windows系統(tǒng)想共享文件給其他設(shè)備使用時(shí)非常的簡(jiǎn)單，只需要在文件夾上配置共享就可以了。但多用戶(hù)使用的時(shí)候，這樣的權(quán)限配置就過(guò)于粗糙了，會(huì)帶來(lái)很多麻煩的問(wèn)題。

本篇文章的內(nèi)容主要兩個(gè)方面

1，配置smb共享專(zhuān)用用戶(hù)組和用戶(hù)，僅授予smb訪(fǎng)問(wèn)權(quán)限。

2，配置smb相關(guān)安全設(shè)置

一，新建smb共享專(zhuān)用用戶(hù)組和用戶(hù)并配置權(quán)限

用windows當(dāng)nas系統(tǒng)共享文件時(shí)都會(huì)新建一個(gè)普通賬號(hào)用戶(hù)訪(fǎng)問(wèn)共享文件夾，在默認(rèn)情況下，新建的普通賬號(hào)都是隸屬于windows內(nèi)置的“user”組，該組擁有一些有限權(quán)限，比如本地或者遠(yuǎn)程登陸，運(yùn)行軟件，修改本賬戶(hù)隸屬的文件，但不能修改系統(tǒng)設(shè)置。

顯然我們不希望smb共享賬號(hào)能夠具備登陸到桌面并運(yùn)行軟件的權(quán)限，所以我們要配置一個(gè)專(zhuān)門(mén)的smb共享用戶(hù)組。當(dāng)然也可以新建一個(gè)smb專(zhuān)用賬號(hào)，直接配置權(quán)限。只不過(guò)這樣每新建一個(gè)smb專(zhuān)用賬號(hào)都得配置權(quán)限，非常的麻煩。建立一個(gè)smb專(zhuān)用用戶(hù)組配置好權(quán)限后，只要將新建的smb專(zhuān)用賬號(hào)拉入這個(gè)用戶(hù)組就自動(dòng)配置好了訪(fǎng)問(wèn)權(quán)限。

1.1新建nas專(zhuān)用用戶(hù)組

開(kāi)始菜單右鍵找到“計(jì)算機(jī)管理”——打開(kāi)“計(jì)算機(jī)管理”——打開(kāi)“用戶(hù)和組”——進(jìn)入“組”——右鍵選擇“新建組”。

根據(jù)自己的需求填入“組名”和“描述”，此時(shí)專(zhuān)用組就已經(jīng)建立好了。

1.1.2新建專(zhuān)用賬戶(hù)

進(jìn)入“用戶(hù)”——右鍵選擇“新建用戶(hù)”——根據(jù)自己需求填入“用戶(hù)名”，“全名”和“描述”

新建的用戶(hù)是被禁用的，還不能直接使用。需要激活用戶(hù)后才能使用。

在新建立好的用戶(hù)，右鍵“屬性”——把“賬戶(hù)已禁用”的勾去掉，應(yīng)用后即可激活用戶(hù)

新建立的用戶(hù)默認(rèn)都會(huì)隸屬于users用戶(hù)組，我們不需要共享專(zhuān)用賬號(hào)有那么高的權(quán)限。所以需要變更用戶(hù)組。

打開(kāi)“屬性”——“隸屬于”，選中“users”后刪除，然后點(diǎn)擊“添加”選項(xiàng)——在下方的輸入框輸入剛才的新建的用戶(hù)組，比如我的是“nasusers”——點(diǎn)擊“檢查名稱(chēng)”。若是看到計(jì)算機(jī)名+組名的出現(xiàn)，則表示檢查通過(guò)，直接確定——應(yīng)用，此時(shí)可以看到新建的用戶(hù)已經(jīng)變更為了nasusers用戶(hù)組。

順手把Guests用戶(hù)禁用。我們不希望其他人能登陸系統(tǒng)或者訪(fǎng)問(wèn)系統(tǒng)，所以這里需要禁用掉。

打開(kāi)“用戶(hù)”——右鍵“guests”——勾選“賬戶(hù)已禁用”——“應(yīng)用”——“確定”

1.2配置smb共享專(zhuān)用用戶(hù)組的權(quán)限

開(kāi)始菜單右鍵——選擇“運(yùn)行”——在輸入框輸入“secpol.msc”——打開(kāi)“本地安全策略管理器”——找到“本地策略”——“用戶(hù)權(quán)限分配”

在這里只需要處理三個(gè)權(quán)限：1.“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”，2.“拒絕本地登錄”，3.“拒絕通過(guò)遠(yuǎn)程桌面登錄”

1.2.1.配置“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”

“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”指只有授權(quán)的用戶(hù)能夠通過(guò)網(wǎng)絡(luò)來(lái)訪(fǎng)問(wèn)到本機(jī)上的共享文件資源（包括共享的打印機(jī)）

默認(rèn)情況下，“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”里有一個(gè)“everyone”用戶(hù)，這個(gè)用戶(hù)代表windows上所有的已激活用戶(hù)，除了配置了禁止“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”的用戶(hù)和用戶(hù)組以外，所有的用戶(hù)都被授予了這個(gè)權(quán)限。因此新建立好的smb共享專(zhuān)用用戶(hù)組都是具備“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”。但有些系統(tǒng)默認(rèn)沒(méi)有配置“everyone”用戶(hù)。

當(dāng)然為了安全起見(jiàn)，我們也不需要“everyone”用戶(hù)，把他刪除掉。

給smb共享專(zhuān)用用戶(hù)組增加“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”的權(quán)限。

這里需要打開(kāi)“對(duì)象類(lèi)型”——勾選“組”，這樣子才能搜的到我們剛才新建的smb共享專(zhuān)用用戶(hù)組

1.2.2禁止smb專(zhuān)用用戶(hù)組登錄到桌面

我們不希望smb專(zhuān)用用戶(hù)有登錄桌面的權(quán)限，windows登錄到桌面有兩種方式：本地登錄（直接接鍵鼠顯示器的那種），遠(yuǎn)程登陸。所以在這里我們把smb專(zhuān)用用戶(hù)組添加到“拒絕本地登錄”，“拒絕通過(guò)遠(yuǎn)程桌面登錄”中就可以了。添加方法參考上面1.2.1。

1.3基于存儲(chǔ)的枚舉，在文件共享中隱藏

這個(gè)功能可以在訪(fǎng)問(wèn)windows文件共享服務(wù)時(shí)，隱藏沒(méi)有共享權(quán)限的文件夾，用戶(hù)只能看到有共享權(quán)限的文件夾。對(duì)于配置了多組用戶(hù)多組權(quán)限的場(chǎng)景來(lái)說(shuō)，共享用戶(hù)使用起來(lái)更清爽，沒(méi)權(quán)限的文件夾直接看不到。

這個(gè)功能是windows server版才具備的功能。后期的關(guān)于smb共享文章會(huì)另外詳細(xì)說(shuō)明。

二，smb相關(guān)安全配置

1.停止使用smb 1.0

smb1.0是上個(gè)世紀(jì)80年代的產(chǎn)物了，距今已經(jīng)有40年時(shí)間了。受限于時(shí)代背景，其安全性有重大問(wèn)題，因此不推薦使用。

默認(rèn)情況下，在windows10/11或者同時(shí)期的server系統(tǒng)中是默認(rèn)關(guān)閉的。如果你此前因?yàn)閟mb問(wèn)題打開(kāi)了smb1.0支持，推薦將其關(guān)閉。

打開(kāi)控制面板，找到“啟用或關(guān)閉windows功能”——取消勾選“SMB1.0/CIFS文件共享支持”——重啟系統(tǒng)。

現(xiàn)在大部分的設(shè)備或者是操作系統(tǒng)都是支持smb2.0以上的版本了的，對(duì)于不支持的軟件就只能更換別的軟件使用。

安卓端文件管理器方面，可以使用免費(fèi)無(wú)廣告的cx文件管理器，用于替代es文件管理器

安卓端視頻播放器方面，可以使用nplayer，他支持硬件解碼，多種網(wǎng)絡(luò)共享協(xié)議和海報(bào)墻

安卓智能電視或者電視盒子方面，可以使用當(dāng)貝播放器，新版本中已經(jīng)支持smb3協(xié)議

蘋(píng)果設(shè)備ios/ipados/apptvos，早在2019年的ios13/ipados13中，已原生支持smb3協(xié)議。文件訪(fǎng)問(wèn)方面使用ios/ipados自帶的“文件”應(yīng)用訪(fǎng)問(wèn)，播放器可以使用便宜的nplayer或者是大名鼎鼎的infuse。appletv直接使用infuse播放就行了，軟件支持smb3協(xié)議。

2.1禁用不安全的來(lái)賓登錄

運(yùn)行輸入“gpedit.msc”——打開(kāi)“本地組策略編輯器”——找到“啟用不安全的來(lái)賓登錄”——勾選“已禁用”——應(yīng)用。

禁用的目的是為了，避免本地以來(lái)賓賬戶(hù)登錄到未知服務(wù)器，造成數(shù)據(jù)泄露風(fēng)險(xiǎn)。比如中間人搭建的虛假服務(wù)器。

2.2.smb相關(guān)網(wǎng)絡(luò)安全配置

這些配置同樣在“本地組策略編輯器”中，這里主要配置5個(gè)選項(xiàng)。1.Microsoft網(wǎng)絡(luò)服務(wù)器：對(duì)通信進(jìn)行數(shù)字簽名(始終)，2.Microsoft網(wǎng)絡(luò)客戶(hù)端：對(duì)通信進(jìn)行數(shù)字簽名(如果服務(wù)器允許)，3.Microsoft網(wǎng)絡(luò)客戶(hù)端：對(duì)通信進(jìn)行數(shù)字簽名(始終) —— 禁用，4.設(shè)備：防止用戶(hù)安裝打印機(jī)驅(qū)動(dòng)程序 —— 禁用，5.網(wǎng)絡(luò)訪(fǎng)問(wèn)：本地賬戶(hù)的共享和安全模型。

1.Microsoft網(wǎng)絡(luò)服務(wù)器：對(duì)通信進(jìn)行數(shù)字簽名(始終)。禁用這個(gè)選項(xiàng)。服務(wù)器開(kāi)啟數(shù)字證書(shū)簽名以防止中間人攻，客戶(hù)端在訪(fǎng)問(wèn)服務(wù)器時(shí)也必須啟用數(shù)字簽名。否則服務(wù)器將拒絕客戶(hù)端訪(fǎng)問(wèn)。這個(gè)建議關(guān)掉，部分操作系統(tǒng)或者軟件對(duì)smb支持不全，開(kāi)始后可能導(dǎo)致無(wú)法訪(fǎng)問(wèn)。

2.Microsoft網(wǎng)絡(luò)客戶(hù)端：對(duì)通信進(jìn)行數(shù)字簽名(如果服務(wù)器允許)。啟用該選項(xiàng)。當(dāng)本地作為客戶(hù)端訪(fǎng)問(wèn)服務(wù)器時(shí)，服務(wù)器啟用數(shù)字簽名時(shí)，本機(jī)也能順利訪(fǎng)問(wèn)。

3.Microsoft網(wǎng)絡(luò)客戶(hù)端：對(duì)通信進(jìn)行數(shù)字簽名(始終) 。 禁用這個(gè)選項(xiàng)。當(dāng)本機(jī)作為客戶(hù)端訪(fǎng)問(wèn)服務(wù)器時(shí)，強(qiáng)制要求服務(wù)器啟用數(shù)字簽名，若服務(wù)器不啟用數(shù)字簽名則拒絕通訊。禁用此選項(xiàng)后，是否啟用數(shù)字簽名由服務(wù)器和客戶(hù)端協(xié)商。

4.設(shè)備：防止用戶(hù)安裝打印機(jī)驅(qū)動(dòng)程序。禁用這個(gè)選項(xiàng)。就是禁止使用非管理員賬戶(hù)登錄的客戶(hù)端從本機(jī)下載打印機(jī)的驅(qū)動(dòng)。

5.網(wǎng)絡(luò)訪(fǎng)問(wèn)：本地賬戶(hù)的共享和安全模型。這個(gè)選項(xiàng)比較重要?。。?！

在默認(rèn)下，值為經(jīng)典——對(duì)本地賬戶(hù)的網(wǎng)絡(luò)登錄進(jìn)行身份驗(yàn)證。

在這個(gè)配置下，會(huì)通過(guò)本地賬戶(hù)進(jìn)行身份驗(yàn)證，并根據(jù)賬戶(hù)的不同分配不同的訪(fǎng)問(wèn)權(quán)限。

比如A賬戶(hù)可以訪(fǎng)問(wèn)1號(hào)文件夾，不可以訪(fǎng)問(wèn)2號(hào)文件夾。B賬戶(hù)可以訪(fǎng)問(wèn)2號(hào)文件夾，不可以訪(fǎng)問(wèn)1號(hào)文件夾。

如果配置為僅來(lái)賓模式，則所有的賬戶(hù)都會(huì)自動(dòng)映射為來(lái)賓賬戶(hù)，所有用戶(hù)權(quán)限平等。無(wú)法根據(jù)賬戶(hù)分配不同的訪(fǎng)問(wèn)權(quán)限。還是上面的例子，AB兩個(gè)賬戶(hù)都可以訪(fǎng)問(wèn)1號(hào)和2號(hào)文件夾。

而且配置了這個(gè)模式，將允許匿名賬戶(hù)登錄并訪(fǎng)問(wèn)共享資源。也就是說(shuō)網(wǎng)絡(luò)中的所有人都可以讀寫(xiě)服務(wù)器的文件。這是一個(gè)不安全的模式

如果默認(rèn)不是“經(jīng)典——對(duì)本地賬戶(hù)的網(wǎng)絡(luò)登錄進(jìn)行身份驗(yàn)證”必須改成“經(jīng)典——對(duì)本地賬戶(hù)的網(wǎng)絡(luò)登錄進(jìn)行身份驗(yàn)證”

2.3啟用當(dāng)前網(wǎng)絡(luò)的共享和加密配置

打開(kāi)“網(wǎng)絡(luò)共享中心”——點(diǎn)開(kāi)“專(zhuān)用”——勾選“啟用文件和打印機(jī)共享”

關(guān)閉公共文件共享，勾選加密。

此時(shí)windows作為nas的smb安全配置就已經(jīng)配置完成了，下一篇文章將配置windows的存儲(chǔ)和共享。