解決VSS共享資料夾的安全隱患問題
本文章部分內容和圖片來自於網路
VSS的共享資料夾一直以來都是困擾VSS使用者的一個頭等問題,由於VSS庫必須完全共享才能被使用者使用,這樣就造成了使用者可以任意的修改、新增和刪除該共享目錄下的檔案,更有甚者,還可能將整個VSS庫給刪除掉,除此之外,病毒的攻擊也是一個不可小視的問題,所以VSS的共享資料夾造成了嚴重的安全隱患。
通過以下方法,可以緩解VSS的安全問題,大家可以參考一下:
首先在伺服器上建立訪問VSS的專用賬戶名(如:VssUser):
然後右擊新建立的賬戶名VssUser→“屬性”選單→選擇“隸屬於”選項卡,將隸屬於一欄清空,然後點選“確定”,這樣一來安全,二來Windows登入介面也就看不到該賬戶了。
在VSS伺服器上新建一個目錄(如:VSS),注意:該目錄必須新建在NTFS格式的硬碟下,再在該目錄下新建兩個子目錄(如:TEST和TEST_Lock),如下圖所示:
開啟VSS Admin,通過Tools->Create Database,在上面建立的子目錄TEST下建立一個VSS庫,如下圖所示:
VSS庫建好之後,子目錄TEST中的內容如下圖所示:
若不考慮該VSS庫的安全性的話,只需將TEST目錄完全共享,該VSS庫即可被使用者使用。 若需要保證該庫的安全性,我們可以將TEST目錄下的data目錄,temp目錄,users目錄和users.txt檔案給剪下到VSS目錄下的另一個子目錄TEST_Lock中,如下圖所示:
TEST目錄下只剩下srcsafe.ini檔案,這時我們將TEST目錄共享(★共享許可權設定成只讀!!除了Administrator之外,我們只將許可權分配給VssUser),如下圖所示:
另外,將TEST_Lock目錄共享為共享名加“$”符的,如下圖所示:
並且對TEST_Lock的“安全”頁進行設定,將下圖中的“允許將來自父系的可繼承許可權傳播給該物件”一項不選中,並且將允許“完全控制”一項不選中。如下圖所示(圖中的賬戶Everyone請改成VssUser):
接下來對TEST_Lock目錄下的data目錄進行設定,將VssUser的許可權設定為“拒絕列出資料夾目錄”,如下圖所示(圖中的賬戶Everyone請改成VssUser):
同理,在Server 2008系統中,對Lock目錄的許可權設定方法如下圖所示:
在Server 2008系統中,對Lock目錄下的data資料夾的許可權設定如下圖所示:
這樣,使用者就不能訪問存放資料的data目錄了,使用者只是能訪問TEST目錄下的srcsafe.ini檔案,而不能對存放在VSS庫中的資料進行訪問了。 最後,我們開啟TEST目錄下的srcsafe.ini檔案,做出以下修改: Data_Path = data改為Data_Path = ../TEST_Lock$/data Temp_Path = temp改為Data_Path = ../TEST_Lock$/temp Users_Path = users改為Data_Path = ../TEST_Lock$/users Users_Txt = users.txt改為Data_Path = ../TEST_Lock$.users.txt