大勢至局域網(wǎng)共享文件管理系統(tǒng)

技術(shù)白皮書

大勢至（北京）軟件工程有限公司

2016.12.2

1. 應(yīng)用背景

當前，在企事業(yè)單位內(nèi)部局域網(wǎng)中，常常在服務(wù)器上共享一些重要的文件供局域網(wǎng)用戶使用，極大地方便了企業(yè)內(nèi)部資源、信息、文件的交換和使用。但是，由于缺乏對局域網(wǎng)用戶訪問共享文件的管理和控制，使得員工訪問共享文件的各種操作行為，如讀取、修改、刪除、剪切和重命名等無法有效管理和記錄，從而一旦員工私自拷貝和竊取公司的商業(yè)機密也無法進行有效的查證和防范，同時如果員工不小心或有意刪除共享文件的行為也無法進行有效的預(yù)防和保護，從而容易給企業(yè)帶來巨大風險和重大損失。

而如果通過服務(wù)器配置不同用戶，設(shè)定不同權(quán)限來限制員工訪問共享文件的方式，由于操作極為復(fù)雜，在企業(yè)員工數(shù)量較多的情況下，工作量也極大，從而不利于有效管理共享文件、監(jiān)控共享文件的使用，也無法有效保護單位的商業(yè)機密和信息安全。因此，企事業(yè)單位迫切需要一套專門的共享文件監(jiān)控軟件、局域網(wǎng)共享軟件來記錄局域網(wǎng)用戶對共享文件的各種操作，同時有效防止員工有意或不小心刪除共享文件而給企業(yè)帶來的重大損失。

2. Windows服務(wù)器共享文件訪問方式

2.1 使用服務(wù)器本地賬戶訪問Windows服務(wù)器共享文件

通常情況下，需要將文件服務(wù)器接入局域網(wǎng)交換機，然后設(shè)置共享文件，同時創(chuàng)建本地賬戶，并為本地帳號設(shè)置共享文件的各自訪問權(quán)限，局域網(wǎng)用戶訪問服務(wù)器共享文件時輸入服務(wù)器本地賬戶，然后獲得相應(yīng)的共享文件訪問權(quán)限。

2.2 基于Windows服務(wù)器AD域控制器訪問共享文件

由于Windows域控制器在局域網(wǎng)用戶電腦使用行為管理、共享文件訪問權(quán)限控制方面的重要作用，使得當前很多企事業(yè)單位都組建了域環(huán)境，通過域控制器創(chuàng)建域帳號，并為域帳號設(shè)置共享文件訪問權(quán)限的方式來實現(xiàn)對共享文件訪問權(quán)限的控制。

雖然通過以上方法可以實現(xiàn)一定程度上的共享文件訪問權(quán)限控制，但是由于不管是通過本地賬戶分配權(quán)限還是域控制器設(shè)置共享文件訪問權(quán)限的方式，都存在一定的不足，甚至也無法有效保護共享文件的安全。

3. 大勢至局域網(wǎng)共享文件管理系統(tǒng)的安裝部署方式

大勢至局域網(wǎng)共享管理系統(tǒng)(下載地址:http://www.grabsun.com/gongxiangwenjianshenji.html)的安裝部署極為靈活簡單，目前支持以下兩種部署方式：

1、直接將大勢至局域網(wǎng)共享文件管理系統(tǒng)部署在共享文件服務(wù)器上面。如下圖所示：

目前，本系統(tǒng)支持WindowsXP以上所有主流的操作系統(tǒng)，并優(yōu)先推薦用戶在WindowsServer2003、2008、2012等服務(wù)器操作系統(tǒng)上安裝部署。

2、通過串接、橋接的方式部署在共享文件服務(wù)器和交換機之間。如下圖所示：

3.1 本系統(tǒng)如何實現(xiàn)共享文件訪問權(quán)限控制

本系統(tǒng)基于NDIS核心層文件過濾驅(qū)動進行實現(xiàn)，并針對不同操作系統(tǒng)版本集成了Windows操作系統(tǒng)各個版本的NDIS版本，從而保證了系統(tǒng)的兼容性。具體處理流程如下：

其中，最上層是一個NDISProtocolDriver，它向上提供一個TransportDriverInterface(TDI)，向下通過NDIS接口與下面的NDIS中間層的上邊界交互，NDIS中間層的下邊界通過NDIS接口與下層的NDIS交互。最后，由下層NDIS接口與物理網(wǎng)絡(luò)設(shè)備NetCard交互。

同時，本系統(tǒng)對共享文件訪問動作的識別基于NetBIOS協(xié)議來實現(xiàn)。為了識別用戶對共享文件的各類動作（比如刪除、重命名等），需要對會話層（sessionlayer）和表示層（presentationlayer）以及小部分應(yīng)用層（applicationlayer）的協(xié)議進行全解析；由于NetBIOS協(xié)議存在上下文，因此在會話開始和結(jié)束的時候要對信息進行保存，會話進行過程中根據(jù)應(yīng)用程序設(shè)置的規(guī)則對共享文件的路徑和行為進行判定，如果不符合權(quán)限要求，修改網(wǎng)絡(luò)包信息，使得SMB服務(wù)器拒絕訪問，效果圖如下：

另外，對于用戶的其他動作（如另存為、打印、拷貝文件內(nèi)容等），由于是在用戶已經(jīng)打開了共享文件的情況下進行的上述動作，此時共享文件已經(jīng)緩存到本地磁盤，因此對用戶訪問共享文件某些權(quán)限的控制需要在用戶電腦運行客戶端（如果不運行將會阻止其讀取共享文件），運行客戶端后將會根據(jù)服務(wù)端配置的權(quán)限，阻止用戶的各類行為；為了防止用戶隨意關(guān)閉軟件，采用了雙進程保護的策略（即使用戶使用特殊技術(shù)手段結(jié)束進程，服務(wù)端發(fā)現(xiàn)客戶端結(jié)束后，也會拒絕用戶的進一步訪問行為）。

3.2 本系統(tǒng)可以具體實現(xiàn)的共享文件訪問控制功能

3.2.1本系統(tǒng)控制共享文件訪問的功能列表

通過大勢至局域網(wǎng)共享文件管理系統(tǒng)可以在操作系統(tǒng)本地賬戶訪問權(quán)限、域控制器之外，提供了更加簡便、快捷同時也極為精細的共享文件訪問權(quán)限控制。具體可以實現(xiàn)如下共享文件訪問控制功能：

1、設(shè)置操作權(quán)限。禁止刪除、禁止修改、禁止復(fù)制、禁止剪切、禁止新建、禁止另存為、禁止讀取、禁止打印等。

2、IP和MAC地址綁定認證。黑名單中的地址無法訪問共享文件，如果修改了IP或MAC地址也將無法訪問共享文件。

3、限制外來電腦或未經(jīng)授權(quán)的電腦訪問共享文件。必須加入到許可訪問白名單中的電腦才可以訪問共享文件。

4、設(shè)置訪問許可。用戶訪問服務(wù)器共享文件時，設(shè)置其允許使用的工具和應(yīng)用列表，列表可以批量導(dǎo)入和導(dǎo)出。

5、允許設(shè)置文件白名單，可以極大降低誤攔截訪問行為，并可以使得操作系統(tǒng)自動執(zhí)行文件磁盤清理功能。

6、設(shè)置窗體黑名單。用戶訪問服務(wù)器共享文件時，禁止某些窗體打開或執(zhí)行某些動作，列表可以批量導(dǎo)入和導(dǎo)出。

7、禁止用戶在訪問共享文件時，通過QQ傳文件、FTP、郵箱、網(wǎng)盤、優(yōu)盤、移動硬盤等方式發(fā)出去。

8、禁止在未打開共享文件的情況下復(fù)制（拖拽）、修改、剪切服務(wù)器共享文件，保護共享文件安全。

9、禁止打開共享文件后復(fù)制共享文件內(nèi)容、另存為本地磁盤或打印共享文件。

10、添加用戶和組。對不同的用戶和不同的組設(shè)置不同的操作權(quán)限，可以批量導(dǎo)入和導(dǎo)出。

11、記錄系統(tǒng)操作日志，包括時間、IP、MAC、用戶、機器名、域、類型、狀態(tài)、路徑。

12、記錄用戶對服務(wù)器共享文件的訪問情況，包括刪除、修改、復(fù)制、剪切、重命名、新建、打印等。

13、記錄訪問者的用戶名、計算機名、IP地址、MAC地址、時間、訪問類型、狀態(tài)、路徑等。

14、日志導(dǎo)出功能。可以將監(jiān)控日志導(dǎo)出為Excel格式，便于第三方審計，同時還可以設(shè)置自動刪除日志功能。

15、自動備份共享文件，并可以根據(jù)需要進行有選擇的還原，全面保護共享文件安全。

16、防刪除功能。許可權(quán)限的用戶一旦蓄意或誤刪除共享文件，可以及時恢復(fù)。

17、隱藏共享文件。用戶在沒有讀取共享文件的權(quán)限時，可以設(shè)置隱藏共享文件。

3.2.1本系統(tǒng)控制共享文件訪問的獨特、領(lǐng)先優(yōu)勢

大勢至局域網(wǎng)共享文件管理系統(tǒng)與操作系統(tǒng)、域控制器共享文件訪問權(quán)限設(shè)置相比，可以實現(xiàn)如下幾個重要方面的共享文件訪問權(quán)限控制：

1、允許修改共享文件，但禁止刪除共享文件，從而既方便了修改、更新共享文件，也阻止了故意或不小心刪除共享文件的行為。

2、只讓打開共享文件而禁止將共享文件另存為本地磁盤或打印共享文件，從而防止越權(quán)訪問共享文件。

3、允許讀取共享文件但禁止復(fù)制共享文件的內(nèi)容或?qū)⒐蚕砦募?fù)制到本地磁盤、拖拽到本地磁盤，從而防止了共享文件通過員工電腦泄露出去的風險。

4、在Windows本地賬戶或域控制器帳號驗證之外，獨家提供了二次用戶校驗功能，防止獲得訪問權(quán)限的用戶電腦被其他人使用時可以通過緩存暢通無阻訪問共享文件的行為，進一步保護了共享文件的安全。

5、本系統(tǒng)支持對共享文件的訪問者基于IP+MAC地址+用戶帳戶的多重綁定認證機制，防止外來人員或本地用戶隨意修改IP和MAC地址或者使用特殊帳號訪問共享文件的行為。

6、為了防止用戶通過第三方工具軟件（如郵件、網(wǎng)盤、聊天軟件發(fā)送文件等）方式將共享文件發(fā)送出去的行為，系統(tǒng)集成了“訪問許可”功能，使得只有加入到管理員許可使用的“白名單”列表中的工具軟件才可以訪問共享文件，從而防止通過第三方軟件越權(quán)訪問共享文件的行為。

7、本系統(tǒng)可以詳細記錄局域網(wǎng)用戶訪問共享文件的詳細日志，可以具體記錄訪問者的訪問時間、IP地址、MAC地址、主機名、登錄帳號、訪問動作、訪問共享文件的具體路徑和文件名等。

3.3 本系統(tǒng)如何進行共享文件訪問權(quán)限控制

本系統(tǒng)的安裝部署極為快捷，只需要將大勢至局域網(wǎng)共享文件管理系統(tǒng)的主程序（SharedFileMonitorMain.exe）放到共享文件服務(wù)器上，然后雙擊程序即可彈出登錄窗口，輸入用戶名（默認為admin）和密碼（默認為123），即可看到程序的主界面，如下圖所示：

圖：輸入密碼即可登錄

圖：點擊“啟動保護”即可安裝

圖：安裝成功

在安裝成功后，系統(tǒng)會自動掃描到本地所有的共享文件和本地賬戶列表。需要注意的是：當您新共享了文件或創(chuàng)建了新的本地賬戶時，需要點擊共享文件列表框上面的“刷新”按鈕，即可掃描到新增加的共享文件和新創(chuàng)建的用戶列表。

最新評論