文章摘要:现在很多单位都有文件服务器,并且通常共享文件方便局域网用户访问,局域网用户也经常会存储一些文件到上面,便于实时保存文件。但是,很多单位局域网,只是简单地设置了共享,却并没有对文件服务器文件,尤其是共享文件访问权限进行有效的管控。而通常企业的共享文件常常设计到单位的无形资产和商业机密,一旦被员工不适当访问,甚至恶意操作,将会对共享文件安全造成重大隐患。那么,如何有效保护服务器共享文件的安全呢?目前,
现在很多单位都有文件服务器,并且通常共享文件方便局域网用户访问,局域网用户也经常会存储一些文件到上面,便于实时保存文件。但是,很多单位局域网,只是简单地设置了共享,却并没有对文件服务器文件,尤其是共享文件访问权限进行有效的管控。而通常企业的共享文件常常设计到单位的无形资产和商业机密,一旦被员工不适当访问,甚至恶意操作,将会对共享文件安全造成重大隐患。那么,如何有效保护服务器共享文件的安全呢? 目前,很多单位的网络管理人员,通常是在服务器上设置不同的账号,并且为这些账号分配访问服务器共享文件的不同权限,还有很多单位采用windows域控制器来设置域账号,然后为不同的域账号设置不同的访问权限,局域网用户访问共享文件必须登录域控制器的方式来实现。这虽然,较之于操作系统的共享文件设置权限较为安全,但也不足以有效真正有效地保护服务器共享文件的安全,尤其是防止越权使用,甚至故意窃取服务器共享文件的行为。 当然,还有一种有效的方法是通过部署专门的共享文件服务器管理软件来设置共享文件访问权限,例如有一款“洞察眼局域网共享文件管理系统”(http://www.dongchayan.com/gongxiangwenjianshenji.html),在共享文件服务器上安装之后,就可以自动扫描到服务器所有的共享文件,并可以扫描到服务器上所有账户,然后可以设置服务器共享文件夹和相应账户的访问权限。同时,本系统可以实现操作系统和域控制器无法实现的共享文件权限设置功能。比如,可以实现只让读取共享文件而禁止拷贝共享文件、只让修改共享文件而防止删除共享文件、只让打开共享文件而阻止另存为本地磁盘,以及禁止拖拽共享文件、禁止打印共享文件等行为,防止共享文件被上述不合理的访问行为所破坏或窃取。如下图所示:
同时,通过洞察眼局域网共享管理工具还可以详细记录局域网用户访问共享文件的日志,详细记录访问者的IP地址、MAC地址、访问操作动作等,便于管理员事后备查和审计。 目的需求:在测试环境下模拟公司现状需求,利用windows server 搭建文件服务器
工具必备:(1)vmware workstation,(2)windows server 2023 r2.iso (3)windows 7.iso
背景知识:(1)了解vmware workstation 网络设置,(2)了解NTFS权限含义
拓扑图:
实验步骤:
(1):在vmware 中分别装好win2023r2和win7系统。--(快照备份)
(2):win2023r2与win7网络设置都是一样的设置
(3)--附加说明:win2023r2默认启用icmp服务,win7等某些系统是默认关闭icmp请求的,如果其他系统在ping不通的情况下可以考虑要么双向关闭防火墙,要么双向开启icmp请求。--
win2023r2网络设置:
--------------------------------------------------------------------
win 7网络设置:
--------------------------------------------------------------------
win2023r2防火墙设置:
--------------------------------------------------------------------------------
win7防火墙设置:
----------------------------------------------------------
ping测试:
win7 ping win2023r2
-----------------------------------------------------------------
win2023r2 ping win7:
(4):将win2023r2变成域控制器,命令:dcpromo
(5):域控制器上新建分组与域用户
(6):新建共享文件夹SHARESVR等文件夹。
(7):以财务部guo域用户的的身份演示,其他的和这个一模一样。
public:再不允许删除public本身文件夹的前提下,任何域用户可以在此目录下新建和删除。一般用户共享公司内部公开的资料。
在共享选项卡中,只要设置好具体用户就行,后面的权限会自动按照安全选项卡中修改过之后变成自定义状态。
以guo的身份登录win7进行测试:
可以新建文件和删除文件。
(8):设置工程部共享给财务部(根据具体情况可以针对具体某个人或者某些人进行设置)
(9):说明:因为工程部文件夹,未对财务部进行允许权限的设置,所以,财务部人员登录系统,默认不枚举出来没有(父文件夹)权限的目录。
若父文件夹没有权限,子文件夹中某个目录需要共享出来,如上示例,可以设置高级共享。
至此,搭建文件服务器的权限基本设置已完毕。
权限总结:(1):某个文件夹,可以默认继承,从父目录一直继承到较后子目录或者(子文件)
(2):可以在(1)的中途中进行断开继承,无非就是保留之前继承的文件权限还是删除之前继承的文件权限,可以选择性进行更改。