一、当前局域网文件服务器共享管理的总体概况
当前,在各行业企事业单位的局域网中,大都架构了文件共享服务器,一方面便于员工存储重要的电脑文件,另一方面也便于实现员工协同工作,并且很多共享文件也是单位积累的重要资源、无形资产,甚至是商业机密。因此,如何保护这些共享文件的安全,防止局域网用户随意复制共享文件、随意将共享文件另存为本地、随意修改共享文件等,已经成为企业共享文件管理的一个重要方面,也是保护单位无形资产和商业机密的重要工作。
那么,如何才能保证局域网内共享文件夹的安全性呢,通常情况下我们需要从以下三个方面入手:
方法一:通过操作系统自带的日志记录功能来实时记录局域网共享文件访问日志
具体设置方法如下:
第一步:依次打开控制面板、管理工具、计算机管理(本地)、系统工具,然后选择共享文件夹。在这个窗口中,有一个“会话”选项。双击打开这个选项,在右面的窗口中,就会显示出哪些电脑在访问你的计算机。但是,在这个窗口中,还只能够看到有哪些电脑连接到你的电脑,还不知道到底他们在访问哪些共享文件。
第二步:依次选择“系统工具”、共享文件夹、打开文件,此时,在窗口中就会显示本机上的一些共享资源,被哪些电脑在访问。同时,在这个窗口中还会显示一些有用的信息,如其打开了哪一个共享文件;是什么时候开始访问的;已经闲置了多少时间。也就是所,只要其打开了某个共享文件夹,即使其没有打开共享文件,也会在这里显示。
另外,我们有时候可能出于某些目的,如员工可能认为不能让这个人访问这个文件。此时,我们就可以直接右键点击这个会话,然后从快捷菜单中选择关闭会话,我们就可以阻止这个用户访问这个共享文件,而不会影响其他用户的正常访问。
虽然通过操作系统的共享会话功能可以记录局域网用户和文件服务器的通信情况,以及访问共享文件的情况,但是只能某个电脑使用服务器的某个账号访问共享文件访问的日志,无法记录访问者的IP地址和MAC地址等关键信息,从而使得管理员无法得知访问者的具体身份,从而不能精准地控制其访问共享文件的行为。
方法二:通过操作系统的文件访问权限设置功能来设置共享文件访问权限。
在大部分时候,用户都只需要查看或者复制这个共享文件即可,而往往不会在共享文件夹上进行直接修改。但是,有些员工为了贪图方便,就直接以可读写的方式共享某个文件夹以及文件。
一方面,这些不受限制的共享文件家与共享文件成为了病毒传播的载体。笔者在工作中发现,有些用户在共享文件的时候,没有权限限制。一段时间后,再去看这个共享文件,发现有些共享文件或者共享文件夹中有病毒或者木马的踪影。原来由于这个共享文件夹有写的权限,所以,其他用户如何打开这个文件,恰巧这台电脑中有病毒或者木马的话,就会传染给这个共享文件夹。从而让其他访问这个共享文件夹的电脑也中招。可见,没有保护措施的共享文件夹以及里面的共享文件,已经成为了病毒传播的一个很好的载体。
另一方面,当数据非法更改时,很难发现是谁在恶作剧。虽然可以通过相关的日志信息可以查询到有哪些人访问过这个共享文件,以及是否进行了更改的动作。但是,光凭这些信息的话,是不能够知道这个用户对这个共享文件夹作了哪些更改。有时候,我们打开一个共享文件,会不小心的按了一个空格键或者一个字符键,不小心的把某个字覆盖了,等等。这些情况在实际工作中经常会遇到。有时候,即使找到了责任人,他也不知道到底修改了哪些内容。所以,当把共享文件设置为可写的话,则很难防止员工有意或者无意的更改。
第三,若以可写的方式共享文件的话,可能无法保证数据的统一。如人事部门以可读写的方式共享了一个考勤文件。此时,若财务部门修改了这个文件,而人事部门并不知道。因为财务人员可能忘记告诉了人事部门,此时,就会导致两个部门之间的数据不一致,从而可能会造成一些不必要的麻烦。而且,由于没有相关的证据,到时候谁对谁错,大家都说不清楚。
为了解决这些问题,笔者建议企业用户,在共享文件夹的时候,最好把文件夹的权限设置为只读。若这个共享文件夹有时候其他用户需要往这个文件夹中存文件,不能设置为只读。那我们也可以把共享文件夹中的文件设置为只读。如此的话,由于文件夹为只读的,则病毒、木马也就不能够感染这些文件夹,从而避免成为散播病毒的污染源;而且,也可以防止用户未经授权的更改,从而导致数据的不统一等。但是对于一些需要开放共享文件修改权限的用户,则就不能只是设置“只读”功能,而一旦开放了共享文件修改权限,则也就意味着用户可以故意或不小心删除共享文件的行为,从而无法达到完全保护共享文件安全的目的。
方法三:建立文件共享服务器,统一管理共享文件的访问权限
通过把企业局域网分撒到各个终端的共享文件汇总,有一个问题,就是用户对于共享操作的熟悉程度不同或者安全观念有差异,所以,很难从部署一个统一的文件共享安全策略。如分散在用户主机的共享文件,员工一般不会定期对其进行备份,以防止因为意外损害而进行及时恢复;一般也不会设置具体的访问权限,如只允许一些特定的员工访问等等。因为这些操作的话,一方面可能需要一些专业知识,另一方面,设置企业也比较繁琐。所以,即使我们出了相关的制度,但是,员工一般很难遵守。
所以,笔者建议,在一些有条件的企业,部署一个文件共享服务器来统一管理共享文件。采取这种策略的话,有如下好处。
一是可以定时的对共享文件进行备份,从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上,则我们就可以定时的对文件服务器上的文件进行备份。如此的话,即使因为权限设置不合理,导致文件被意外修改或者删除;有时会,员工自己也会在不经意中删除不该删的文件,遇到这种情况的时候,则我们可以通过文件恢复作业,把原有的文件恢复过来,从而减少这些不必要的损失。
二是可以统一制定文件访问权限策略。在共享文件服务器上,我们可以根据各个员工的需求,在文件服务中预先设置一些文件夹,并设置好具体的权限。如此的话,放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限,从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件,我们可以为此设立一个通知类文件夹,这个文件夹只有行政人员具有读写权限,而其他职工都只有只读权限。如此的话,其他员工就不能够对这些通知进行更改或者删除。所以,对共享文件夹进行统一的管理,可以省去用户每次设置权限的麻烦,从而提高共享文件的安全性。
通过创建文件服务器,则就可以通过服务器的文件访问权限设置功能、组策略等等来设置共享文件的访问权限,虽然可以相对更好地管理服务器共享文件的安全,防止共享文件分散管理的缺陷,但始终无法真正有效地保护共享文件的安全。
方法四:通过Windows系统的AD域控制器来加强共享文件安全管理
通过Windows系统的AD域控制器,可以将局域网所有用户加入到域控制器中,通过域控制器为局域网用户分配账号,并设置其访问共享文件的权限,并且可以详细记录登录域访问共享文件的日志,可以有效防止未经授权的访问局域网共享文件服务器的情况发生,从而可以在操作系统自身的共享文件访问权限控制功能之外,提供更进一步管理共享文件访问权限的功能,可以极大地提升共享文件的安全。如下图:
但是域控制器虽然可以更为安全地掌控局域网电脑的电脑使用行为和共享文件访问情况,但始终无法精准地控制共享文件的访问权限。比如只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘,或拖拽共享文件到访问者自己的电脑以及打印共享文件的行为等,从而不能真正解决共享文件访问过程中的安全问题。
方法五:通过组策略设置共享文件的访问权限,保护共享文件的安全。
采用域服务器/客户端方式的局域网,可以直接在服务器上通过设置组策略来限制一些用户的权限。如要禁止用户登录域服务器,参照前述之法,启动组策略,然后打开“用户权利指派”菜单,选择“拒绝从网络访问这台计算机”项,在弹出的方框里添加需要禁止访问的计算机名称即可。通过以上设置,该用户就无法通过“网上邻居”来访问服务器的共享文件夹和其他共享资源。如下图:
如要禁止用户用本地登录的方式登录服务器,可以在组策略中单击“在本地登录”选项,在随后弹出的对话框中把禁止远程登录的用户名称删除即可。
总之,通过上述方法,虽然可以起到一定的保护共享文件安全的作用,但是不能有效杜绝共享文件访问过程中的明显漏洞,一些稍微懂一些技术的员工可以轻松通过各种方式(复制、另存为、拖拽、打印等)将共享文件存储在自己的电脑,然后通过U盘、网盘、邮件、FTP发送文件或聊天软件传送文件的方式将这些共享文件发送出去,从而极大地威胁了共享的安全,不利于单位无形资产和商业机密的保全。
二、大势至局域网共享文件管理解决方案
大势至局域网共享文件管理系统基于操作系统最底层的NDIS核心驱动开发,并整合了第三代共享文件传输协议解析技术(SMB),独家实现了对局域网用户访问共享文件的操作行为控制,独家实现了只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为、拖拽到本地磁盘,是国内首家实现对服务器共享文件操作行为全面管控的文件服务器管理软件。
本系统基于NDIS核心层文件过滤驱动进行实现,并针对不同操作系统版本集成了Windows操作系统各个版本的NDIS版本,从而保证了系统的兼容性。具体处理流程如下:
其中,最上层是一个NDIS Protocol Driver,它向上提供一个Transport Driver Interface(TDI),向下通过NDIS接口与下面的NDIS中间层的上边界交互,NDIS中间层的下边界通过NDIS接口与下层的NDIS Miniport Driver交互。最后,由NDIS Miniport Driver利用NDIS接口与物理网络设备NetCard交互。
大势至局域网共享文件管理基于B/S架构,部署非常简单,只需要在局域网的共享文件服务器上安装就可以了,局域网其他用户不需要安装客户端(但部分功能需要运行控件进行协同),也不需要改变服务器的结构。如下图所示:
大势至局域网共享文件管理系统的具体功能:
通过大势至局域网共享文件管理系统可以在操作系统本地账户访问权限、域控制器之外,提供了更加简便、快捷同时也极为精细的共享文件访问权限控制。具体可以实现如下共享文件访问控制功能:
1、设置操作权限。禁止删除、禁止修改、禁止复制、禁止剪切、禁止新建、禁止另存为、禁止读取、禁止打印等。
2、IP和MAC地址绑定认证。黑名单中的地址无法访问共享文件,如果修改了IP或MAC地址也将无法访问共享文件。
3、限制外来电脑或未经授权的电脑访问共享文件。必须加入到许可访问白名单中的电脑才可以访问共享文件。
4、设置访问许可。用户访问服务器共享文件时,设置其允许使用的工具和应用列表,列表可以批量导入和导出。
5、允许设置文件白名单,可以极大降低误拦截访问行为,并可以使得操作系统自动执行文件磁盘清理功能。
6、设置窗体黑名单。用户访问服务器共享文件时,禁止某些窗体打开或执行某些动作,列表可以批量导入和导出。
7、禁止用户在访问共享文件时,通过QQ传文件、FTP、邮箱、网盘、优盘、移动硬盘等方式发出去。
8、禁止在未打开共享文件的情况下复制(拖拽)、修改、剪切服务器共享文件,保护共享文件安全。
9、禁止打开共享文件后复制共享文件内容、另存为本地磁盘或打印共享文件。
10、添加用户和组。对不同的用户和不同的组设置不同的操作权限,可以批量导入和导出。
11、记录系统操作日志,包括时间、IP、MAC、用户、机器名、域、类型、状态、路径。
12、记录用户对服务器共享文件的访问情况,包括删除、修改、复制、剪切、重命名、新建、打印等。
13、记录访问者的用户名、计算机名、IP地址、MAC地址、时间、访问类型、状态、路径等。
14、日志导出功能。可以将监控日志导出为Excel格式,便于第三方审计,同时还可以设置自动删除日志功能。
15、备份共享文件,并可以根据需要进行有选择的还原,全面保护共享文件安全。
16、防删除功能。许可权限的用户一旦蓄意或误删除共享文件,可以及时恢复。
17、隐藏共享文件。用户在没有读取共享文件的权限时,可以设置隐藏共享文件。
大势至局域网共享问管理系统控制共享文件访问的独特、领先优势
大势至局域网共享文件管理系统与操作系统、域控制器共享文件访问权限设置相比,可以实现如下几个重要方面的共享文件访问权限控制:
1.允许修改共享文件,但禁止删除共享文件,从而既方便了修改、更新共享文件,也阻止了故意或不小心删除共享文件的行为。
2.只让打开共享文件而禁止将共享文件另存为本地磁盘或打印共享文件,从而防止越权访问共享文件。
3.允许读取共享文件但禁止复制共享文件的内容或将共享文件复制到本地磁盘、拖拽到本地磁盘,从而防止了共享文件通过员工电脑泄露出去的风险。
4.在Windows本地账户或域控制器帐号验证之外,独家提供了二次用户校验功能,防止获得访问权限的用户电脑被其他人使用时可以通过缓存畅通无阻访问共享文件的行为,进一步保护了共享文件的安全。
5.本系统支持对共享文件的访问者基于IP+MAC地址+用户帐户的多重绑定认证机制,防止外来人员或本地用户随意修改IP和MAC地址或者使用特殊帐号访问共享文件的行为。
6.为了防止用户通过第三方工具软件(如邮件、网盘、聊天软件发送文件等)方式将共享文件发送出去的行为,系统集成了“访问许可”功能,使得只有加入到管理员许可使用的“白名单”列表中的工具软件才可以访问共享文件,从而防止通过第三方软件越权访问共享文件的行为。
7.本系统可以详细记录局域网用户访问共享文件的详细日志,可以具体记录访问者的访问时间、IP地址、MAC地址、主机名、登录帐号、访问动作、访问共享文件的具体路径和文件名等。
总之,大势至局域网共享文件管理系统是当前国内首款专门管理文件服务器共享文件的安全软件,通过本系统可以极大地弥补操作系统文件共享权限设置、域控制器设置共享文件访问权限上的种种不足和缺陷,完全、细粒度地控制共享文件各种访问操作行为,真正保护服务器共享文件的安全,保护单位无形资产和商业机密的安全。