网络安全服务基础Windows---SMB⽂件共享服务器

pingFang SC", "Hiragino Sans GB", "Microsoft YaHei", "WenQuanYi Micro Hei", sans-serif, SimHei, SimSun; font-size: 16px; background-color: #FFFFFF;"> ⽂件共享服务器是⼀种⽹络设备或软件，⽤于存储⽂件并使其能够被⽹络上的多个⽤户或设备访问。这种服务器在企业环境、教育机构、政府部⻔以及⼩型⾄⼤型组织中⼴泛使⽤，它允许⽤户存储、共享和管理⽂件，从⽽促进协作和数据交换。

主要功能

1. 集中存储：

2. 数据备份和恢复：

丢失。

3. 权限管理：

件夹。

4. 资源共享：
○ 共享⽂件以及其他资源，如打印机和应⽤程序，提⾼资源利⽤率和⼯作效率。

5. 跨平台兼容性：

等。

1. Windows⽂件共享（基于SMB/CIFS协议）：

间的⽂件共享。

2. NFS（⽹络⽂件系统）：
○ 在UNIX和Linux环境中⼴泛使⽤，NFS允许计算机⽤户在⽹络上查看、存储和更新⽂件就如同访

问本地存储⼀样。

3. AFP（Apple Filing Protocol）：

实施考虑因素

● 安全性：配置强⼤的防⽕墙和安全协议，实施端到端的数据加密，防⽌数据泄露。

● 性能：确保服务器具有⾜够的处理能⼒和存储容量来处理预期的⼯作负载。

● 备份策略：实施有效的备份策略，包括定期的全备份和增量备份，以及在不同地理位置的数据复

制。

● 维护和监控：定期更新服务器软件，监控服务器性能和安全状况，确保系统运⾏稳定和数据安全。

SMB协议
SMB（Server Message Block）协议是⼀个应⽤层⽹络协议，主要⽤于实现⽹络上的⽂件共享、打印服务、以及串⾏端⼝和通信资源的共享。最初由IBM开发，后来由Microsoft进⼀步发展，它已成为Windows环境中⽂件和打印服务共享的核⼼技术。

● 控制和访问连接到⽹络上的其他外围设备。

版本历史

1. SMB 1.0（CIFS）：

2. SMB 2.0：

3. SMB 2.1：
○ 引⼊了更多性能改进，例如增加了租约（lease）概念以优化客户端缓存。
4. SMB 3.0：

○ 针对前版本中识别的漏洞进⾏了修补，提⾼了整体安全性。

⼯作原理
SMB协议⼯作在TCP/IP协议栈的较⾼层，通常使⽤TCP端⼝445进⾏通信。当客户端设备试图访问⽹络上的⽂件或资源时，它会通过SMB协议与提供该资源的服务器建⽴连接，然后进⾏权限验证，⼀旦验证通过，客户端便可以对远程⽂件执⾏操作，如读取、写⼊、修改等。

安全性
随着SMB版本的迭代，其安全性得到了显著提升，特别是在SMB 3.0及以后版本中，引⼊的加密和更严格的身份验证极⼤增强了协议的安全性。不过，由于SMB协议的普遍性和复杂性，它仍然是⽹络攻击者常常尝试利⽤的⽬标之⼀，如著名的WannaCry勒索软件就是通过利⽤SMB 1.0中的漏洞进⾏传播的。

应⽤场景
SMB协议⼴泛应⽤于各种业务和家庭⽹络环境中，特别是在需要跨平台共享⽂件和打印服务的场合。在企业环境中，SMB服务器通常承担着关键的⽂件存储和备份⻆⾊，⽀持⽇常的办公⽂件共享和协作需求。

SMB ⽂件共享服务器

⼀种使⽤服务器消息块协议（SMB）来提供⽹络上的⽂件共享服务的服务器。

SMB是⼀种应⽤层⽹络协议，主要⽤于⽂件、打印机、串⾏端⼝及通信资源的共享，特别是在Windows环境中。这种服务器可以在Windows、Linux、macOS等多种操作系统上设置，使得不同操作系统的设备能够⽅便地共享和访问⽂件。

SMB⽂件共享服务器的核⼼功能：

1. ⽂件共享：允许⽹络中的多个⽤户访问存储在服务器上的⽂件。这使得⽂件协作变得更加容易，因为多个⽤户可以同时打开和编辑存储在共享位置的⽂档。

2. 打印共享：使多个⽤户可以共享同⼀个⽹络打印机，⽽不需要每个⽤户都连接⼀个物理打印机。

3. 权限管理：管理员可以设置不同的访问权限，控制不同⽤户或⽤户组访问共享⽂件的能⼒。这包括读取、写⼊、修改等权限。

4. 数据传输：SMB协议⽀持通过⽹络进⾏数据加密和压缩的传输，增强数据在传输过程中的安全性和效率。

5. 跨平台⽀持：虽然SMB最初是为Windows设计的，但现在它⽀持包括Linux和macOS在内的多种操作系统。Linux系统中的Samba是⼀个流⾏的SMB协议实现，它允许Linux服务器与Windows客户机之间的⽂件和打印服务共享。

如何设置SMB⽂件共享服务器

1. 安装⽂件服务⻆⾊：通过服务器管理器安装⽂件和存储服务。
2. 创建⽂件共享：在⽂件和存储服务管理界⾯中创建新的共享。
3. 配置权限：设置NTFS权限和共享权限，确保只有授权⽤户才能访问共享资源。
4. ⽹络配置：确保⽹络配置允许客户端设备连接到SMB服务器。

在Linux服务器上，您通常会使⽤Samba软件来实现SMB服务：
1. 安装Samba：使⽤包管理器安装Samba。

创建共享  

当⽤户直接使⽤物理或虚拟的接⼊点（如直接在计算机前的键盘和显示器）登录到系统时，这称为本地登录。这种情况下，⽤户通常会在欢迎屏幕输⼊他们的⽤户名和密码，直接在该设备上开始他们的会话。

2. 远程登录
远程登录是指⽤户通过⽹络连接到⼀个设备，例如使⽤远程桌⾯协议（RDP）、SSH、VNC等远程访问⼯具。即使⽤户正在操作的是本地计算机上的界⾯，实际的计算过程是在远程设备上完成的。

对于⽀持多⽤户同时登录的操作系统（如Windows Server系列），即使多个⽤户在同⼀台物理设备上通过各⾃的远程桌⾯会话登录，这些登录也被视为远程登录。每个⽤户的会话虽然在物理上发⽣在同⼀台机器上，但从⽹络和权限管理的⻆度来看，他们是从远程访问设备。

总结

因此，不同⽤户在⼀台设备上的登录类型（本地或远程）取决于他们登录的⽅式。如果他们直接在设备上登录，那是本地登录；如果他们通过⽹络连接到该设备，即使他们使⽤的是与设备连接的物理硬件（如通过KVM切换），也是远程登录。每种登录类型对⽂件和资源的访问权限有不同的影响，这需要在权限管理策略中考虑和适当配置。

访问共享

在开始运⾏/或我的电脑地址栏中，输⼊UNC地址：

\\⽂件共享服务器IP
\\⽂件共享服务器IP\共享名

\\192.168.8.132\f

实验⼀ ⽂件共享服务器部署：

需求

步骤1: 配置虚拟机⽹络并测试连通性

1. 配置⽹络：确保两台虚拟机均设置为可以互相通信的⽹络模式，如桥接模式或NAT模式，并在同⼀ ⼦⽹中。

2. 设置IP地址：在两台虚拟机上配置静态IP地址或确保它们通过DHCP获得IP地址。

3. 测试连通性：在每台虚拟机上使⽤ ping 命令来测试⽹络连通性。例如，在⼀台机器上打开命令提示符，输⼊ ping [ 另⼀台虚拟机的 IP 地址 ] ，检查是否能收到回应

在Windows Sever 2012和win7虚拟机互相ping，可以收到回应，证明两主机在同一网段，可以通信。 

步骤2: 设置Windows Server 2012作为⽂件共享服务器

1. 创建⽂件共享：

2. 配置共享权限：

在“⾼级共享”中点击“权限”，为每个账户设置适当的共享权限：
对于 a  账户：允许“读取”。
对于 b  账户：设置“更改”权限，但在NTFS权限中将限制读取和删除操作。
对于 c  账户：设置“完全控制”权限。

新增用户在前面章节“用户与组管理”中有详细做法，添加用户后要在底下修改用户权限。 

步骤3: 设置NTFS权限

2. 编辑或添加权限：

注意NTFS权限和共享权限最终结果是取交集的！ 

步骤4: 测试配置

1. 从客户机访问共享：

在客户机上，打开“运⾏”（Win+R），输⼊ \\[ 服务器 IP 地址 ]\[ 共享名称 ] ，按回⻋。或在计算机中输入。

使⽤ a 、 b 和 c 账户登录，验证是否能按预期执⾏⽂件操作。

可以看到，a用户具有读取权限。 

注意：

切换登录身份

在登录完a账户后，win7会自动缓存，我们怎么进入其他账户呢？

同样在计算机中输入下方指令

net use * /del /y

进入b后，可以看到b账户没有权限。

注意事项

⽤户账户：确保 a 、 b 和 c 账户已在服务器上正确创建并设置密码。

⽹络安全：考虑配置防⽕墙和安全软件，确保只有授权的⽤户可以访问共享。

数据备份：定期备份共享数据，防⽌意外丢失或破坏。

实验⼆ 访问隐藏共享⽂件：

在Windows操作系统中，尤其是在管理敏感或不常⽤的⽂件时会隐藏⽂件或访问隐藏的共享⽂件

如何隐藏⽂件 

1. 找到⽂件或⽂件夹：
浏览到你想要隐藏的⽂件或⽂件夹。

2. 设置属性为隐藏：
右键点击该⽂件或⽂件夹，然后选择“属性”。
在弹出的属性窗⼝中，查找“属性”部分。
勾选“隐藏”复选框，然后点击“应⽤”和“确定”。

3. 确认⽂件已隐藏： 

默认情况下，隐藏的⽂件或⽂件夹在资源管理器中不可⻅。

要查看隐藏的⽂件，你需要修改视图设置：在资源管理器中，点击“查看”选项卡，然后勾选“隐

藏的项⽬”。

如何创建并访问隐藏的共享⽂件

1. 创建隐藏共享：

在⽂件或⽂件夹上右键点击，选择“共享给”->“特定⼈员...”。

在共享界⾯中，可以选择⽤户或组，设置共享权限后，点击“共享”。

为了隐藏共享，共享名后⾯加上 $ 符号（例如 SecretFiles$ ）。这会使共享在⽹络上不

可⻅，但仍然可以访问。

2. 访问隐藏的共享：

打开任意计算机的⽂件资源管理器。

在地址栏输⼊ \\[ 服务器名称或 IP 地址 ]\[ 隐藏的共享名 ] ，例如 \\192.168.1.5\SecretFiles$ 。

按Enter键，如果需要，输⼊访问凭据。

这样就可以访问设置为隐藏的共享⽂件夹了。

注意事项

隐藏⽂件和⽂件夹是基于Windows的简单权限管理，不是⼀种安全措施。如果⽤户知道⽂件或⽂件夹的确切位置，或者设置了显示隐藏⽂件，他们仍然可以访问这些资源。

        隐藏共享（在共享名后加 $ ）是⼀种使共享在浏览过程中不可⻅的⽅法，但知道完整路径的⽤户仍可直接访问。

        确保在创建隐藏共享时，也配置适当的⽂件和共享权限，以防未授权访问。

这些步骤为管理敏感⽂件提供了⼀定程度的隐私，但应结合其他安全措施（如⽂件加密和⽹络安全策略）来保护数据安全。

实验三 服务器安全加固之445：
关闭端⼝445可以帮助防⽌通过SMB协议传播的恶意软件，如勒索软件。端⼝445⽤于Windows⽂件和打印共享服务，也是SMB协议通信的默认端⼝。当该端⼝开放时，如果没有适当的安全措施，⿊客或恶意软件可以利⽤它来传播或进⾏⽹络攻击。下⾯是具体的操作⽅法来关闭端⼝445：

cmd输入
netstat -an

 可以通过关闭445端⼝来屏蔽病毒传⼊（如勒索病毒等）

⽅法1：打开services.msc，并停⽌及禁⽤server服务  

方法2：禁⽌被访问445，配置⾼级安全防⽕墙-⼊站规则（在win7及以上系统，win2008及以上系统） 

1. 打开Windows防⽕墙⾼级安全设置：

○ 在控制⾯板中打开“系统和安全”，点击“Windows Defender防⽕墙”。

○ 在左侧菜单中选择“⾼级设置”。

2. 创建新的⼊站规则以阻⽌端⼝445：

○ 在Windows防⽕墙与⾼级安全窗⼝中，选择“⼊站规则”。
○ 在右侧点击“新建规则”。
○ 选择“端⼝”，点击“下⼀步”。
○ 选择“TCP”，指定本地端⼝为“特定本地端⼝”，输⼊“445”，然后点击“下⼀步”。]
○ 选择“阻⽌连接”，然后点击“下⼀步”。
○ 确保所有配置⽂件（域、私有、公共）都被选中，然后点击“下⼀步”。
○ 为规则命名，例如“Block SMB Port 445”，点击“完成”。

这些设置会阻⽌任何尝试通过端⼝445访问您计算机的⽹络流量，从⽽增加系统的安全性。关闭此

端⼝后，您的计算机将⽆法使⽤SMB协议进⾏⽹络⽂件或打印机共享

和上节新建规则，开放端口相同，只不过这次是禁用端口！

注意：在考虑是否关闭Windows中的“Workstation”服务

Workstation 服务的功能
“Workstation”服务（也称为LanmanWorkstation）负责建⽴和维护客户端⽹络连接，使计算机能够访问服务器资源，包括⽂件共享和打印服务。该服务是Windows⽹络客户端的核⼼组成部分，管理⽹络连接和资源访问的配置。

关闭 Workstation 服务的影响

关闭“Workstation”服务会有⼀些明显的⽹络功能影响：

1. ⽂件和打印共享：如果关闭该服务，这台计算机将⽆法通过SMB协议访问⽹络上的⽂件共享和打印服务。
2. ⽹络路径识别：该服务负责解析⽹络路径（如UNC路径，例如 \\Server\Share ），关闭它可能
   导致⽆法通过这种⽅式访问⽹络资源。
3. 应⽤程序功能：依赖⽹络连接的应⽤程序可能⽆法正常⼯作。

是否应该关闭 Workstation 服务

● 安全考虑：在⼀些特定的安全需求场景中，如某些⾼度安全敏感的操作环境，关闭此服务可以减少

潜在的攻击⾯，因为它禁⽌了通过SMB协议的⽹络访问。

● 功能需求：如果设备不需要⽹络⽂件访问或者只⽤于特定的应⽤，且这些应⽤不需要⽹络共享功

能，关闭该服务可以减少系统资源的消耗。

实验四 ： 扩展CMD
在Windows命令⾏（CMD）中，管理共享⽂件包括查询共享、创建共享和删除共享等操作，主要可以通过 net share 命令来完成。这个命令是⼀个强⼤的⼯具，⽤于在命令⾏环境下控制⽂件共享。

查询共享⽂件

要在命令⾏中列出当前系统上的所有共享，可以使⽤以下命令：

net share

这条命令将显示所有活动的共享，包括共享名称、资源路径以及备注。

在Windows中，有⼏个系统默认的隐藏共享，也称为管理共享，它们以 $ 符号结尾，对于⽹络上的⽤户来说是不可⻅的。这些共享包括：

ADMIN$：通常指向Windows的安装⽬录（如C:\Windows）。

C$、D$ 等：代表系统上每⼀个本地驱动器的根⽬录。

这些共享主要为系统管理员提供远程管理便利，但在某些情况下，出于安全考虑，组织可能希望禁⽤这些⾃动共享。

修改Windows注册表来禁⽌⾃动创建这些管理共享

1. 打开注册表编辑器：

在Windows搜索框中输⼊ regedit ，然后选择“注册表编辑器”（或按 Windows 键 + R ，

输⼊ regedit ，然后按 Enter ）。

2. 定位到指定的注册表位置：

导航到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServ

er\Parameters 。这是控制Windows局域⽹管理服务（包括⽂件共享服务）的设置的地⽅。

3. 创建新的注册表项：

在 Parameters 键下右键点击，选择“新建” -> “DWORD (32位) 值”。

命名这个新的DWORD为 AutoShareServer 。

4. 设置值：

双击新创建的 AutoShareServer ，在“数值数据”框中输⼊ 0 。

点击“确定”。这个值 0 表示禁⽌⾃动创建这些隐藏的系统共享。

5. 重启计算机：

对这些更改⽣效，需要重启计算机。

注意事项

修改注册表前应该⼩⼼谨慎。错误的修改可能会导致系统不稳定或启动失败。建议在进⾏更改前备

份注册表。

禁⽤这些共享可能影响某些系统管理任务的执⾏，如远程桌⾯服务、系统更新等。

这种更改主要⽤于提⾼系统安全性，避免未授权访问系统关键⽂件。

创建共享⽂件 
要通过命令⾏创建⼀个新的⽂件共享，可以使⽤ net share 命令，后跟共享名称和要共享的⽂件夹路径。例如，如果你想创建⼀个名为“MyShare”的共享，共享⽬录为"C:\SharedFolder"，可以使⽤如下命令：

net share MyShare=C:\SharedFolder

可以添加 /grant 参数来指定⽤户访问权限，例如，给予⽤户“everyone”读取权限：

net share MyShare=C:\SharedFolder /grant:everyone,read

删除共享⽂件  

删除⼀个已经存在的共享只需要指定要删除的共享名称。例如，要删除上⾯创建的“MyShare”共享，可以使⽤：

net share MyShare /delete

系统会提示你确认删除操作，你需要确认以继续。

示例

假设我们需要完成以下任务：

1. 列出所有共享：

net share

2. 创建⼀个共享：

net share MyDocuments=C:\Users\User\Documents /grant:everyone,full

3. 删除⼀个共享： net share MyDocuments /delete

net share MyDocuments /delete

注意事项

● 运⾏ net share 命令可能需要管理员权限，因此可能需要以管理员身份运⾏命令提示符。

● 使⽤共享和权限时要⼩⼼，尤其是使⽤ everyone 群组时，这可能会导致安全隐患。

● 永远不要共享敏感或私密数据，除⾮确保了适当的安全措施。

                           

                            

                            

                      

本文链接：https://blog.runxinyun.com/post/186.html 转载需授权！

网站名称： 润信云资讯网
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
我们非常重视版权问题，如有侵权请邮件与我们联系处理。敬请谅解！邮件：7104314@qq.com
网站部分内容来源于网络，版权争议与本站无关。请在下载后的24小时内从您的设备中彻底删除上述内容。
如无特别声明本文即为原创文章仅代表个人观点，版权归《润信云资讯网》所有，欢迎转载，转载请保留原文链接。