Windows文件共享是不少企业日常办公的刚需。企业通常会在内网布置多个共享服务器，帮助部门员工之间及时、方便的共享各类文档材料，来提高工作效率。但另一方面，正是因为共享功能的开放性，很容易引起一系列安全问题，比如数据共享后遭修改删除，比如共享文件成为蠕虫、感染型病毒反复传播的载体，甚至黑客也会重点寻找共享服务器投放勒索病毒进行加密勒索……

根据火绒帮助企业解决问题时发现，企业频繁遭遇共享安全问题往往由两个原因导致：一是企业内创建文件共享后，未能实行防范措施；二是系统本身存在共享功能，且默认开启，存在安全隐患。

在此，我们也选出了几个典型的因“共享”文件或服务器未做防护而导致病毒、黑客入侵的案例进行分享，并提供了相应的排查方法和安全建议，希望帮助企业用户降低使用“共享”功能带来的风险。 

一、 共享文件成为病毒传播工具

某企业内部共享文件中的文档无法打开，遂求助火绒。火绒工程师在检测存放该文档的共享服务器后发现，共享文档已被病毒感染，但病毒并未在该服务器上运行。由此推断为是企业内的员工终端中毒，继而感染了共享下的各类文档。最终通过全网部署火绒，完成了病毒清除。

病毒通过共享感染其它终端

火绒工程师经分析发现该文档被名为“Spreadoc”的感染型病毒感染，这种病毒可感染“PDF”“EXE”“DOC”“DOCX”多种格式的文件。值得一提的是，该病毒早于2013年就已经出现。在通过对多款国内外安全软件测试发现，目前只有火绒可以在不破坏原文件的情况下，彻底清除该病毒。

事实上，由于共享的存在，导致病毒可以利用员工互相传阅、交换文档的契机得以快速、反复传播，感染更多的服务器，成为困扰很多企业的一项难题。火绒工程师表示，如果感染蠕虫或感染型这类传播性极强的病毒，在不全网部署火绒等安全软件查杀情况下，很难将其“一网打尽”，导致最后出现共享服务器成为病毒传播的工具，且病毒屡杀不绝的现象。

二、共享文件成为勒索病毒照顾目标

火绒接到某企业求助，称其共享文件被勒索病毒加密。火绒工程师远程查看发现，黑客通过弱口令暴破等方式进入企业网络，在进一步渗透后，手动投放勒索病毒，从而加密了服务器和企业共享文件。

火绒查杀到的黑客工具

火绒在为企业提供帮助时发现，很多黑客在运行勒索病毒加密文件前，为了加密更多服务器内文件，除了继续进行内网渗透登录更多服务器外，还使用工具扫描企业内的公用共享，映射到本地后运行勒索病毒，同时将文件共享内的文件加密。这样即使黑客没有登录共享服务器，也可用此方法加密企业内的重要文件，令企业造成损失。 

三、默认共享传播木马病毒

某企业用户终端内反复被火绒拦截到"DTStealer"(又名永恒之蓝下载器)木马，而该病毒传播渠道之一就是通过Windows默认共享进行的。火绒工程师根据火绒中心内出现的攻击日志，发现用户企业内有中毒终端没有安装火绒。在用户全网部署火绒终端查杀后，问题得到了解决。

为配合企业管理员进行远程管理，Windows默认开启了共享功能，一旦黑客通过远程暴破等方式获取账户名和密码并进入企业网络后，就可以直接查看、使用系统默认的共享目录下内容，实施投放病毒等行为。

共享安全防护的加固建议：

1.部署安全软件，员工在向共享内写入文件前，先查杀再上传。

2.共享目录设置权限管理，如：对不需要上传文件的账户，给予只读权限即可，防止任意员工\终端都能写入共享目录。

3.对无需对外共享文件\打印机的终端，可使用火绒“IP协议控制”功能，对139、445端口进行限制，防御利用SMB进行的攻击。

4.修改如“admin”“User”等常见用户名，并禁用默认管理员账户，避免病毒对常见用户名进行暴破并获得密码后，利用默认共享进行传播。

5.终端建议设置符合复杂性要求的密码，多个服务器使用不同的高强度密码管理，避免出现多个密码复用、无密码的情况。（建议员工终端不少于8位，外网服务器不少于15位，带有数字、大小写字母、符号）

6.定期排查火绒日志，对感染了Virus或Worm的终端，及时按照附录内《使用常见问题处理》文档中的处理办法进行处理。

7.对共享中的重要文档进行及时备份，建议可以选择非本地备份方式（如备份到单独的移动硬盘或不联网设备中），避免风险。