缓解vss共享文件夹的安全隐患问题(转)

arabella · 发表于 2008-10-30 09:23:30

　　VSS的共享文件夹一直以来都是困扰VSS用户的一个头等问题，由于VSS库必须完全共享才能被用户使用，这样就造成了用户可以任意的修改、添加和删除该共享目录下的文件，更有甚者，还可能将整个VSS库给删除掉，除此之外，病毒的攻击也是一个不可小视的问题，所以VSS的共享文件夹造成了严重的安全隐患。

　　通过以下方法，可以缓解VSS的安全问题，大家可以参考一下：
在VSS服务器上新建一个目录（如：VSS），注意：该目录必须新建在NTFS格式的硬盘下，再在该目录下新建两个子目录（如：TEST和TEST_Lock
　　打开VSS Admin，通过Tools－>Create Database，在上面建立的子目录TEST下建立一个VSS库
　　VSS库建好之后，子目录TEST中的内容
　　若不考虑该VSS库的安全性的话，只需将TEST目录完全共享，该VSS库即可被用户使用。
若需要保证该库的安全性，我们可以将TEST目录下的data目录，temp目录，users目录和users.txt文件给剪切到VSS目录下的另一个子目录TEST_Lock中　
　　TEST目录下只剩下srcsafe.ini文件，这时我们将TEST目录共享　　TEST目录我们可以共享成只读的。

　　另外，将TEST_Lock目录共享为共享名加“$”符的
　　并且对TEST_Lock的“安全”页进行设置
将上图中的“允许将来自父系的可继承权限传播给该对象”一项不选中，并且将允许“完全控制”一项不选中。
接下来对TEST_Lock目录下的data目录进行设置，将Everyone的权限设置为“拒绝列出文件夹目录”，如下图所示：

　这样，用户就不能访问存放数据的data目录了。
　最后，我们打开TEST目录下的srcsafe.ini文件，做出以下修改：
　Data_Path = data改为Data_Path = ..\TEST_Lock$\data
　Temp_Path = temp改为Data_Path = ..\TEST_Lock$\temp
　Users_Path = users改为Data_Path = ..\TEST_Lock$\users
　Users_Txt = users.txt改为Data_Path = ..\TEST_Lock$.users.txt

这样，用户只是能访问TEST目录下的srcsafe.ini文件，而不能对存放在VSS库中的数据进行访问了。

注意：VSS库所在服务器的管理员组中的成员是可以在各自的机器上修改权限的。