文件的共享和保护

   *** 作系统为用户提供了文件共享功能，可以让多个用户共享地使用同一个文件。

  上p篇文章说到索引节点是文侍桐件目录瘦身策略。由于检索文件时需要用到文件名，因此可以将除文件名之外的其他信息放到索引节点中。这样目录项就包含了文件名、索引节点指针。

  在索引节点中设置一个链接计数变量count，用于表示链接到本索引节点上的用户目录项数。

  如下图所示，如果count = 2，说明此时有两个用户目录项链接到该索引节点，或者说是有两个用户在共享此文件。

  如果此时User1删除该文件，则只是把用户目录中与该文件对应的目录项删除，且索引节点的count值减1。

  假如 *** 作系统中用户1和用户没键2通过硬链接的方式共享文件1，如果此时用户3想通过软链接的方式来共享这个文件，那么用户3就会创建一个文件，这个文件是一个特殊的link文件，这个文件中存放了文件1的存储路径

  当User3访问“ccc”时， *** 作系统判断文件“ccc”属于Link类型文件（Windows *** 作系统快捷方式就是.link文件），于是会根据其中记录的路径层层查找目录，最终找到User1的目录表中的“aaa”表项，于是找到了文件1的索引节点，就可以访问文件1。

  如果此时用户1和用户2都删除了文件1，那么此时文件1就会被从外存中删除，但是文件1的删除并不会导致文件2的删除，当用户3访问“ccc”时，同样 *** 作系统会根据文件2中存放的路径去查找，此时文件2已经被删除，所以肯定找不到了，所以文件2就失效了，类比于Windows *** 作系统中快捷方式就是“此快捷方式所指向的路径已经被删除”。

  文件保护有三种方式： 口令保护、加密保护、访问控制。

  口令保护： 为文件设置一个口令，用户请求访问该文件时必须提供口令。

  口令一般存放在文件对应的FCB或索引节点中。用户访问文件前需要先输入口令， *** 作系统会将用户提供的口令和FCB中存储的口令进行对比，如果正确，则允许用户访问文件。

  优点：保存口令的空间开销不多，验证口令的时间开销也很小。

  缺点：正确的口令存放在系统内部，不够安全。

  加密保护：使用某个“密码”对文件加密，在访问文件时需要提供正确的“密码”才能进行正确的解密。

  以一个最简单的加密算法——异或加密为例。假设用于加密/解密的“密码”为 01001 。

  假设原始文件的数据如下

  访问控制：在每个文件的FCB（或索引节点）中增加一个 访问控制表（Acess-Control List，ACL） ，该表记录了各个用户可以对该文件执行哪些 *** 作。

  通常以组为单位，标记各组用户可以对文件执行哪些 *** 作。类比网站游客、老察坦用户、VIP用户、管理员有不同的 *** 作权限。假设分为系统管理员、文件主、文件主同伴、其他用户几个分组，当某用户想要访问文件时，系统会检查该用户所属的分组是否有相应的访问权限。

在企业的网络中，最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息，人事部门可能不会亲自拿过去，而是在网络上共享；生产部门的生产报表也不会用书面的资料分发，而是放在网络的共享文件夹下，谁需要的话，就自己去查看就可以了，等等。类似的需求还有很多。\x0d\x0a可见，共享文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改；有些对于企业来说数据保密的内容在网络上被共享，所有员工都可以访问；共享文件成为病毒、木马等传播的最好载体，等等。\x0d\x0a一、实时查看谁在访问我的共享文件\x0d\x0a第二步：依次选择“系统工具”、共享文件夹、打开文件，此时，在窗口中就会显示本机上的一些共享资源，被哪些电脑在访问。同时，在这个窗口中还会显示一些有用的信息，如其打开了哪一个共享文件；是什么时候开始访问的；已经闲置了多少时间。也就是所，只要其打开了某个共享文件夹，即使其没有打开共享文件，也会在这里显示。\x0d\x0a另外，我们有时候可能出于某些目的，如员工可能认为不能让这个人访问这个文件。此时，我们就可以直接右键点击这个会话，然后从快捷菜单中选择关闭会话，我们就可以阻止这个用户访问这个共享文件，而不会影响其他用户的正常访问。\x0d\x0a二、设置共享文件夹时，最好把文件与文件夹设置为只读\x0d\x0a在大部分时候，用户都只需要查看或者复制这个共享文件即可，而往往不会在共享文件夹上进行直接修改。但是，有些员工为了贪图方便，就直接以可读写的方式共享某个文件夹以及文件。这是非常危险的。\x0d\x0a一方面，这些不受限制的共享文件家与共享文件成为了病毒传播的载体。笔者在工作中发现，有些用户在共享文件的时候，没有权限限制。一段时间后，再去看这个共享文件，发现有些共享文件或者共享文件夹中有病毒或者木马的踪影。原来由于这个共享文件夹有写的权限，所以，其他用户如何打开这个文件，恰巧这台电脑中有病毒或者木马的碰衡大话，就会传染给这个共享文件夹。从而让其他访问这个共享文件夹的电脑也中招。可见，没有保护措施的共享文件夹以及里面的共享文件，已经成为了病毒传播的一个很好的载体。\x0d\x0a另一方面，当数据非法更改时，很难发现是谁在恶作剧。虽然可以通过相关的日志信息可以查询到有哪些人访问过这个共享文件，以及是否进行了更改的动作。但是，光凭这些信息的话，是笑竖不能够知道这个用户对这个共享文件夹作了哪些更改。有时候，我们打开一个共享文件，会不小心的按了一个空格键或者一个字符键，不小心的把某个字覆盖了，等等。这些情况在实际工作中经常会遇到。有时候，即使找到了责任人，他也不知道到底修改了哪些内容。所以，当把共享文件设置为可写的话，则很难防止员工有意或者无意的更改。\x0d\x0a第三，若以可写的方式共享文件的话，可能无法保证数据的统一。如人事部门以可读写的方式共享了一个考勤文件。此时，若财务部门修改了这个文件，而人事部门并不知道。因为财务人员可能忘记告诉了人事部门，此时，就会导致两个部门之间的数据不一致，从而可能会造成一些不必要的麻烦。而且，由于没有相关的证据，到时候谁对谁错，大家都说不清楚。\x0d\x0a为了解决这些问题，笔者建议企业用户，在共享文件夹的时候，最好把文件夹的权限设置为只读。若这个共享文件夹有时候其他用户需要往这个文件夹中存文件，不能设置拦羡为只读。那我们也可以把共享文件夹中的文件设置为只读。如此的话，由于文件夹为只读的，则病毒、木马也就不能够感染这些文件夹，从而避免成为散播病毒的污染源；而且，也可以防止用户未经授权的更改，从而导致数据的不统一等等。\x0d\x0a三、建立文件共享服务器，统一管理共享文件的访问权限\x0d\x0a另外，若把企业的共享文件分散在各个用户终端管理的话，有一个问题，就是用户对于共享 *** 作的熟悉程度不同或者安全观念有差异，所以，很难从部署一个统一的文件共享安全策略。如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行及时恢复；一般也不会设置具体的访问权限，如只允许一些特定的员工访问等等。因为这些 *** 作的话，一方面可能需要一些专业知识，另一方面，设置企业也比较繁琐。所以，即使我们出了相关的制度，但是，员工一般很难遵守。\x0d\x0a所以，笔者建议，在一些有条件的企业，部署一个文件共享服务器，来统一管理共享文件。采取这种策略的话，有如下好处。\x0d\x0a一是可以定时的对共享文件进行备份，从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的文件进行备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除；有时会，员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候，则我们可以通过文件恢复作业，把原有的文件恢复过来，从而减少这些不必要的损失。\x0d\x0a二是可以统一制定文件访问权限策略。在共享文件服务器上，我们可以根据各个员工的需求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限，从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立一个通知类文件夹，这个文件夹只有行政人员具有读写权限，而其他职工都只有只读权限。如此的话，其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件夹进行统一的管理，可以省去用户每次设置权限的麻烦，从而提高共享文件的安全性。\x0d\x0a三是可以统一进行防毒管理。对于共享文件来说，我们除了要关心其数据是否为泄露或者非法访问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间，对文件服务器上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马或者病毒所感染，从而避免其成为病毒或者木马的有效载体。\x0d\x0a综上所述，共享文件夹以及共享文件的安全性问题，是企业网络安全管理中的一个比较薄弱的环节，但是，又是一个十分重要的环节。笔者相信，做好这件工作，必定可以提高企业网络的利用价值，减少网络安全事故。

一、首先，在桌面上找到计算机，右键单击顶部，然后在d出菜单中单击管理。

二、然后在“服务器管理器”窗口左侧的菜单中，单击“展开配置-本地谨厅用户和组”，找到并选择它们下面的用户。

三、在右侧窗口中找到guest用户，在其上方单击鼠标右键，然后在d出菜单中游厅单击“属性”。

四、在d出的“属性”窗口中查找并取消选中“禁用帐户”，然后单击“确定”。

五、找到需要设置密码以取消访问的共享文祥磨隐件夹，在其上单击鼠标右键，然后单击d出菜单中的“属性”。

六、找到并单击“打开属性”窗口上方的“安全”选项卡，然后找到并单击“安全”选项卡下方的“高级”。

七、在d出窗口中单击“更改权限”，然后在“高级安全设置”窗口中单击“添加”。

八、完成服务器端设置后，在每个客户端上安装在步骤10中提取的文件filelockermain.exe。双击可自动安装。

九、安装完成后，用快捷键Alt+F5调出登录界面，根据提示输入初始登录密码，最后点击确定。

十、在d出窗口中输入共享文件服务器的IP地址，然后单击“保存”。然后我们可以直接访问共享文件，而不必担心跨网段。只要客户端连接到服务器，我们就可以直接访问它，最后单击Hide。

---