windows系統(tǒng)想共享文件給其他設(shè)備使用時(shí)非常的簡單,只需要在文件夾上配置共享就可以了。但多用戶使用的時(shí)候,這樣的權(quán)限配置就過于粗糙了,會(huì)帶來很多麻煩的問題。
本篇文章的內(nèi)容主要兩個(gè)方面
1,配置smb共享專用用戶組和用戶,僅授予smb訪問權(quán)限。
2,配置smb相關(guān)安全設(shè)置
用windows當(dāng)nas系統(tǒng)共享文件時(shí)都會(huì)新建一個(gè)普通賬號(hào)用戶訪問共享文件夾,在默認(rèn)情況下,新建的普通賬號(hào)都是隸屬于windows內(nèi)置的“user”組,該組擁有一些有限權(quán)限,比如本地或者遠(yuǎn)程登陸,運(yùn)行軟件,修改本賬戶隸屬的文件,但不能修改系統(tǒng)設(shè)置。
顯然我們不希望smb共享賬號(hào)能夠具備登陸到桌面并運(yùn)行軟件的權(quán)限,所以我們要配置一個(gè)專門的smb共享用戶組。當(dāng)然也可以新建一個(gè)smb專用賬號(hào),直接配置權(quán)限。只不過這樣每新建一個(gè)smb專用賬號(hào)都得配置權(quán)限,非常的麻煩。建立一個(gè)smb專用用戶組配置好權(quán)限后,只要將新建的smb專用賬號(hào)拉入這個(gè)用戶組就自動(dòng)配置好了訪問權(quán)限。
1.1新建nas專用用戶組
開始菜單右鍵找到“計(jì)算機(jī)管理”——打開“計(jì)算機(jī)管理”——打開“用戶和組”——進(jìn)入“組”——右鍵選擇“新建組”。
根據(jù)自己的需求填入“組名”和“描述”,此時(shí)專用組就已經(jīng)建立好了。
1.1.2新建專用賬戶
進(jìn)入“用戶”——右鍵選擇“新建用戶”——根據(jù)自己需求填入“用戶名”,“全名”和“描述”
新建的用戶是被禁用的,還不能直接使用。需要激活用戶后才能使用。
在新建立好的用戶,右鍵“屬性”——把“賬戶已禁用”的勾去掉,應(yīng)用后即可激活用戶
新建立的用戶默認(rèn)都會(huì)隸屬于users用戶組,我們不需要共享專用賬號(hào)有那么高的權(quán)限。所以需要變更用戶組。
打開“屬性”——“隸屬于”,選中“users”后刪除,然后點(diǎn)擊“添加”選項(xiàng)——在下方的輸入框輸入剛才的新建的用戶組,比如我的是“nasusers”——點(diǎn)擊“檢查名稱”。若是看到計(jì)算機(jī)名+組名的出現(xiàn),則表示檢查通過,直接確定——應(yīng)用,此時(shí)可以看到新建的用戶已經(jīng)變更為了nasusers用戶組。
順手把Guests用戶禁用。我們不希望其他人能登陸系統(tǒng)或者訪問系統(tǒng),所以這里需要禁用掉。
打開“用戶”——右鍵“guests”——勾選“賬戶已禁用”——“應(yīng)用”——“確定”
1.2配置smb共享專用用戶組的權(quán)限
開始菜單右鍵——選擇“運(yùn)行”——在輸入框輸入“secpol.msc”——打開“本地安全策略管理器”——找到“本地策略”——“用戶權(quán)限分配”
在這里只需要處理三個(gè)權(quán)限:1.“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”,2.“拒絕本地登錄”,3.“拒絕通過遠(yuǎn)程桌面登錄”
1.2.1.配置“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”
“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”指只有授權(quán)的用戶能夠通過網(wǎng)絡(luò)來訪問到本機(jī)上的共享文件資源(包括共享的打印機(jī))
默認(rèn)情況下,“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”里有一個(gè)“everyone”用戶,這個(gè)用戶代表windows上所有的已激活用戶,除了配置了禁止“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”的用戶和用戶組以外,所有的用戶都被授予了這個(gè)權(quán)限。因此新建立好的smb共享專用用戶組都是具備“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”。但有些系統(tǒng)默認(rèn)沒有配置“everyone”用戶。
當(dāng)然為了安全起見,我們也不需要“everyone”用戶,把他刪除掉。
給smb共享專用用戶組增加“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”的權(quán)限。
這里需要打開“對(duì)象類型”——勾選“組”,這樣子才能搜的到我們剛才新建的smb共享專用用戶組
1.2.2禁止smb專用用戶組登錄到桌面
我們不希望smb專用用戶有登錄桌面的權(quán)限,windows登錄到桌面有兩種方式:本地登錄(直接接鍵鼠顯示器的那種),遠(yuǎn)程登陸。所以在這里我們把smb專用用戶組添加到“拒絕本地登錄”,“拒絕通過遠(yuǎn)程桌面登錄”中就可以了。添加方法參考上面1.2.1。
1.3基于存儲(chǔ)的枚舉,在文件共享中隱藏
這個(gè)功能可以在訪問windows文件共享服務(wù)時(shí),隱藏沒有共享權(quán)限的文件夾,用戶只能看到有共享權(quán)限的文件夾。對(duì)于配置了多組用戶多組權(quán)限的場(chǎng)景來說,共享用戶使用起來更清爽,沒權(quán)限的文件夾直接看不到。
這個(gè)功能是windows server版才具備的功能。后期的關(guān)于smb共享文章會(huì)另外詳細(xì)說明。
1.停止使用smb 1.0
smb1.0是上個(gè)世紀(jì)80年代的產(chǎn)物了,距今已經(jīng)有40年時(shí)間了。受限于時(shí)代背景,其安全性有重大問題,因此不推薦使用。
默認(rèn)情況下,在windows10/11或者同時(shí)期的server系統(tǒng)中是默認(rèn)關(guān)閉的。如果你此前因?yàn)閟mb問題打開了smb1.0支持,推薦將其關(guān)閉。
打開控制面板,找到“啟用或關(guān)閉windows功能”——取消勾選“SMB1.0/CIFS文件共享支持”——重啟系統(tǒng)。
現(xiàn)在大部分的設(shè)備或者是操作系統(tǒng)都是支持smb2.0以上的版本了的,對(duì)于不支持的軟件就只能更換別的軟件使用。
安卓端文件管理器方面,可以使用免費(fèi)無廣告的cx文件管理器,用于替代es文件管理器
安卓端視頻播放器方面,可以使用nplayer,他支持硬件解碼,多種網(wǎng)絡(luò)共享協(xié)議和海報(bào)墻
安卓智能電視或者電視盒子方面,可以使用當(dāng)貝播放器,新版本中已經(jīng)支持smb3協(xié)議
蘋果設(shè)備ios/ipados/apptvos,早在2019年的ios13/ipados13中,已原生支持smb3協(xié)議。文件訪問方面使用ios/ipados自帶的“文件”應(yīng)用訪問,播放器可以使用便宜的nplayer或者是大名鼎鼎的infuse。appletv直接使用infuse播放就行了,軟件支持smb3協(xié)議。
2.1禁用不安全的來賓登錄
運(yùn)行輸入“gpedit.msc”——打開“本地組策略編輯器”——找到“啟用不安全的來賓登錄”——勾選“已禁用”——應(yīng)用。
禁用的目的是為了,避免本地以來賓賬戶登錄到未知服務(wù)器,造成數(shù)據(jù)泄露風(fēng)險(xiǎn)。比如中間人搭建的虛假服務(wù)器。
2.2.smb相關(guān)網(wǎng)絡(luò)安全配置
這些配置同樣在“本地組策略編輯器”中,這里主要配置5個(gè)選項(xiàng)。1.Microsoft網(wǎng)絡(luò)服務(wù)器:對(duì)通信進(jìn)行數(shù)字簽名(始終),2.Microsoft網(wǎng)絡(luò)客戶端:對(duì)通信進(jìn)行數(shù)字簽名(如果服務(wù)器允許),3.Microsoft網(wǎng)絡(luò)客戶端:對(duì)通信進(jìn)行數(shù)字簽名(始終) —— 禁用,4.設(shè)備:防止用戶安裝打印機(jī)驅(qū)動(dòng)程序 —— 禁用,5.網(wǎng)絡(luò)訪問:本地賬戶的共享和安全模型。
1.Microsoft網(wǎng)絡(luò)服務(wù)器:對(duì)通信進(jìn)行數(shù)字簽名(始終)。禁用這個(gè)選項(xiàng)。服務(wù)器開啟數(shù)字證書簽名以防止中間人攻,客戶端在訪問服務(wù)器時(shí)也必須啟用數(shù)字簽名。否則服務(wù)器將拒絕客戶端訪問。這個(gè)建議關(guān)掉,部分操作系統(tǒng)或者軟件對(duì)smb支持不全,開始后可能導(dǎo)致無法訪問。
2.Microsoft網(wǎng)絡(luò)客戶端:對(duì)通信進(jìn)行數(shù)字簽名(如果服務(wù)器允許)。啟用該選項(xiàng)。當(dāng)本地作為客戶端訪問服務(wù)器時(shí),服務(wù)器啟用數(shù)字簽名時(shí),本機(jī)也能順利訪問。
3.Microsoft網(wǎng)絡(luò)客戶端:對(duì)通信進(jìn)行數(shù)字簽名(始終) 。 禁用這個(gè)選項(xiàng)。當(dāng)本機(jī)作為客戶端訪問服務(wù)器時(shí),強(qiáng)制要求服務(wù)器啟用數(shù)字簽名,若服務(wù)器不啟用數(shù)字簽名則拒絕通訊。禁用此選項(xiàng)后,是否啟用數(shù)字簽名由服務(wù)器和客戶端協(xié)商。
4.設(shè)備:防止用戶安裝打印機(jī)驅(qū)動(dòng)程序。禁用這個(gè)選項(xiàng)。就是禁止使用非管理員賬戶登錄的客戶端從本機(jī)下載打印機(jī)的驅(qū)動(dòng)。
5.網(wǎng)絡(luò)訪問:本地賬戶的共享和安全模型。這個(gè)選項(xiàng)比較重要!!!!
在默認(rèn)下,值為經(jīng)典——對(duì)本地賬戶的網(wǎng)絡(luò)登錄進(jìn)行身份驗(yàn)證。
在這個(gè)配置下,會(huì)通過本地賬戶進(jìn)行身份驗(yàn)證,并根據(jù)賬戶的不同分配不同的訪問權(quán)限。
比如A賬戶可以訪問1號(hào)文件夾,不可以訪問2號(hào)文件夾。B賬戶可以訪問2號(hào)文件夾,不可以訪問1號(hào)文件夾。
如果配置為僅來賓模式,則所有的賬戶都會(huì)自動(dòng)映射為來賓賬戶,所有用戶權(quán)限平等。無法根據(jù)賬戶分配不同的訪問權(quán)限。還是上面的例子,AB兩個(gè)賬戶都可以訪問1號(hào)和2號(hào)文件夾。
而且配置了這個(gè)模式,將允許匿名賬戶登錄并訪問共享資源。也就是說網(wǎng)絡(luò)中的所有人都可以讀寫服務(wù)器的文件。這是一個(gè)不安全的模式
如果默認(rèn)不是“經(jīng)典——對(duì)本地賬戶的網(wǎng)絡(luò)登錄進(jìn)行身份驗(yàn)證”必須改成“經(jīng)典——對(duì)本地賬戶的網(wǎng)絡(luò)登錄進(jìn)行身份驗(yàn)證”
2.3啟用當(dāng)前網(wǎng)絡(luò)的共享和加密配置
打開“網(wǎng)絡(luò)共享中心”——點(diǎn)開“專用”——勾選“啟用文件和打印機(jī)共享”
關(guān)閉公共文件共享,勾選加密。
此時(shí)windows作為nas的smb安全配置就已經(jīng)配置完成了,下一篇文章將配置windows的存儲(chǔ)和共享。
微軟已經(jīng)向Win10預(yù)覽版10061用戶發(fā)布了多國系統(tǒng)語言包,用戶可以在系統(tǒng)的語言設(shè)置中在線安裝。或者也可以通過以下微軟官方地址來下載,對(duì)于有多語言需求的朋友在重裝系統(tǒng)后就無需重新下載了。盡管微軟可能很快會(huì)發(fā)布新的版本,不過IT之家還是決定為大家整理一下。
Win10預(yù)覽版10061多國語言包官方下載:
AR-SA-阿拉伯語:32位||64位
CS-CZ-捷克語:32位||64位
DE-DE-德語:32位||64位
EN-GB-英語:32位||64位
EN-US-英語(美):32位||64位
ES-ES-西班牙語:32位||64位
ES-MX:32位||64位
FI-FI-芬蘭語:32位||64位
FR-CA:32位||64位
FR-FR-法語:32位 ||64位
IT-IT-意大利語:32位||64位
JA-JP-日語:32位||64位
KO-KR-韓語:32位||64位
NL-NL-荷蘭語:32位||64位
PL-PL-波蘭語:32位||64位
PT-BR-葡萄牙語(巴西):32位||64位
RU-RU-俄語:32位||64位
SV-SE-瑞典語:32位||64位
TH-TH-泰語:32位||64位
TR-TR-土耳其語:32位||64位
ZH-CN-簡體中文:32位||64位
ZH-TW-繁體中文(臺(tái)):32位||64位
語言包安裝方法:
按Win+R打開運(yùn)行,輸入lpksetup,回車,然后按照以下圖示操作即可:
選擇“安裝顯示語言”
選擇下載的cab語言包
接受許可條款
開始安裝