现在很多企业局域网都有文件服务器,并且经常把单位一些重要文件放到文件服务器上共享给局域网用户访问使用,这虽然实现了资源共享,便于大家协同工作。但也使得单位共享文件存在随意访问、越权访问的风险,容易导致服务器共享文件泄露。因此,我们必须采取有效的举措,保护服务器共享文件的安全。
通常情况下,网管员都是通过操作系统的文件共享权限来限制用户访问共享文件的行为,比如只读、禁止删除等。虽然可以起到一定的安全防护作用,但也使得用户的访问权限受限,不利于一些工作的开展。有些单位会通过域控制器进一步管理局域网用户访问共享文件的行为,设置共享文件访问权限。但因为域控制器的设置较为复杂,同时也不能完全保护共享文件的安全,因此使得当前国内各行业企事业单位在服务器共享文件权限设置、局域网共享文件访问控制方面始终存在着漏洞和风险。
当前共享文件安全管理的不足集中在以下几个方面:
1、 允许用户读取共享文件时无法阻止用户复制共享文件内容、无法阻止用户将共享文件另存为本地磁盘、打印共享文件、拖动共享文件等行为;
2、 允许用户修改共享文件时,无法阻止用户不小心或故意删除共享文件的行为,从而使得共享文件存在着巨大风险;
3、 外来用户私自接入单位局域网后,通过一定的手段获得了服务器共享文件的访问权限,极容易导致企业机密文件泄露的风险。
而上述服务器共享文件管理的漏洞是无法通过操作系统或Windows AD域控制器所能管控的,必须借助第三方软件才可以实现。
目前,国内可以管理服务器共享文件安全、设置共享文件访问权限的软件不是很多。笔者直到有一款“大势至局域网共享文件管理系统”(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),在服务器安装之后,就可以自动扫描到所有共享文件夹,以及服务器上所有账户,然后就可以为不同共享文件夹设置不同账户访问共享文件的权限。如下图所示:
图:大势至共享文件夹权限设置软件
通过本系统可以实现只让读取共享文件而禁止拷贝共享文件内容、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件等,以及禁止拖动共享文件、禁止打印共享文件等,从而全面保护共享文件安全,防止共享文件泄密的风险发生。
同时,本系统还可以详细记录共享文件访问日志,便于管理员事后备查和审计。如下图所示:
此外,本系统还可以根据访问者的MAC地址来设置访问权限,从而进一步精确了对用户访问共享文件权限的控制。如下图所示:
图:以MAC模式控制共享文件访问
总之,服务器共享文件管理十分重要,这一方面需要充分发挥操作系统、域控制器等共享文件访问权限设置的相关功能,另一方面也需要借助一些局域网共享文件管理软件来进一步强化共享文件管理,这样才可以有效保护服务器共享文件的安全,防止共享文件泄密事件的发生。
