解决VSS共享文件夹的安全隐患问题

本文章部分内容和图片来自于网络

VSS的共享文件夹一直以来都是困扰VSS用户的一个头等问题，由于VSS库必须完全共享才能被用户使用，这样就造成了用户可以任意的修改、添加和删除该共享目录下的文件，更有甚者，还可能将整个VSS库给删除掉，除此之外，病毒的攻击也是一个不可小视的问题，所以VSS的共享文件夹造成了严重的安全隐患。

通过以下方法，可以缓解VSS的安全问题，大家可以参考一下：

  首先在服务器上创建访问VSS的专用账户名（如：VssUser）：

然后右击新创建的账户名VssUser→“属性”菜单→选择“隶属于”选项卡，将隶属于一栏清空，然后点击“确定”，这样一来安全，二来Windows登录界面也就看不到该账户了。

   在VSS服务器上新建一个目录（如：VSS），注意：该目录必须新建在NTFS格式的硬盘下，再在该目录下新建两个子目录（如：TEST和TEST_Lock），如下图所示：

打开VSS Admin，通过Tools－>Create Database，在上面建立的子目录TEST下建立一个VSS库，如下图所示：

VSS库建好之后，子目录TEST中的内容如下图所示：

　　若不考虑该VSS库的安全性的话，只需将TEST目录完全共享，该VSS库即可被用户使用。
若需要保证该库的安全性，我们可以将TEST目录下的data目录，temp目录，users目录和users.txt文件给剪切到VSS目录下的另一个子目录TEST_Lock中，如下图所示：

TEST目录下只剩下srcsafe.ini文件，这时我们将TEST目录共享（★共享权限设置成只读！！除了Administrator之外，我们只将权限分配给VssUser），如下图所示：

另外，将TEST_Lock目录共享为共享名加“$”符的，如下图所示：

并且对TEST_Lock的“安全”页进行设置，将下图中的“允许将来自父系的可继承权限传播给该对象”一项不选中，并且将允许“完全控制”一项不选中。如下图所示（图中的账户Everyone请改成VssUser）：

 
    接下来对TEST_Lock目录下的data目录进行设置，将VssUser的权限设置为“拒绝列出文件夹目录”，如下图所示（图中的账户Everyone请改成VssUser）：

同理，在Server 2008系统中，对Lock目录的权限设置方法如下图所示：

在Server 2008系统中，对Lock目录下的data文件夹的权限设置如下图所示：

这样，用户就不能访问存放数据的data目录了，用户只是能访问TEST目录下的srcsafe.ini文件，而不能对存放在VSS库中的数据进行访问了。
　最后，我们打开TEST目录下的srcsafe.ini文件，做出以下修改：
　Data_Path = data改为Data_Path = ../TEST_Lock$/data
　Temp_Path = temp改为Data_Path = ../TEST_Lock$/temp
　Users_Path = users改为Data_Path = ../TEST_Lock$/users
　Users_Txt = users.txt改为Data_Path = ../TEST_Lock$.users.txt