安全技巧:如何才能用密码保护共享文件?

如果您在Windows 7中创建过非家庭组的高级共享,相信您还记得,默认情况下,所有用户在尝试访问您的计算机时都是需要输入凭据来连接的,凭据验证通过后才能列出可用的共享。其实这就是Windows 7中的默认的共享安全特性,启用密码保护的共享。

这一设置是与网络类型配置文件关联的。例如当您新接入一个网络环境时,Windows 7会弹出一个向导让您选择家庭网络、工作网络或者公用网络,选择家庭或者工作网络对应的都是专用网络配置文件,而选择公用网络则对应的是公用网络配置文件。但不论在哪个配置文件,密码保护的共享这一项设置默认都是被启用的。如果您要检查或更改对应每种配置文件的设置,请前往"控制面板"下的"网络和 Internet"-"网络和共享中心"-"高级共享设置"。

开启了"启用密码保护共享"的设置之后,当用户尝试访问您的计算机时,他们必须先键入一个凭据,该凭据是位于您计算机上的某个帐户的用户名和密码(该帐户必须带有密码才能访问)。当凭据得以验证通过后,您才可以看见可用的共享文件夹,而当您进一步访问某个文件夹时,又需要将您刚才输入的凭据与文件夹的共享访问权限进行匹配,如果有权限访问该文件夹,才能继续。(启用密码保护共享的功能不适用于域网络)

因此,如果要顺利访问共享文件夹及里面的内容,除了需要确保计算机位于同一个工作组、同一网段能够互访之外,您还需要为该文件夹指定一个合适的帐户并分配权限,并且让访问者在首次弹出凭据输入框时就输入对应该帐户的凭据(用户名及密码)。下面我们结合一个实例来看看怎样正确共享与访问。

我们假设有两台PC,分别叫A和B,准备在A上创建一个共享文件夹,并使用Eric这个本地帐户进行保护,然后让B上的用户去使用计算机A上面用户Eric的凭据访问。那么,我们需要这么做:

1. 在A上准备好要共享的文件夹,例如,我们创建一个名为"Share"的文件夹,然后用鼠标右击它,选择"属性",并切换到"共享"选项卡。

其实在这个选项卡的下部,我们就可以清楚地看见,当前计算机处于启用了密码保护共享的状态,用户必须具有此计算机的用户帐户和密码才能列举共享文件夹。

2. 点击"高级共享"按钮,弹出高级共享配置对话框,选中"共享此文件夹"前面的复选框,然后单击"权限"按钮。

3. 在弹出的权限配置对话框中,我们选中默认出现的"Everyone"组,并且删除。

注意,如果您不接着做以下步骤,而是默认就使用"Everyone"组,也是可以的,只不过访问者只要输入您本机的任何一个带密码的帐户的凭据并通过验证后,均可访问这个共享文件夹。而接着做以下步骤后,只有提供指定帐户的凭据并通过验证后才能访问共享内容。

4. 我们单击"添加"按钮,在弹出的"选择用户或组"对话框中,我们键入一个本地的带有密码的用户帐户的帐户名,并且单击右侧的"检查名称"按钮。如果您输入的名称正确,那么该名称前端会被自动加上计算机名,整个名称也会加上下划线。例如,我们这里键入"Eric",检查名称后,应该是这样:

注意,在这里一定得添加一个带有密码的并且有权访问您将共享的文件(夹)的用户名,因为,在远端访问输入凭据时,空密码是不被接受的。当然,您也完全可以就添加计算机A上当前登录的这个帐户的用户名(同样要求该帐户有登录密码)。

5. 我们在"选择用户或组"对话框中单击"确定",返回到权限设置对话框,我们可以进一步通过勾选的方式,决定远端用户在访问该共享时是只读的还是可以更改里面的文件的。例如,我们希望这个受密码保护的共享对于授权用户是可以进行更改删除等操作的,就可以在"完全控制"对应的"允许"列的复选框内打上勾,并且单击"确定"。

6. 回到"高级共享"配置对话框后,单击"确定"按钮应用权限设置,然后我们可以关闭这个共享文件夹的属性对话框。到这里,我们就创建了一个特定用户才能访问其内容的共享了。

7. 登录计算机B上的某个用户,然后打开资源管理器,在地址栏中键入 UNC 路径来访问A计算机。当然,这要求这两台计算机都位于工作组中并且在同一个网段内,而且启用了"网络发现"等相关设置。如果您要检查或更改这些设置,也请前往"控制面板"下的"网络和 Internet"-"网络和共享中心"-"高级共享设置"。在这里,假设计算机A的计算机名为"Eric-PC",并且 IP 地址是"192.168.2.102",那咱们既可以在资源管理器的地址栏键入"Eric-pc"也可以键入"192.168.2.102"并回车访问。

8. 此时,应该就会弹出凭据输入框啦。您可以在上下两个输入框内分别键入授权的用户名与密码。用户名需要以"计算机名用户名"的方式输入。例如之前我们在A计算机上仅对 Eric 用户进行了Share文件夹的授权访问,那么这里,我们需要键入"Eric-PCEric"以及对应的用户密码。

注意,如果您想每次重新连接到该共享时都要输入密码,请确保"记住我的凭据"一项前面的复选框处于清空状态。否则,下次您再连接该共享时,由于 Windows 保存了您的凭据,所以不会再提示您键入凭据。万一您不小心选择了记住凭据,您可以前往"控制面板"里面的"用户帐户和家庭安全"下的"凭据管理器"去删除保存的这个凭据即可。

好了,通过以上步骤和方法,您就可以轻松创建一个属于您自己的受密码保护的共享啦,并且该共享仅对特定用户开放。这就是Windows 7中"启用密码保护共享"的一个好处,咱们可以利用它限制使用不同帐户凭据登录的人分别可以访问哪些共享文件夹。例如,A计算机有两个带有密码的帐户,一个叫A1,另一个叫A2,同时也创建有两个共享文件夹S1和S2,那么我们可以通过以上步骤,限制只有A1可以访问S1、只有A2可以访问S2,那么其他计算机用户尝试访问A计算机时,输入A1或者A2的凭据登录后,均可以看见两个共享文件夹,但每个凭据只能访问自己有权限的那个文件夹下的内容。

最后,我们再简单说一下其中的原理。

我们知道,在访问网络共享文件夹时(尤其是在XP等旧版本系统中),默认是使用共享计算机上的Guest帐户进行访问的,所以默认不需要您提供凭据,因为Guest这个内置帐户具有一定的特殊性,除了作为来宾帐户可以让您的客人登录计算机外,系统还能够管理其设置和行为,在共享文件等操作时被应用。其实,在Windows 7中启用密码保护共享这一功能时,系统会自动关闭Guest帐户,而关闭密码保护共享后,系统会启用Guest帐户。Win7默认是启用密码保护共享的,也就是默认禁用Guest帐户的,所以我们在访问网络计算机时,就会被要求输入凭据以登录。因此,如果您要还原经典的通过Guest帐户进行共享访问的设置,只需关闭密码保护共享功能即可。

另外还要提醒您一点,共享文件的访问权限不仅仅受制于共享权限的设置,也受制于被共享文件在本地驱动器上的 NTFS 权限设置。例如,您在计算机 A 上为Share文件夹分配了Eric帐户的共享权限,而提供Eric的凭据后仍不能访问共享的文件,可能是因为被共享的Share文件夹在本地计算机A上就不允许Eric用户访问,所以您需要在该文件夹属性的安全选项卡检查用户Eric或者Eric隶属的用户组是否对其有访问和控制权限。