day04、2 - 文件共享服务

一、文件共享服务概述

1.文件共享服务（CIFS服务）

• 通过网络提供文件共享服务，提供文件下载和上传服务（类似于FTP服务器）

2.CIFS对比FTP

• CIFS是微软开发的，在微软电脑上最好用，微软电脑上自带文件共享服务
• FTP是全球通用的

二、创建共享

1.创建方法

• 在服务器创建文件夹—文件夹右键属性—共享—开启共享—设置共享名—设置共享权限

  

  说明：共享名为最终通过网络访问到共享文件的显示的名称

2.共享权限说明

• 在本地登录时，只受NTFS权限的影响

• 在远程登录时，将受共享权限及NTFS权限的共同影响，且取交集！

• 小技巧：所以建议设置共享权限为everyone完全控制，然后具体的权限需求在NTFS权限中设置即可

• 顶级的文件夹被共享了，那么他下面的所有子文件夹和子文件也就被共享了

3.创建隐藏共享

• 方法：共享名$

  

• 对方访问共享是看不到隐藏共享的，除非手动输入共享名$访问

三、访问共享

1.访问方法

• 在WIN+R开始运行框中或者我的电脑地址栏中输入

  \\文件共享服务器IP          #访问共享服务器中共享的文件或文件夹
  \\文件共享服务器IP\共享名    #直接进入共享文件夹中显式当中的内容
  

  记住一定是共享文件的共享名，不是服务器上此文件或夹的真实名称

2.访问隐藏共享

\\服务器IP\共享名$

四、文件共享服务相关命令

1.列出共享列表

net share   #列出本地共享的文件或文件夹或磁盘

2.删除共享

net share 共享名 /del

注意：删除共享只是关闭文件的共享功能，但并不会删除文件。且这个删除命令为临时删除命令，下次开机还会启动

3.创建共享

net share 共享名=需要共享资源的路径   #比如：net share c$=c:\

五、文件共享安全性

• 当我们使用net share命令查看本地共享时

  

• 会看到只要主机开启文件共享服务，就会默认共享自己的磁盘和空连接IPC$，只是会隐藏，对方看不到。

• IPC$为空连接，看起来没有资源对应，实际上，黑客如果连接到你的IPC$，就可以访问你电脑的所有资源，而且可以任意进行操作和修改，只要拿到了你的账号和密码。

==所以为了安全考虑：将这些默认共享关闭！！！==如何关闭详见七、永久关闭默认共享（注册表）

六、永久关闭默认共享（注册表）

1.什么是注册表

• 注册表相当于公安系统的户籍科—记录每个人的信息。每安装一个软件，注册表就会记录这个软件的信息：哪个公司的、装在哪个路径、哪个文件是干什么用的等等。
• 注册表除了会注册软件信息，还会注册系统信息—这个系统有多少账户，SID等
• 注册表在C盘

2.如何打开注册表编辑器

regedit   #在开始运行窗口中输入

注册表不是一个文件，我们也不好往注册表中去手动添加，系统为我们提供了一个编辑器，将注册表都映射到编辑器中去了，我们只需要通过编辑器来编辑后台的注册表即可

3.屏蔽系统隐藏共享自动产生

​ 1）打开注册表编辑器：regedit

​ 2）定位共享注册表位置：HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\

​ 3）右键新建REG_DWORD类型的AutoShareServer 键，值为 0

​

​ 4）关闭后再去cmd命令行输入删除共享命令即可

4.注册表与生活联系

• 即使你的软件安装在其他盘，但是注册表时始终在c盘，你这个软件在本机上的相关信息都会记录在c盘注册表中。那么现在如果重装系统，c盘就被重装了。即使你的软件所在的盘没有影响，但是由于注册表中该软件的相关信息都不在了，那么这个软件可能就会启动失败或者不好用了。
• 现在有些软件为绿色软件，不需要注册表了。

七、文件共享服务端口号

• 文件共享服务端口号为445

• 如何关闭文件共享服务（因为我们平时并不会使用这个服务，而且这个服务很容易被利用）

  • 方法一：打开services.msc，并停止及禁用server服务

    1）打开服务管理窗口 win+r --> services.msc

    2）找到Server服务—文件共享服务

    3）禁用此服务，即关闭了445端口号

  • 方法二：禁止被访问445，配置高级安全防火墙-入站规则（在win7及以上系统，win2008及以上系统）

  

八、小实验

1. 开2台虚拟机，并互相ping通

2. 设置2003为共享服务器，并在客户机上可以访问共享，共享文件夹share中要有upload和download两个文件夹

• 要求：
  • aa账户可以通过upload上传、通过download下载；
  • bb账户只能在upload上传，不能访问download文件夹
  • cc账户对共享文件夹中的所有内容有完全控制权限

---

• 实验步骤：

  1. 将win2003服务器和xp连接同一个交换机VMnet1，组成一个简单的局域网，并且服务器的IP要固定下来，win2003为10.1.1.1，win7为10.1.1.2（子网掩码都为255.255.255.0）

  2. 将win2003部署成一台文件共享（CIFS）服务器，创建共享文件夹，设置共享权限（一般设为完全控制）

     

  3. 先在服务器上新建三个新账户aa，bb，cc

     net user aa aa /add   #表示用户名和密码一致
     net user bb bb /add
     net user cc cc /add
     

  4. 按照要求再设置NTFS权限

     • 先把upload和download取消权限继承

       

     • 将三个账户添加到两个文件夹中的ACL中（一次性添加多个账户用;隔开）

       

     • 对aa账户设置NTFS权限

       

     • 对bb账户设置NTFS权限（或者将bb账户从download删除，且删除Users组）

       

     • 对cc账户设置NTFS权限

       

  5. 通过主机访问共享

     \\10.1.1.1  或   \\10.1.1.1\share
     

     • 分别用aa，bb，cc的账户登录验证

     注：当使用aa账户登录后，本地缓存中会保存aa账户的账号和密码，短时间内登录无需再输入密码，但只能一直用aa账户访问共享，只需要注销一下电脑，就可以再次输入其他账号访问共享