY_LOCAL_ MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\ Network\\Lanman注冊表目錄上，目標目錄下的每一個鍵值，其實就對應一個共享訪問記錄，將這些所有鍵值選中并刪除，就能清除掉網上鄰居窗口中的共享訪問痕跡了。

為了防止共享訪問痕跡再次出現在網上鄰居窗口中，我們可以再次打開系統運行文本框，在其中執行“Gpedit.msc”命令，彈出系統組策略編輯界面，依次展開該編輯界面左側列表中的“用戶配置”|“管理模板”|“桌面”目錄，用鼠標雙擊該目錄下的“不要將最近打開的文檔的共享添加到網上鄰居”選項，彈出如圖4所示的選項設置對話框，在這里我們會看到Windows系統默認已經停用了這項策略設置功能，所以我們應該及時重新選中“已啟用”選項，再按“確定”按鈕執行設置保存操作即可。

實現共享訪問自動映射

有的時候，為了提高共享訪問效率，我們需要將共享文件夾自動映射成本地磁盤分區，以便實現共享資源本地化訪問。要做到這一點，我們可以利用批處理文件，將局域網中的指定共享文件夾自動映射成本地的某個特定磁盤分區，日后只要打開指定磁盤分區窗口，就能快速訪問到目標共享資源，下面就是具體的實現步驟：

首先打開記事本之類的文本編輯窗口，輸入下面的命令行代碼：

@echo off

net share \\\\Computer\\ Share H:

其中“Computer”為共享文件夾所在主機名稱，“Share”為共享文件夾的共享名稱，“H：”為本地系統中的一個特定磁盤分區符號，之后依次單擊文本編輯界面中的“文件”|“保存”選項，打開文件保存設置對話框，將上面的命令代碼保存為批處理格式的文件，假設我們將該文件取名為“yingshe.bat”，日后雙擊該批處理文件，共享文件夾就會被映射成本地系統的一個磁盤分區。

如果希望Windows系統能夠自動完成映射操作時，可以依次單擊“開始”|“運行”命令，在彈出的系統系統運行框中執行“gpedit.msc”串命，打開系統組策略編輯窗口，將鼠標定位到“計算機配置”|“Windows設置”|“腳本（啟動/關機）”目錄上，雙擊該目錄下的“啟動”選項，切換到如圖5所示的選項設置對話框，按“添加”按鈕，打開文件選擇對話框，導入之前生成的“yingshe.bat”批處理文件，再按“確定”按鈕返回，這樣本地系統日后每次成功啟動后，都會自動調用“yingshe.bat”批處理文件，來實現共享訪問自動映射操作。

除了通過批處理文件實現共享文件的映射外，我們還能利用Windows系統內置的網絡驅動器功能來映射共享文件夾。在進行這種操作時，用鼠標雙擊本地系統桌面中的“計算機”圖標，單擊其后界面中的“映射網絡驅動器”工具欄按鈕，打開如圖6所示的設置界面，從“驅動器”位置處選中一個合適的空閑磁盤分區符號，在“文件夾”位置處輸入共享文件夾的具體路徑，比方說這里輸入的是“\\\\ Computer\\Share”，當然也能通過“瀏覽”按鈕導入目標共享文件夾，再單擊“完成”按鈕結束共享訪問自動映射設置操作。

自動關閉所有隱藏共享

為了方便用戶遠程管理磁盤分區中的內容，Windows系統默認會對各個磁盤分區開啟隱藏共享。不過，在服務器主機系統中，要是輕易開啟隱藏共享的話，惡意用戶可能會利用隱藏共享來偷偷攻擊服務器。為了保護服務器系統運行安全，相信很多網管員往往會利用“net share”命令，來手工刪除服務器主機中的所有磁盤分區隱藏共享，很明顯這種方法操作效率不是很高，而且重新啟動服務器系統后，之前被刪除的隱藏共享又能自動生成了。為了實現自動關閉所有隱藏共享目的，我們不妨通過批處理方式，來快速關閉所有隱藏共享，再讓服務器系統每次重啟成功后都自動執行一次刪除操作：

首先打開記事本之類的文本編輯窗口，輸入下面的命令行代碼：

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share IPC$ /del

net share ADMIN$ / del

之后依次單擊“文件”|“保存”命令，將上面的命令代碼存儲為bat格式的批處理文件，假設將該文件名稱取為“shut.bat”，日后每執行一次該批處理文件，服務器系統中的所有隱藏共享都被刪除一次，很明顯這種關閉隱藏共享的方法很高效。

其次將上面生成的“shut.bat”批處理文件設置成啟動腳本，確保服務器系統日后在重新啟動后，隱藏共享不會自動生成。在進行這種操作時，可以逐一點選“開始”|“運行”命令，打開系統運行框，輸入字符串命令“gpedit.msc”，彈出系統組策略編輯界面；將鼠標定位到“計算機配置”|“Windows設置”|“腳本(啟動/關機)”分支（如圖7所示），雙擊指定分支下的“啟動”組策略，在其后彈出的啟動屬性對話框中，按“添加”按鈕，單擊添加對話框中的“瀏覽”按鈕，導入之前創建好的“shut.bat”批處理文件，最后按“確定”按鈕保存上述設置，這樣服務器系統日后重新啟動時也不會自動生成隱藏共享了。

強制進行共享訪問驗證

Vista以下版本系統缺省狀態下處于來賓共享訪問模式下，在該模式下用戶往往不需要輸入密碼，就能輕易訪問到共享文件夾中的內容，這對于安全性要求較高的用戶來說，顯然是不能接受的。為了保護共享訪問操作的安全，我們可以按照如下設置步驟，修改Windows系統的共享訪問模式，強制用戶必須進行共享訪問驗證：

首先以系統管理員身份登錄共享文件所在主機系統，逐一點選“開始”|“運行”選項，在系統運行框中輸入“gpedit.msc”命令，單擊“確定”按鈕后，進入系統組策略編輯界面；將鼠標定位到該界面左側顯示窗口中的“計算機配置”|“Windows設置”|“安全設置”|“本地策略”|“安全選項”目錄上。

其次雙擊指定目錄下的“網絡訪問: 本地帳戶的共享和安全模型”選項，打開如圖8所示的組策略屬性對話框，將其中的“經典—對本地用戶進行身份驗證，不改變其本來身份”項目選中，再單擊“確定”按鈕執行設置保存操作，這樣Windows系統日后就會強制用戶進行共享訪問驗證了。