在Windows 2003环境增强共享文件安全

　　为确保那些不具有查看权限的非授权用户无法访问共享文件，Windows系统管理员通常必须去执行特殊技巧来防止这些用户查看比如像合伙人或者客户名称这样的非授权信息。

　　关于文件夹的一个例子是，建立一个用户能够查看信息但不允许去访问主目录的文件夹。一个主目录包含一个用户的文件和程序。对主目录的访问一般情况下需要指派给特定用户。主目录将用户文件放到一个位置，并且方便管理员去备份用户文件和删除用户帐号。主目录变成了一个存储用户创建的文件的默认目录，用户的命令和所用的应用没有一个指定的工作目录。

　　许多管理员选择使用一个临时账户去自动生成使用%username%名的主目录。当你管理一些用户帐户，并且每一个账户都有他自己的主目录的时候，这是一种比较简单的方法。只需要使用模板创建一个新帐号，并且主目录创建为“automagically”。这个操作将会自动地将新的主目录的完全控制权限指派给用户(创建主目录:在主目录路径中通过%用户名%创建主目录)。

　　IT系统管理员也可用一些其他的方法用来隐藏共享内容。其中一个例子是隐藏共享，这里在那些共享名末尾添加$符号来对共享内容进行隐藏。另一个办法是使用定制脚本来重置用户设置来指定共享文件夹。但是这些方法有一个问题就是它们并不是十分安全的。如果一个用户知道隐藏共享名，他们能够直接使用它，并且不管IT系统管理员是如何隐藏它的。

　　用户们都没有什么不同，大多数人天生好奇。一旦一个用户获得了对部分隐藏内容的察看权限，他们将会试着去查看那些他们并没有被授权的文件夹。结果就是：最好的情况是弹出一个错误信息提示框(如下图);糟糕的情况就是一个违规的访问操作将会导致安全许可权限的不恰当使用。

　　现在最大的问题是：怎样去平衡正常安全的访问和规避那些来自好奇者对隐藏的非授权信息的非法访问?问题解决的办法就是通过使用Access-based Enumeration(ABE)。