本文章部分内容和图片来自于网络
VSS的共享文件夹一直以来都是困扰VSS用户的一个头等问题,由于VSS库必须完全共享才能被用户使用,这样就造成了用户可以任意的修改、添加和删除该共享目录下的文件,更有甚者,还可能将整个VSS库给删除掉,除此之外,病毒的攻击也是一个不可小视的问题,所以VSS的共享文件夹造成了严重的安全隐患。
通过以下方法,可以缓解VSS的安全问题,大家可以参考一下:
首先在服务器上创建访问VSS的专用账户名(如:VssUser):
然后右击新创建的账户名VssUser→“属性”菜单→选择“隶属于”选项卡,将隶属于一栏清空,然后点击“确定”,这样一来安全,二来Windows登录界面也就看不到该账户了。
在VSS服务器上新建一个目录(如:VSS),注意:该目录必须新建在NTFS格式的硬盘下,再在该目录下新建两个子目录(如:TEST和TEST_Lock),如下图所示:
打开VSS Admin,通过Tools->Create Database,在上面建立的子目录TEST下建立一个VSS库,如下图所示:
VSS库建好之后,子目录TEST中的内容如下图所示:
若不考虑该VSS库的安全性的话,只需将TEST目录完全共享,该VSS库即可被用户使用。
若需要保证该库的安全性,我们可以将TEST目录下的data目录,temp目录,users目录和users.txt文件给剪切到VSS目录下的另一个子目录TEST_Lock中,如下图所示:
TEST目录下只剩下srcsafe.ini文件,这时我们将TEST目录共享(★共享权限设置成只读!!除了Administrator之外,我们只将权限分配给VssUser),如下图所示:
另外,将TEST_Lock目录共享为共享名加“$”符的,如下图所示:
并且对TEST_Lock的“安全”页进行设置,将下图中的“允许将来自父系的可继承权限传播给该对象”一项不选中,并且将允许“完全控制”一项不选中。如下图所示(图中的账户Everyone请改成VssUser):
接下来对TEST_Lock目录下的data目录进行设置,将VssUser的权限设置为“拒绝列出文件夹目录”,如下图所示(图中的账户Everyone请改成VssUser):
同理,在Server 2008系统中,对Lock目录的权限设置方法如下图所示:
在Server 2008系统中,对Lock目录下的data文件夹的权限设置如下图所示:
这样,用户就不能访问存放数据的data目录了,用户只是能访问TEST目录下的srcsafe.ini文件,而不能对存放在VSS库中的数据进行访问了。
最后,我们打开TEST目录下的srcsafe.ini文件,做出以下修改:
Data_Path = data改为Data_Path = ../TEST_Lock$/data
Temp_Path = temp改为Data_Path = ../TEST_Lock$/temp
Users_Path = users改为Data_Path = ../TEST_Lock$/users
Users_Txt = users.txt改为Data_Path = ../TEST_Lock$.users.txt