【IT168 专稿】随着信息技术的飞速发展,信息共享文件也成了家常便饭。而此种共享也恰恰给数据的安全埋下了隐患,任何共享的文件都有可能被窃取,即便没有共享文件,也可以通过其他途径获取网络中计算机的文件。可见,除了要防御Internet的攻击外,局域网内部的安全防护也是非常重要的。
文件夹共享安全
大家在Windows局域网中,有时为了能够实现某些资源的共用,往往可以对需要实现共用的资源建立一个共享名称,然后需要使用该共用资源的用户通过局域网中的网上邻居功能,来实现对共用资源的访问。虽然共享能给我们带来操作上的方便,但不可否认它也给我们带来了安全方面的威胁。有些不法用户可以利用共享功能,来任意删除、更改或者破坏局域网中其他计算机上的资源。为了保护共享资源的安全,我们可以设置用户或组的共享权限;可以设置为“只读”或“完全控制”,以此来保证其安全性。例如,为了安全的共享一个包含重要信息的文件夹,你可以对文件夹设置组访问用户,只有在这个组中的成员才可以访问此文件夹,并设置访问权限以进一步增强安全性。
即使我们给共享资源设置了访问权限,但是局域网中的每一个用户仍然能够在“网上邻居”中看到这个共享资源,使共享资源暴光在整个网络之中,安全性让人担忧。为了确保相对安全性,可以学习WINDOWS的默认共享,它把C盘建立一个形如"C$"的共享名称,但在网上邻居中我们并不能看到C文件夹,这就说明了“$”符号可以隐藏共享文件夹;所以在这里,我们同样可以使用这样的方法,在给需要共用的资源设置共享名称时,只需要在共享名后附加一个美元标志($)。设置完共享名称后,再打开“网上邻居”时就会发现被设置的共享资源现在找不到了,增强了共享文件的隐蔽性,同样安全性也大大增加。访问也很简单,如IP地址为192.168.1.1的机器共享一个名为wy$的文件。机器192.168.1.2可以在IE浏览器的地址栏里直接输入\\192.168.1.1\wy$就可以访问了。
Web共享安全
在将共享目录发布到网络中的时候,首先需要在Windows服务器中安装好IIS服务器组件,在缺省状态下该组件都会自动安装的,我们所要做的往往就是检查一下该组件是否能够正常启动就OK了。在检查IIS服务器组件是否工作正常时,可以依次单击“开始”/“程序”/“管理工具”/“Internet管理工具”命令,在弹出的服务器站点列表界面中,单击一下服务器的计算机名称,在对应的右边子窗口中如果我们能看到该服务器站点的运行状态是好的话,就说明IIS服务器组件已经能够正常工作,否则表明IIS服务已经停止运行或IIS服务器组件安装出错。此时你不妨用鼠标右键单击指定服务器站点名称,从弹出的右键菜单中执行“启动”命令,尝试着重新启动一下IIS服务;倘若启动失败的话,那就表明IIS服务器组件没有安装或设置成功,需要重新进行安装。
一旦安装并启用好IIS服务器组件后,我们下面就需要将指定的重要目录发布到网络中,让其他用户随心所欲地去共享访问了。比方说,现在我们假设要把“D:\WY”目录发布到网络中去,那就必须把该目录先设置成Web共享。
在设置Web共享目录时,可以先打开系统资源管理器窗口,找到“D:\WY”目录;接着用鼠标右键单击一下“WY”文件夹图标,并执行快捷菜单中的“共享”命令,打开共享目录设置对话框,再单击其中的“Web共享”标签,然后单击对应标签页面中的“共享该文件夹”按钮,打开文件夹共享属性对话框;在该对话框的“编辑别名”处输入共享别名,同时设置好必要的访问权限,最后单击“确定”按钮。完成好上面的步骤后,其他用户就可以打开IE浏览器窗口,并在地址栏中输入形如“http://Server/WY”格式的URL地址,就能通过HTTP方式访问到发布到网络中的共享目录了。
提示:在安装IIS服务器组件时,可以依次单击“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,双击“添加或删除程序”图标,在其后出现的窗口中,单击“添加/删除Windows组件”标签,并在打开的Windows组件安装向导页面中,选中“应用程序服务器”选项(如图1所示),
并单击该界面中的“详细信息”按钮;在其后弹出的图2界面中,将“万维网服务”选项选中,再单击“确定”按钮,然后把Windows服务器系统安装光盘插入到物理光驱中,并按照屏幕提示完成其他的安装任务。
由于通过HTTP方式访问共享目录时,需要开启IIS服务器的目录浏览功能,可是该功能的启用,将会给网络服务器的安全带来麻烦。事实上,要是允许所有的用户都可以访问到服务器中的共享目录的话,将会严重影响服务器的整体运行性能;因此,为了既能保证共享目录的访问安全性,又不影响服务器的整体性能,我们需要对服务器的共享安全进行必要的设置,以便授权只有指定的用户才能访问到共享目录。
共享目录验证
为了禁止其他人随意访问发布到网络中的共享目录,我们可以对访问者进行身份验证,以便让授权用户才能访问共享目录。在进行身份验证时,可以依次单击“开始”/“程序”/“管理工具”/“计算机管理”/“本地用户和组”命令,在其后打开的计算机管理窗口中,添加需要访问共享目录的用户名和密码。
下面再依次单击“开始”/“程序”/“管理工具”/“Internet管理工具”命令,在弹出的站点列表窗口中,用鼠标右键单击已经发布到网络中的共享目录,从弹出的右键菜单中执行“属性”命令,打开共享目录的属性设置窗口;单击其中的“目录安全性”标签,在对应标签页面的“匿名访问和验证控制”设置项处单击“编辑”按钮,在接着出现的编辑对话框中,取消“匿名访问”的选中状态,再把“集成Windows验证”选项选中,最后单击“确定”按钮,这样的话以后任何一位用户都需要凭借正确的用户名和密码才能访问到共享目录。
为了防止没有授权的用户通过连接空用户的方法,非法访问到共享目录,我们可以进行如下的设置,来切断空用户的直接连接:依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入注册表编辑命令“Regedit”,单击“确定”按钮后,打开系统的注册表编辑窗口;
将鼠标定位于其中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA注册表分支,在对应“LSA”分支的右侧子窗口区域中,双击其中的“RestrictAnonymous”键值(如图2所示),
在其后出现的数值设置框中,输入数字“1”,并单击一下“确定”,然后再将服务器系统重启一下就可以阻止未授权用户通过空连接方法来访问共享目录了。
共享权限限制
由于在缺省状态下,服务器会把发布到网络中的共享目录所有权限开放给网络中的每一位用户,这么一来的话共享目录很容易被其他人不小心修改或删除掉,从而影响共享目录的安全甚至危及到整个服务器的安全。为此对共享目录的访问权限进行合适设置,也是非常有必要的: 选中目标共享目录,然后在对应的窗口中依次单击“文件”/“安全”命令,在其后出现的安全设置窗口中,将“everyone”帐号的所有权限全部删除掉,然后分别对每一个授权的用户设置合适的访问或控制权限;
为了防止其他不相关的共享目录,被授权用户访问到,我们最好将服务器中不需要的共享目录取消,或者将重要的共享目录全部放置到系统分区以外,这样即使共享目录遭受到了破坏,也不会影响整个服务器的安全。
以上是对Windows本身进行设置的。用户还可以借助第三方工具Lockdown来保护自己的共享数据。 虽然Lockdown是一款比较老的软件,但其功能不可小觑。在局域网上有其他计算机连接到用户电脑上时,Lockdown会自动把对方和本机的连接过程记录下来,使得对方的连接完全在你的监视之下。此时你不仅能够记录到对方的IP地址,还可以把对方主机的名称也一并记录下来。这样,即便被人非法入侵也可以根据记录顺找出来。
运行Lockdown之后,程序首先会自动扫描当前系统中所有共享的文件夹,并弹出一个警告窗口,如果文件夹没有采用口令保护的话,就会用醒目的红字提醒你这个文件夹的共享方式是极为不安全的。这时候有“取消文件夹共享”、“添加共享口令”、“忽略”和“以后再说”四种处理方式供选择,不过还是强烈建议执行“添加共享口令”,这样才能最为有效的保护文件安全。在“Shares”标签上,可以对有关局域网共享连接进行设定,而且可以监测所有连接到计算机用户的使用情况。
在局域网中Lockdown可以显示当前计算机所有共享的文件夹名称。有时候黑客把一个很隐蔽的文件夹设置为共享,然后在通过这种方式深入侵入你的计算机。这时用户就可以很容易发现那个不是自己共享的文件夹,并可以果断的将这个隐患关闭。
Lockdown还可以记录所有连接的详细情况。如,其他用户调用的文件资源、连接时间、IP地址和用户名信息,更增加了断开连接时间和连接总时间,这样能够更加完整地了解到别人对你计算机资源的使用情况。
