单位最近上了一台文件服务器,把公司以前的一些重要文件放到了上面,便于大家访问。同时,公司也经常会形成一些重要的文件,比如客户资料、设计资料等,也需要存储在文件服务器上,便于保全。由于这些文件是单位的无形资产和商业机密,并且为了工作方便还大都设置了共享。因此,保护这些共享文件的安全至关重要。
由于之前接触过一些服务器安全设置的方法,但是针对共享文件安全管理、访问权限设置还是比较粗浅。问了一下度娘,大概知道了需要从以下几个方面入手:
首先,从基本的层面入手,需要在操作系统层面的共享文件访问权限设置入手。
平心而论,操作系统的共享文件访问权限设置功能还是非常强大的。这主要是通过设置不同用户访问共享文件的不同权限入手。一般需要两个方面的设置:
1、 设置共享文件只让某些用户或某个用户访问。
方法如下:右键点击共享文件,选择属性,然后点击高级共享,然后再点击权限,然后在这里首先需要删除everyone权限,然后点击添加,把许可访问这个共享文件夹的用户加入进去即可。这样就实现了只让这个用户访问共享文件的目的了。
然后,同样还是在共享属性这里,选择安全,然后同样需要在这里添加许可访问这个共享文件夹的用户即可。如下图所示:
这样,我们就实现了只让特定用户访问指定的共享文件夹的设置了。
其次,进一步控制共享文件访问权限,防止越权访问共享文件、防止共享文件泄密。
为了保护共享文件安全,可以设置共享文件只读禁止删除、共享文件只读禁止修改等。但是,即便这样设置也无法完全保护共享文件的安全。特别是,即便用户只有只读权限,还是可以复制共享文件内容。比如用户打开一篇word,可以轻松复制里面的内容,然后粘贴到本地的word里面,这样就实现了随意复制共享文件的目的;同时,用户也可以打开服务器上的共享文件后,通常可以轻松点击另存为,然后选择本地路径,就可以轻松将服务器的共享文件另存为本地磁盘。此外,为了工作需要,有时候需要放开共享文件的访问权限,用户就可以随意修改甚至删除共享文件了。由于服务器共享文件是远程访问,这样一旦删除就彻底删除而无法恢复了,从而使得共享文件容易被人不小心或故意删除的情况发生。
而上述这些共享文件访问权限漏洞是操作系统无法规避的。通过对域控制器的深入研究,发现也是无法通过域控制器来阻止上述访问共享文件的行为的。因此,需要借助一些文件服务器管理软件、共享文件权限设置软件来实现了。
经过网上一番搜索,发现国内专门管理共享文件访问权限的软件寥寥无几。后来,朋友推荐了一款大势至局域网共享文件管理系统(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),据说可以实现对共享文件访问权限的控制,所以就下载测试了。
下载,安装,启动,然后就看到软件的主界面,发现还是比较简单的。如下图所示:
图:大势至文件共享管理工具软件
使用也比较简单,在左侧选择共享文件夹,右侧选择要设置访问权限的账号,然后顶部在用户权限这里,勾选相应的访问权限就可以了。并且,可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件以及禁止拖拽共享文件等,全面保护服务器共享文件的安全。
另外,值得注意的是,如果你需要设置禁止复制文件、禁止复制文件内容、禁止拖拽文件、禁止另存为本地磁盘等功能,则需要将一个客户端软件放到共享文件目录下面,用户访问共享文件的时候,必须先双击运行这个客户端FileLockerMain.exe才可以访问,否则就禁止访问了。想想也可以理解,毕竟用户打开共享文件后,为了防止其另存为本地磁盘、复制共享文件内容,是需要通过客户端实时关闭另存为窗口和实时禁用剪切板的,否则是无法控制用户这些行为的。
图:大势至文件共享管理软件客户端
当然,你也可以在局域网电脑依次安装这个客户端软件,然后在IP地址框这里输入服务器的IP地址,然后点击连接就可以了,以后用户就不需要再次点击服务器上共享文件夹内的客户端了,会自动随电脑开机自动运行的。
此外,通过这个软件可以详细记录局域网用户访问共享文件的日志,详细记录读取、修改、删除、剪切、重命名、打印、另存为等等操作日志,从而便于管理员事后备查和审计。
总结:要想实现共享文件访问权限的有效管控,看来一方面需要发挥操作系统的相关设置,另一方面也需要借助相应的软件来实现。
