文章摘要:1. 应用背景 当前,在企事业单位内部局域网中,常常在服务器上共享一些重要的文件供局域网用户使用,极大地方便了企业内部资源、信息、文件的交换和使用。但是,由于缺乏对局域网用户访问共享文件的管理和控制,使得员工访问共享文件的各种操作行为,如读取、修改、删除、剪切和重命名等无法有效管理和记录,从而一旦员工私自拷贝和窃取公司的商业机密也无法进行有效的查证和防范,同时如果员工不小心或有意删除共享文件的行
1. 应用背景
当前,在企事业单位内部局域网中,常常在服务器上共享一些重要的文件供局域网用户使用,极大地方便了企业内部资源、信息、文件的交换和使用。但是,由于缺乏对局域网用户访问共享文件的管理和控制,使得员工访问共享文件的各种操作行为,如读取、修改、删除、剪切和重命名等无法有效管理和记录,从而一旦员工私自拷贝和窃取公司的商业机密也无法进行有效的查证和防范,同时如果员工不小心或有意删除共享文件的行为也无法进行有效的预防和保护,从而容易给企业带来巨大风险和重大损失。
而如果通过服务器配置不同用户,设定不同权限来限制员工访问共享文件的方式,由于操作极为复杂,在企业员工数量较多的情况下,工作量也极大,从而不利于有效管理共享文件、监控共享文件的使用,也无法有效保护单位的商业机密和信息安全。因此,企事业单位迫切需要一套专门的共享文件监控软件、局域网共享软件来记录局域网用户对共享文件的各种操作,同时有效防止员工有意或不小心删除共享文件而给企业带来的重大损失。
2. Windows服务器共享文件访问方式
2.1 使用服务器本地账户访问Windows服务器共享文件
通常情况下,需要将文件服务器接入局域网交换机,然后设置共享文件,同时创建本地账户,并为本地帐号设置共享文件的各自访问权限,局域网用户访问服务器共享文件时输入服务器本地账户,然后获得相应的共享文件访问权限。2.2 基于Windows服务器AD域控制器访问共享文件
由于Windows域控制器在局域网用户电脑使用行为管理、共享文件访问权限控制方面的重要作用,使得当前很多企事业单位都组建了域环境,通过域控制器创建域帐号,并为域帐号设置共享文件访问权限的方式来实现对共享文件访问权限的控制。虽然通过以上方法可以实现一定程度上的共享文件访问权限控制,但是由于不管是通过本地账户分配权限还是域控制器设置共享文件访问权限的方式,都存在一定的不足,甚至也无法有效保护共享文件的安全。
3. 洞察眼局域网共享文件管理系统的安装部署方式
洞察眼局域网共享管理系统(下载地址:http://www.dongchayan.com/gongxiangwenjianshenji.html)的安装部署极为灵活简单,目前支持以下两种部署方式: 1、直接将洞察眼局域网共享文件管理系统部署在共享文件服务器上面。如下图所示:目前,本系统支持Windows XP以上所有主流的操作系统,并优先推荐用户在Windows Server 2003、2023、2023等服务器操作系统上安装部署。 2、通过串接、桥接的方式部署在共享文件服务器和交换机之间。如下图所示:
3.1 本系统如何实现共享文件访问权限控制
本系统基于NDIS核心层文件过滤驱动进行实现,并针对不同操作系统版本集成了Windows操作系统各个版本的NDIS版本,从而保证了系统的兼容性。具体处理流程如下:其中,较上层是一个NDIS Protocol Driver,它向上提供一个Transport Driver Interface(TDI),向下通过NDIS接口与下面的NDIS中间层的上边界交互,NDIS中间层的下边界通过NDIS接口与下层的NDIS交互。较后,由下层NDIS接口与物理网络设备NetCard交互。 同时,本系统对共享文件访问动作的识别基于NetBIOS协议来实现。为了识别用户对共享文件的各类动作(比如删除、重命名等),需要对会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议进行全解析;由于NetBIOS协议存在上下文,因此在会话开始和结束的时候要对信息进行保存,会话进行过程中根据应用程序设置的规则对共享文件的路径和行为进行判定,如果不符合权限要求,修改网络包信息,使得SMB服务器拒绝访问,效果图如下:
另外,对于用户的其他动作(如另存为、打印、拷贝文件内容等),由于是在用户已经打开了共享文件的情况下进行的上述动作,此时共享文件已经缓存到本地磁盘,因此对用户访问共享文件某些权限的控制需要在用户电脑运行客户端(如果不运行将会阻止其读取共享文件),运行客户端后将会根据服务端配置的权限,阻止用户的各类行为;为了防止用户随意关闭软件,采用了双进程保护的策略(即使用户使用特殊技术手段结束进程,服务端发现客户端结束后,也会拒绝用户的进一步访问行为)。
3.2 本系统可以具体实现的共享文件访问控制功能
3.2.1本系统控制共享文件访问的功能列表
通过洞察眼局域网共享文件管理系统可以在操作系统本地账户访问权限、域控制器之外,提供了更加简便、快捷同时也极为精细的共享文件访问权限控制。具体可以实现如下共享文件访问控制功能: 1、设置操作权限。禁止删除、禁止修改、禁止复制、禁止剪切、禁止新建、禁止另存为、禁止读取、禁止打印等。 2、IP和MAC地址绑定认证。黑名单中的地址无法访问共享文件,如果修改了IP或MAC地址也将无法访问共享文件。 3、限制外来电脑或未经授权的电脑访问共享文件。必须加入到许可访问白名单中的电脑才可以访问共享文件。 4、设置访问许可。用户访问服务器共享文件时,设置其允许使用的工具和应用列表,列表可以批量导入和导出。 5、允许设置文件白名单,可以极大降低误拦截访问行为,并可以使得操作系统自动执行文件磁盘清理功能。 6、设置窗体黑名单。用户访问服务器共享文件时,禁止某些窗体打开或执行某些动作,列表可以批量导入和导出。 7、禁止用户在访问共享文件时,通过QQ传文件、FTP、邮箱、网盘、优盘、移动硬盘等方式发出去。 8、禁止在未打开共享文件的情况下复制(拖拽)、修改、剪切服务器共享文件,保护共享文件安全。 9、禁止打开共享文件后复制共享文件内容、另存为本地磁盘或打印共享文件。 10、添加用户和组。对不同的用户和不同的组设置不同的操作权限,可以批量导入和导出。 11、记录系统操作日志,包括时间、IP、MAC、用户、机器名、域、类型、状态、路径。 12、记录用户对服务器共享文件的访问情况,包括删除、修改、复制、剪切、重命名、新建、打印等。 13、记录访问者的用户名、计算机名、IP地址、MAC地址、时间、访问类型、状态、路径等。 14、日志导出功能。可以将监控日志导出为Excel格式,便于第三方审计,同时还可以设置自动删除日志功能。 15、自动备份共享文件,并可以根据需要进行有选择的还原,全面保护共享文件安全。 16、防删除功能。许可权限的用户一旦蓄意或误删除共享文件,可以及时恢复。 17、隐藏共享文件。用户在没有读取共享文件的权限时,可以设置隐藏共享文件。3.2.1本系统控制共享文件访问的独特、领先优势
洞察眼局域网共享文件管理系统与操作系统、域控制器共享文件访问权限设置相比,可以实现如下几个重要方面的共享文件访问权限控制: 1、允许修改共享文件,但禁止删除共享文件,从而既方便了修改、更新共享文件,也阻止了故意或不小心删除共享文件的行为。 2、只让打开共享文件而禁止将共享文件另存为本地磁盘或打印共享文件,从而防止越权访问共享文件。 3、允许读取共享文件但禁止复制共享文件的内容或将共享文件复制到本地磁盘、拖拽到本地磁盘,从而防止了共享文件通过员工电脑泄露出去的风险。 4、在Windows本地账户或域控制器帐号验证之外,较早提供了二次用户校验功能,防止获得访问权限的用户电脑被其他人使用时可以通过缓存畅通无阻访问共享文件的行为,进一步保护了共享文件的安全。 5、本系统支持对共享文件的访问者基于IP+MAC地址+用户帐户的多重绑定认证机制,防止外来人员或本地用户随意修改IP和MAC地址或者使用特殊帐号访问共享文件的行为。 6、为了防止用户通过第三方工具软件(如邮件、网盘、聊天软件发送文件等)方式将共享文件发送出去的行为,系统集成了“访问许可”功能,使得只有加入到管理员许可使用的“白名单”列表中的工具软件才可以访问共享文件,从而防止通过第三方软件越权访问共享文件的行为。 7、本系统可以详细记录局域网用户访问共享文件的详细日志,可以具体记录访问者的访问时间、IP地址、MAC地址、主机名、登录帐号、访问动作、访问共享文件的具体路径和文件名等。3.3 本系统如何进行共享文件访问权限控制
本系统的安装部署极为快捷,只需要将洞察眼局域网共享文件管理系统的主程序(SharedFileMonitorMain.exe)放到共享文件服务器上,然后双击程序即可弹出登录窗口,输入用户名(默认为admin)和密码(默认为123),即可看到程序的主界面,如下图所示:
图:输入密码即可登录
图:点击“启动保护”即可安装
图:安装成功
在安装成功后,系统会自动扫描到本地所有的共享文件和本地账户列表。需要注意的是:当您新共享了文件或创建了新的本地账户时,需要点击共享文件列表框上面的“刷新”按钮,即可扫描到新增加的共享文件和新创建的用户列表。 同时,设置共享文件访问权限的访问也极为简单:在右侧共享文件列表框内选择共享文件夹,然后左侧用户列表框内选择要赋予访问权限的用户,然后在上面的用户访问权限列表里面勾选相应的权限,即可完成共享文件的访问权限设置。如下图所示:然后将洞察眼局域网共享文件管理系统的客户端(FileLockerMain.exe)放到共享文件目录,在启用了禁止复制文件、禁止复制文件内容、禁止另存为和禁止打印的功能的任意一个功能的情况下均需要首先双击共享目录里面的客户端方可访问共享文件,否则将无法访问共享文件。
值得注意的是:用户双击客户端(FileLockerMain.exe),将会自动后台运行,管理员需要通过热键alt+f3或alt+f5等唤出,输入默认密码(dszdsz)后方可看到客户端界面,如下图所示:
图:客户端界面
需要注意以下几点: 1、客户端密码可以在主程序的“全局配置”里面进行修改; 2、你也可以在客户端电脑运行FileLockerMain.exe,只不过需要手工输入共享文件服务器的IP地址; 3、客户端默认隐藏运行、开机自动运行,退出客户端需要输入密码,无法通过结束进程的方式退出。 4、一旦退出客户端,同时主程序在启用了高级共享控制功能(即禁止复制文件、禁止复制文件内容、禁止打印共享文件、禁止另存为)的情况下,将实时拒绝用户访问共享文件,直至用户重新打开客户端,并成功连接到文件服务器的主程序。4. 本系统功能模块
4.1 共享文件访问权限控制模块
4.1.1 细粒度共享文件访问权限的控制
本系统的集成了对共享文件所有访问操作行为的管控,同时操作日志会实时输出到软件界面,同时也会存储到系统自身的数据库中(支持MySql、SQL等主流的数据库)。 系统不仅可以禁止读取、修改、删除、剪切、重命名、打印、拖拽、另存为、复制文件、复制文件内容等,而且还可以通过绑定认证、访问许可、客户端动作屏蔽、用户身份二次识别校验以及访问日志实时查询等,全方位强化了对用户访问共享文件的控制,可以较大限度保护共享文件的安全。
图:权限列表
4.1.2 访问用户自动识别模块
系统会自动读取本地所有的用户帐户,包括管理员帐户、USER用户、GUEST账户和域用户。同时,系统也支持增加、减少、删除、清空、导出等操作,便于随时设置共享文件访问权限的用户。
图:用户列表
4.2 访问用户绑定认证模块
启用了“绑定认证”之后,局域网用户必须加入绑定列表(白名单)方可访问共享文件,否则将予以拒绝。添加方法非常简单,点击“绑定认证”,然后在下面的黑名单框内即可看到被拦截的用户,只需要鼠标单击选中,然后点击“移至白名单”即可将其加入白名单,就实时允许其访问共享文件了。
图:添加绑定认证的用户
4.3 访问许可模块
本模块主要为了防止未经授权的第三方工具软件访问共享文件,防止通过第三方软件越权访问共享文件。用户可以随时将许可的程序加入到访问许可(通过添加程序进程名字的方式即可轻松添加,例如QQ.EXE)。如下图所示:
图:添加访问许可的程序
4.3.1 客户端(FileLockerMain.exe)协同控制列表
本模块主要是为了配合主程序实现对用户访问共享文件行为的进一步控制,通过客户端(FileLockerMain.exe)可以禁止用户打开共享文件后另存为本地磁盘、禁止复制共享文件(包括打开后复制里面的内容)、禁止打印共享文件等。同时,在主程序启用二次用户校验的情况下,一旦访问者停止访问共享后再次访问共享,必须在客户端输入管理员为其预设的用户名和密码才可以再次访问共享文件,否则将拒绝其访问。如下图所示:
图:客户端
4.3.2 访问日志实时记录和事后备查模块
本系统可以详细记录局域网用户访问共享文件的详细日志,可以具体记录访问者的访问时间、IP地址、MAC地址、主机名、登录帐号、访问动作、访问共享文件的具体路径和文件名等。如下图所示:同时,本系统还会自动将日志存储到MySql数据库中(需另行安装),便于用户事后备查审计。
