day04、2 - 文件共享服务

一、文件共享服务概述

1.文件共享服务(CIFS服务)

  • 通过网络提供文件共享服务,提供文件下载和上传服务(类似于FTP服务器)

2.CIFS对比FTP

  • CIFS是微软开发的,在微软电脑上最好用,微软电脑上自带文件共享服务
  • FTP是全球通用的

二、创建共享

1.创建方法

  • 在服务器创建文件夹—文件夹右键属性—共享—开启共享—设置共享名—设置共享权限

    day04、2 - 文件共享服务_第1张图片

    说明:共享名为最终通过网络访问到共享文件的显示的名称

2.共享权限说明

  • 本地登录时,只受NTFS权限的影响

  • 远程登录时,将受共享权限及NTFS权限的共同影响,且取交集

  • 小技巧:所以建议设置共享权限为everyone完全控制,然后具体的权限需求在NTFS权限中设置即可

  • 顶级的文件夹被共享了,那么他下面的所有子文件夹和子文件也就被共享了

3.创建隐藏共享

  • 方法:共享名$

    day04、2 - 文件共享服务_第2张图片
  • 对方访问共享是看不到隐藏共享的,除非手动输入共享名$访问

三、访问共享

1.访问方法

  • 在WIN+R开始运行框中或者我的电脑地址栏中输入

    \\文件共享服务器IP          #访问共享服务器中共享的文件或文件夹
    \\文件共享服务器IP\共享名    #直接进入共享文件夹中显式当中的内容
    

    记住一定是共享文件的共享名,不是服务器上此文件或夹的真实名称

2.访问隐藏共享

\\服务器IP\共享名$

四、文件共享服务相关命令

1.列出共享列表

net share   #列出本地共享的文件或文件夹或磁盘

2.删除共享

net share 共享名 /del

注意:删除共享只是关闭文件的共享功能,但并不会删除文件。且这个删除命令为临时删除命令,下次开机还会启动

3.创建共享

net share 共享名=需要共享资源的路径   #比如:net share c$=c:\

五、文件共享安全性

  • 当我们使用net share命令查看本地共享时

    day04、2 - 文件共享服务_第3张图片

  • 会看到只要主机开启文件共享服务,就会默认共享自己的磁盘和空连接IPC$,只是会隐藏,对方看不到。

  • IPC$为空连接,看起来没有资源对应,实际上,黑客如果连接到你的IPC$,就可以访问你电脑的所有资源,而且可以任意进行操作和修改,只要拿到了你的账号和密码。

==所以为了安全考虑:将这些默认共享关闭!!!==如何关闭详见七、永久关闭默认共享(注册表)

六、永久关闭默认共享(注册表)

1.什么是注册表

  • 注册表相当于公安系统的户籍科—记录每个人的信息。每安装一个软件,注册表就会记录这个软件的信息:哪个公司的、装在哪个路径、哪个文件是干什么用的等等。
  • 注册表除了会注册软件信息,还会注册系统信息—这个系统有多少账户,SID等
  • 注册表在C盘

2.如何打开注册表编辑器

regedit   #在开始运行窗口中输入

注册表不是一个文件,我们也不好往注册表中去手动添加,系统为我们提供了一个编辑器,将注册表都映射到编辑器中去了,我们只需要通过编辑器来编辑后台的注册表即可

3.屏蔽系统隐藏共享自动产生

​ 1)打开注册表编辑器:regedit

​ 2)定位共享注册表位置:HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\

​ 3)右键新建REG_DWORD类型的AutoShareServer 键,值为 0

day04、2 - 文件共享服务_第4张图片

​ 4)关闭后再去cmd命令行输入删除共享命令即可

4.注册表与生活联系

  • 即使你的软件安装在其他盘,但是注册表时始终在c盘,你这个软件在本机上的相关信息都会记录在c盘注册表中。那么现在如果重装系统,c盘就被重装了。即使你的软件所在的盘没有影响,但是由于注册表中该软件的相关信息都不在了,那么这个软件可能就会启动失败或者不好用了。
  • 现在有些软件为绿色软件,不需要注册表了。

七、文件共享服务端口号

  • 文件共享服务端口号为445

  • 如何关闭文件共享服务(因为我们平时并不会使用这个服务,而且这个服务很容易被利用)

    • 方法一:打开services.msc,并停止及禁用server服务

      1)打开服务管理窗口 win+r --> services.msc

      2)找到Server服务—文件共享服务

      3)禁用此服务,即关闭了445端口号

    • 方法二:禁止被访问445,配置高级安全防火墙-入站规则(在win7及以上系统,win2008及以上系统)

    image-20211017211546473

八、小实验

  1. 开2台虚拟机,并互相ping通

  2. 设置2003为共享服务器,并在客户机上可以访问共享,共享文件夹share中要有upload和download两个文件夹

  • 要求:
    • aa账户可以通过upload上传、通过download下载;
    • bb账户只能在upload上传,不能访问download文件夹
    • cc账户对共享文件夹中的所有内容有完全控制权限

  • 实验步骤:

    1. 将win2003服务器和xp连接同一个交换机VMnet1,组成一个简单的局域网,并且服务器的IP要固定下来,win2003为10.1.1.1,win7为10.1.1.2(子网掩码都为255.255.255.0)

    2. 将win2003部署成一台文件共享(CIFS)服务器,创建共享文件夹,设置共享权限(一般设为完全控制)

      day04、2 - 文件共享服务_第5张图片
    3. 先在服务器上新建三个新账户aa,bb,cc

      net user aa aa /add   #表示用户名和密码一致
      net user bb bb /add
      net user cc cc /add
      
    4. 按照要求再设置NTFS权限

      • 先把upload和download取消权限继承

        image-20211017192421860

      • 将三个账户添加到两个文件夹中的ACL中(一次性添加多个账户用;隔开)

        day04、2 - 文件共享服务_第6张图片day04、2 - 文件共享服务_第7张图片

      • 对aa账户设置NTFS权限

        day04、2 - 文件共享服务_第8张图片day04、2 - 文件共享服务_第9张图片

      • 对bb账户设置NTFS权限(或者将bb账户从download删除,且删除Users组)

        day04、2 - 文件共享服务_第10张图片day04、2 - 文件共享服务_第11张图片

      • 对cc账户设置NTFS权限

        day04、2 - 文件共享服务_第12张图片day04、2 - 文件共享服务_第13张图片

    5. 通过主机访问共享

      \\10.1.1.1  或   \\10.1.1.1\share
      
      • 分别用aa,bb,cc的账户登录验证

      注:当使用aa账户登录后,本地缓存中会保存aa账户的账号和密码,短时间内登录无需再输入密码,但只能一直用aa账户访问共享,只需要注销一下电脑,就可以再次输入其他账号访问共享

你可能感兴趣的:(web安全基础,服务器,网络,运维,系统安全)