现在很多局域网都有自己的文件服务器,一方面用于存储工作中形成的重要文件、无形资产,甚至商业机密信息;另一方面,也可以用文件服务器共享一些文件让局域网用户访问,便于实现资源共享、协同工作。因此,对共享文件服务器的管理,尤其是共享文件的管理,就成为网络管理的重要工作。而服务器共享文件管理中,首要的共享文件的安全管理。防止共享文件被越权访问、防止共享文件泄密,对企业来说至关重要。因为,一旦这些关乎企业商业机密、核心资产的泄露,将会给企业带来严重的损失,甚至威胁到企业的生死存亡。
那么,如何保护服务器共享文件安全,防止共享文件泄露呢?这需要从以下几个方面入手:
一、访问权限 严格设置
为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。下面笔者就以“CCE”共享文件夹为例,介绍如何合理设置“cceuser”用户对“CCE”共享文件夹的访问权限,以此来增强共享文件夹的安全。
1. 共享权限设置
在资源管理器中,右键点击“CCE”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“CCE的权限”设置对话框,点击“添加”按钮,将“cceuser ”账号添加到“组或用户名称”列表框内,这里“cceuser”账号对“CCE”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,较后点击“确定”按钮,完成共享权限设置。
2. NTFS访问权限设置
以上只是设置了“CCE”共享文件夹的共享访问权限,毕竟“CCE”共享文件夹是受“共享访问权限”和“NTFS访问权限”双重制约的,如果NTFS文件系统不允许“cceuser”用户访问共享,也是不行的,并且还要给该账号设置合理的NTFS访问权限。
在“CCE”共享文件属性对话框中切换到“安全”标签页后,首先将“cceuser”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“cceuser”账号后,在“cceuser的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,较后点击“确定”按钮。
经过以上操作后,就完成了“CCE”共享文件夹的“cceuser”用户的访问权限设置,其它用户的共享文件夹访问权限设置方法是相同的,就不再赘述。
3.通过共享文件管理软件来加强共享文件访问权限管理
除了通过操作系统的共享文件访问权限设置,你也可以通过安装一下共享文件管理软件、局域网共享权限设置软件来实现。例如有一款“大势至局域网共享文件管理系统”(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),只需要在服务器上安装,就可以自动扫描到当前服务器所有的共享文件和服务器上的所有账户,然后就可以选择特定的共享文件夹,再勾选相应的账号,并勾选相应的访问权限,就可以为共享文件设置操作系统全线之外的额外访问权限控制。比如,禁止删除共享文件、禁止修改共享文件、禁止复制共享文件、禁止共享文件另存为本地磁盘、禁止打印共享文件以及禁止拖拽共享文件等,尤其是可以实现只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘等,上述三个功能是操作系统和windows域账号无法实现的,可以极大地保护服务器共享文件的安全。如下图所示:
图:大势至文件共享管理工具V10.5
此外,通过本系统还可以详细记录共享文件访问日志,便于管理员事后备查和审计。
二、磁盘管理 合理配制
由于共享文件夹中存在着大量的共享资源,因此它要占用一定的硬盘空间。某些有写入权限的用户,任意上传大量与工作无关的文件,不但浪费磁盘资源,而且还容易被感染病毒,因此共享文件夹毫无节制的占用硬盘空间资源,也会带来意想不到的安全隐患,必须进行限制。
1. 磁盘配额,限制用户
Windows系统提供的“磁盘配额”功能,可以对每位Windows用户使用的硬盘空间资源进行限制,这样就可以间接的起到控制共享文件夹容量大小的作用。
还是以“CCE”共享文件夹和“cceuser”用户为例,这里“CCE”共享文件夹位于D盘中,下面就要启用D盘中的“磁盘配额”功能,指定“cceuser”用户可以使用的硬盘空间数。
在资源管理器中,右键点击D盘盘符,选择“属性”选项,切换到“配额”标签页,选中“启用配额管理”项后,激活“磁盘配额”功能。确保选中“拒绝将磁盘空间给超过配额限制的用户”项。另外建议选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”这两项,以便将配额告警记录到日志中,较后点击“应用”。
下面点击“配额项”按钮,弹出磁盘配额项目窗口,接下来就为“cceuser”用户进行配额限制了。点击“配额→新建配额项”,在选择用户对话框,选中“cceuser”用户,点击“确定”,然后在“添加新配额项”中为该用户设置配额限制,选中“将磁盘空间限制为”项目,在空白栏中输入“500”,接着在“将警告等级设置为”栏中输入“490”,磁盘容量单位选择“MB”,较后点击“确定”,完成“cceuser”用户的磁盘配额设置,这样该用户就只能使用500 MB的共享文件夹硬盘空间了。其他用户的配额设置方法是相同,按照上面的步骤配置即可。
2. 备份恢复“磁盘配额”
备份磁盘配额项目非常简单,由于“CCE”共享文件夹位于D盘,这里笔者以备份Windows 系统的D盘的磁盘配额项目为例,右键点击“D盘”盘符,在弹出的菜单中选择“属性”,切换到“配额”标签页,点击下方的“配额项”按钮,弹出“配额项目”管理对话框,点击“配额→导出”,在“文件名”栏中为备份文件起个名字,较后点击“保存”按钮,完成磁盘配额项目的备份。其它盘符的磁盘配额项目备份和以上相同,不再赘述。
恢复磁盘配额项目同样简单,在配额项目管理对话框中,点击“配额→导入”,然后找到备份文件,点击“打开”按钮后,接着在磁盘配额提示框中点击“是”按钮,完成磁盘配额项目的恢复。
提示:磁盘配额项目的备份和恢复都是以磁盘盘符为单位的,要注意,在进行备份和恢复时,只有NTFS文件系统的磁盘分区才能进行以上操作。
3.移动共享,注意权限
由于某些需要,有时要把共享文件夹移动位置,拷贝到别的目录下。复制操作虽然很简单,但要将共享文件夹所包含的用户访问权限信息和具体共享文件一起复制过去,这是一般的复制操作做不到的。利用“XCOPY”命令就能很好的解决这个问题。
笔者以D盘的CCE共享文件夹为例,将共享文件及其所包含的用户访问权限信息,复制到D盘的CCEB共享文件夹下。在“命令提示符”窗口中的“D:\>”提示符下,运行“xcopy CCE CCEB /O /S”命令后,就可以将CCE共享文件夹和所包含的用户访问权限信息,都复制到CCEB共享文件夹下了。其中“/O”参数表示“复制文件的所有权和 ACL 信息”,“/S”表示“复制目录和子目录”。
4.有备无患,备份ACL
如果共享文件夹所包含的ACL信息(用户访问权限)意外丢失,单凭记忆是很难恢复,还有可能造成遗漏,给共享文件夹留下安全隐患。这时用户就可以使用CACLS命令,做好这些共享文件夹的ACL信息备份。
以D盘的共享文件夹CCE为例,该共享文件夹中包含着大量的ACL信息,下面就使用CACLS命令对此共享文件夹中的所有ACL信息进行备份。在“命令提示符”窗口中切换到“D:\>”提示符下,运行“cacls d:\ CCE /t > d:\aclsCCE.txt”命令后,就将共享文件夹CCE中所包含的ACL信息都备份到D盘的“aclsCCE.txt”文件中了。当ACL信息意外丢失时,就可以按照备份文件“aclsCCE.txt”中ACL信息,对CCE共享文件夹的访问权限进行重新设置,避免了部分ACL信息的遗漏,保证了共享文件夹的安全性。
总之,服务器共享文件安全管理十分重要,关乎到企业无形资产和商业机密的安全。作为企业的网络管理员,要想有效保护服务器共享文件的安全,一方面需要充分掌握操作系统和windows AD域控制器在共享文件安全设置方面的功能,并且可以熟练灵活使用;另一方面,也可以借助局域网共享设置设置软件、服务器共享文件安全管理软件来实现。惟其如此,才可以较大限度保护服务器共享文件的安全。
