大勢至局域網(wǎng)共享文件管理系統(tǒng)

技術(shù)白皮書

大勢至（北京）軟件工程有限公司

2016.12.2

1. 應(yīng)用背景

當(dāng)前，在企事業(yè)單位內(nèi)部局域網(wǎng)中，常常在服務(wù)器上共享一些重要的文件供局域網(wǎng)用戶使用，極大地方便了企業(yè)內(nèi)部資源、信息、文件的交換和使用。但是，由于缺乏對局域網(wǎng)用戶訪問共享文件的管理和控制，使得員工訪問共享文件的各種操作行為，如讀取、修改、刪除、剪切和重命名等無法有效管理和記錄，從而一旦員工私自拷貝和竊取公司的商業(yè)機(jī)密也無法進(jìn)行有效的查證和防范，同時(shí)如果員工不小心或有意刪除共享文件的行為也無法進(jìn)行有效的預(yù)防和保護(hù)，從而容易給企業(yè)帶來巨大風(fēng)險(xiǎn)和重大損失。

而如果通過服務(wù)器配置不同用戶，設(shè)定不同權(quán)限來限制員工訪問共享文件的方式，由于操作極為復(fù)雜，在企業(yè)員工數(shù)量較多的情況下，工作量也極大，從而不利于有效管理共享文件、監(jiān)控共享文件的使用，也無法有效保護(hù)單位的商業(yè)機(jī)密和信息安全。因此，企事業(yè)單位迫切需要一套專門的共享文件監(jiān)控軟件、局域網(wǎng)共享軟件來記錄局域網(wǎng)用戶對共享文件的各種操作，同時(shí)有效防止員工有意或不小心刪除共享文件而給企業(yè)帶來的重大損失。

2. Windows服務(wù)器共享文件訪問方式

2.1 使用服務(wù)器本地賬戶訪問Windows服務(wù)器共享文件

通常情況下，需要將文件服務(wù)器接入局域網(wǎng)交換機(jī)，然后設(shè)置共享文件，同時(shí)創(chuàng)建本地賬戶，并為本地帳號設(shè)置共享文件的各自訪問權(quán)限，局域網(wǎng)用戶訪問服務(wù)器共享文件時(shí)輸入服務(wù)器本地賬戶，然后獲得相應(yīng)的共享文件訪問權(quán)限。

2.2 基于Windows服務(wù)器AD域控制器訪問共享文件

由于Windows域控制器在局域網(wǎng)用戶電腦使用行為管理、共享文件訪問權(quán)限控制方面的重要作用，使得當(dāng)前很多企事業(yè)單位都組建了域環(huán)境，通過域控制器創(chuàng)建域帳號，并為域帳號設(shè)置共享文件訪問權(quán)限的方式來實(shí)現(xiàn)對共享文件訪問權(quán)限的控制。

雖然通過以上方法可以實(shí)現(xiàn)一定程度上的共享文件訪問權(quán)限控制，但是由于不管是通過本地賬戶分配權(quán)限還是域控制器設(shè)置共享文件訪問權(quán)限的方式，都存在一定的不足，甚至也無法有效保護(hù)共享文件的安全。

3. 大勢至局域網(wǎng)共享文件管理系統(tǒng)的安裝部署方式

大勢至局域網(wǎng)共享管理系統(tǒng)(下載地址:http://www.grabsun.com/gongxiangwenjianshenji.html)的安裝部署極為靈活簡單，目前支持以下兩種部署方式：

1、直接將大勢至局域網(wǎng)共享文件管理系統(tǒng)部署在共享文件服務(wù)器上面。如下圖所示：

目前，本系統(tǒng)支持WindowsXP以上所有主流的操作系統(tǒng)，并優(yōu)先推薦用戶在WindowsServer2003、2008、2012等服務(wù)器操作系統(tǒng)上安裝部署。

2、通過串接、橋接的方式部署在共享文件服務(wù)器和交換機(jī)之間。如下圖所示：

3.1 本系統(tǒng)如何實(shí)現(xiàn)共享文件訪問權(quán)限控制

本系統(tǒng)基于NDIS核心層文件過濾驅(qū)動進(jìn)行實(shí)現(xiàn)，并針對不同操作系統(tǒng)版本集成了Windows操作系統(tǒng)各個(gè)版本的NDIS版本，從而保證了系統(tǒng)的兼容性。具體處理流程如下：

其中，最上層是一個(gè)NDISProtocolDriver，它向上提供一個(gè)TransportDriverInterface(TDI)，向下通過NDIS接口與下面的NDIS中間層的上邊界交互，NDIS中間層的下邊界通過NDIS接口與下層的NDIS交互。最后，由下層NDIS接口與物理網(wǎng)絡(luò)設(shè)備NetCard交互。

同時(shí)，本系統(tǒng)對共享文件訪問動作的識別基于NetBIOS協(xié)議來實(shí)現(xiàn)。為了識別用戶對共享文件的各類動作（比如刪除、重命名等），需要對會話層（sessionlayer）和表示層（presentationlayer）以及小部分應(yīng)用層（applicationlayer）的協(xié)議進(jìn)行全解析；由于NetBIOS協(xié)議存在上下文，因此在會話開始和結(jié)束的時(shí)候要對信息進(jìn)行保存，會話進(jìn)行過程中根據(jù)應(yīng)用程序設(shè)置的規(guī)則對共享文件的路徑和行為進(jìn)行判定，如果不符合權(quán)限要求，修改網(wǎng)絡(luò)包信息，使得SMB服務(wù)器拒絕訪問，效果圖如下：

另外，對于用戶的其他動作（如另存為、打印、拷貝文件內(nèi)容等），由于是在用戶已經(jīng)打開了共享文件的情況下進(jìn)行的上述動作，此時(shí)共享文件已經(jīng)緩存到本地磁盤，因此對用戶訪問共享文件某些權(quán)限的控制需要在用戶電腦運(yùn)行客戶端（如果不運(yùn)行將會阻止其讀取共享文件），運(yùn)行客戶端后將會根據(jù)服務(wù)端配置的權(quán)限，阻止用戶的各類行為；為了防止用戶隨意關(guān)閉軟件，采用了雙進(jìn)程保護(hù)的策略（即使用戶使用特殊技術(shù)手段結(jié)束進(jìn)程，服務(wù)端發(fā)現(xiàn)客戶端結(jié)束后，也會拒絕用戶的進(jìn)一步訪問行為）。

3.2 本系統(tǒng)可以具體實(shí)現(xiàn)的共享文件訪問控制功能

3.2.1本系統(tǒng)控制共享文件訪問的功能列表

通過大勢至局域網(wǎng)共享文件管理系統(tǒng)可以在操作系統(tǒng)本地賬戶訪問權(quán)限、域控制器之外，提供了更加簡便、快捷同時(shí)也極為精細(xì)的共享文件訪問權(quán)限控制。具體可以實(shí)現(xiàn)如下共享文件訪問控制功能：

1、設(shè)置操作權(quán)限。禁止刪除、禁止修改、禁止復(fù)制、禁止剪切、禁止新建、禁止另存為、禁止讀取、禁止打印等。

2、IP和MAC地址綁定認(rèn)證。黑名單中的地址無法訪問共享文件，如果修改了IP或MAC地址也將無法訪問共享文件。

3、限制外來電腦或未經(jīng)授權(quán)的電腦訪問共享文件。必須加入到許可訪問白名單中的電腦才可以訪問共享文件。

4、設(shè)置訪問許可。用戶訪問服務(wù)器共享文件時(shí)，設(shè)置其允許使用的工具和應(yīng)用列表，列表可以批量導(dǎo)入和導(dǎo)出。

5、允許設(shè)置文件白名單，可以極大降低誤攔截訪問行為，并可以使得操作系統(tǒng)自動執(zhí)行文件磁盤清理功能。

6、設(shè)置窗體黑名單。用戶訪問服務(wù)器共享文件時(shí)，禁止某些窗體打開或執(zhí)行某些動作，列表可以批量導(dǎo)入和導(dǎo)出。

7、禁止用戶在訪問共享文件時(shí)，通過QQ傳文件、FTP、郵箱、網(wǎng)盤、優(yōu)盤、移動硬盤等方式發(fā)出去。

8、禁止在未打開共享文件的情況下復(fù)制（拖拽）、修改、剪切服務(wù)器共享文件，保護(hù)共享文件安全。

9、禁止打開共享文件后復(fù)制共享文件內(nèi)容、另存為本地磁盤或打印共享文件。

10、添加用戶和組。對不同的用戶和不同的組設(shè)置不同的操作權(quán)限，可以批量導(dǎo)入和導(dǎo)出。

11、記錄系統(tǒng)操作日志，包括時(shí)間、IP、MAC、用戶、機(jī)器名、域、類型、狀態(tài)、路徑。

12、記錄用戶對服務(wù)器共享文件的訪問情況，包括刪除、修改、復(fù)制、剪切、重命名、新建、打印等。

13、記錄訪問者的用戶名、計(jì)算機(jī)名、IP地址、MAC地址、時(shí)間、訪問類型、狀態(tài)、路徑等。

14、日志導(dǎo)出功能?？梢詫⒈O(jiān)控日志導(dǎo)出為Excel格式，便于第三方審計(jì)，同時(shí)還可以設(shè)置自動刪除日志功能。

15、自動備份共享文件，并可以根據(jù)需要進(jìn)行有選擇的還原，全面保護(hù)共享文件安全。

16、防刪除功能。許可權(quán)限的用戶一旦蓄意或誤刪除共享文件，可以及時(shí)恢復(fù)。

17、隱藏共享文件。用戶在沒有讀取共享文件的權(quán)限時(shí)，可以設(shè)置隱藏共享文件。

3.2.1本系統(tǒng)控制共享文件訪問的獨(dú)特、領(lǐng)先優(yōu)勢

大勢至局域網(wǎng)共享文件管理系統(tǒng)與操作系統(tǒng)、域控制器共享文件訪問權(quán)限設(shè)置相比，可以實(shí)現(xiàn)如下幾個(gè)重要方面的共享文件訪問權(quán)限控制：

1、允許修改共享文件，但禁止刪除共享文件，從而既方便了修改、更新共享文件，也阻止了故意或不小心刪除共享文件的行為。

2、只讓打開共享文件而禁止將共享文件另存為本地磁盤或打印共享文件，從而防止越權(quán)訪問共享文件。

3、允許讀取共享文件但禁止復(fù)制共享文件的內(nèi)容或?qū)⒐蚕砦募?fù)制到本地磁盤、拖拽到本地磁盤，從而防止了共享文件通過員工電腦泄露出去的風(fēng)險(xiǎn)。

4、在Windows本地賬戶或域控制器帳號驗(yàn)證之外，獨(dú)家提供了二次用戶校驗(yàn)功能，防止獲得訪問權(quán)限的用戶電腦被其他人使用時(shí)可以通過緩存暢通無阻訪問共享文件的行為，進(jìn)一步保護(hù)了共享文件的安全。

5、本系統(tǒng)支持對共享文件的訪問者基于IP+MAC地址+用戶帳戶的多重綁定認(rèn)證機(jī)制，防止外來人員或本地用戶隨意修改IP和MAC地址或者使用特殊帳號訪問共享文件的行為。

6、為了防止用戶通過第三方工具軟件（如郵件、網(wǎng)盤、聊天軟件發(fā)送文件等）方式將共享文件發(fā)送出去的行為，系統(tǒng)集成了“訪問許可”功能，使得只有加入到管理員許可使用的“白名單”列表中的工具軟件才可以訪問共享文件，從而防止通過第三方軟件越權(quán)訪問共享文件的行為。

7、本系統(tǒng)可以詳細(xì)記錄局域網(wǎng)用戶訪問共享文件的詳細(xì)日志，可以具體記錄訪問者的訪問時(shí)間、IP地址、MAC地址、主機(jī)名、登錄帳號、訪問動作、訪問共享文件的具體路徑和文件名等。

3.3 本系統(tǒng)如何進(jìn)行共享文件訪問權(quán)限控制

本系統(tǒng)的安裝部署極為快捷，只需要將大勢至局域網(wǎng)共享文件管理系統(tǒng)的主程序（SharedFileMonitorMain.exe）放到共享文件服務(wù)器上，然后雙擊程序即可彈出登錄窗口，輸入用戶名（默認(rèn)為admin）和密碼（默認(rèn)為123），即可看到程序的主界面，如下圖所示：

圖：輸入密碼即可登錄

圖：點(diǎn)擊“啟動保護(hù)”即可安裝

圖：安裝成功

在安裝成功后，系統(tǒng)會自動掃描到本地所有的共享文件和本地賬戶列表。需要注意的是：當(dāng)您新共享了文件或創(chuàng)建了新的本地賬戶時(shí)，需要點(diǎn)擊共享文件列表框上面的“刷新”按鈕，即可掃描到新增加的共享文件和新創(chuàng)建的用戶列表。

同時(shí)，設(shè)置共享文件訪問權(quán)限的訪問也極為簡單：在右側(cè)共享文件列表框內(nèi)選擇共享文件夾，然后左側(cè)用戶列表框內(nèi)選擇要賦予訪問權(quán)限的用戶，然后在上面的用戶訪問權(quán)限列表里面勾選相應(yīng)的權(quán)限，即可完成共享文件的訪問權(quán)限設(shè)置。如下圖所示：

然后將大勢至局域網(wǎng)共享文件管理系統(tǒng)的客戶端（FileLockerMain.exe）放到共享文件目錄，在啟用了禁止復(fù)制文件、禁止復(fù)制文件內(nèi)容、禁止另存為和禁止打印的功能的任意一個(gè)功能的情況下均需要首先雙擊共享目錄里面的客戶端方可訪問共享文件，否則將無法訪問共享文件。

值得注意的是：用戶雙擊客戶端（FileLockerMain.exe），將會自動后臺運(yùn)行，管理員需要通過熱鍵alt+f3或alt+f5等喚出，輸入默認(rèn)密碼（dszdsz）后方可看到客戶端界面，如下圖所示：

圖：客戶端界面

需要注意以下幾點(diǎn)：

1、客戶端密碼可以在主程序的“全局配置”里面進(jìn)行修改；

2、你也可以在客戶端電腦運(yùn)行FileLockerMain.exe，只不過需要手工輸入共享文件服務(wù)器的IP地址；

3、客戶端默認(rèn)隱藏運(yùn)行、開機(jī)自動運(yùn)行，退出客戶端需要輸入密碼，無法通過結(jié)束進(jìn)程的方式退出。

4、一旦退出客戶端，同時(shí)主程序在啟用了高級共享控制功能（即禁止復(fù)制文件、禁止復(fù)制文件內(nèi)容、禁止打印共享文件、禁止另存為）的情況下，將實(shí)時(shí)拒絕用戶訪問共享文件，直至用戶重新打開客戶端，并成功連接到文件服務(wù)器的主程序。

4. 本系統(tǒng)功能模塊

4.1 共享文件訪問權(quán)限控制模塊

4.1.1 細(xì)粒度共享文件訪問權(quán)限的控制

本系統(tǒng)的集成了對共享文件所有訪問操作行為的管控，同時(shí)操作日志會實(shí)時(shí)輸出到軟件界面，同時(shí)也會存儲到系統(tǒng)自身的數(shù)據(jù)庫中（支持MySql、SQL等主流的數(shù)據(jù)庫）。

系統(tǒng)不僅可以禁止讀取、修改、刪除、剪切、重命名、打印、拖拽、另存為、復(fù)制文件、復(fù)制文件內(nèi)容等，而且還可以通過綁定認(rèn)證、訪問許可、客戶端動作屏蔽、用戶身份二次識別校驗(yàn)以及訪問日志實(shí)時(shí)查詢等，全方位強(qiáng)化了對用戶訪問共享文件的控制，可以最大限度保護(hù)共享文件的安全。

圖：權(quán)限列表

4.1.2訪問用戶自動識別模塊

系統(tǒng)會自動讀取本地所有的用戶帳戶，包括管理員帳戶、USER用戶、GUEST賬戶和域用戶。同時(shí)，系統(tǒng)也支持增加、減少、刪除、清空、導(dǎo)出等操作，便于隨時(shí)設(shè)置共享文件訪問權(quán)限的用戶。

圖：用戶列表

4.2 訪問用戶綁定認(rèn)證模塊

啟用了“綁定認(rèn)證”之后，局域網(wǎng)用戶必須加入綁定列表（白名單）方可訪問共享文件，否則將予以拒絕。添加方法非常簡單，點(diǎn)擊“綁定認(rèn)證”，然后在下面的黑名單框內(nèi)即可看到被攔截的用戶，只需要鼠標(biāo)單擊選中，然后點(diǎn)擊“移至白名單”即可將其加入白名單，就實(shí)時(shí)允許其訪問共享文件了。

圖：添加綁定認(rèn)證的用戶

4.3 訪問許可模塊

本模塊主要為了防止未經(jīng)授權(quán)的第三方工具軟件訪問共享文件，防止通過第三方軟件越權(quán)訪問共享文件。用戶可以隨時(shí)將許可的程序加入到訪問許可（通過添加程序進(jìn)程名字的方式即可輕松添加，例如QQ.EXE）。如下圖所示：

圖：添加訪問許可的程序

4.3.1 客戶端（FileLockerMain.exe）協(xié)同控制列表

本模塊主要是為了配合主程序?qū)崿F(xiàn)對用戶訪問共享文件行為的進(jìn)一步控制，通過客戶端（FileLockerMain.exe）可以禁止用戶打開共享文件后另存為本地磁盤、禁止復(fù)制共享文件（包括打開后復(fù)制里面的內(nèi)容）、禁止打印共享文件等。同時(shí)，在主程序啟用二次用戶校驗(yàn)的情況下，一旦訪問者停止訪問共享后再次訪問共享，必須在客戶端輸入管理員為其預(yù)設(shè)的用戶名和密碼才可以再次訪問共享文件，否則將拒絕其訪問。如下圖所示：

圖：客戶端

4.3.2 訪問日志實(shí)時(shí)記錄和事后備查模塊

本系統(tǒng)可以詳細(xì)記錄局域網(wǎng)用戶訪問共享文件的詳細(xì)日志，可以具體記錄訪問者的訪問時(shí)間、IP地址、MAC地址、主機(jī)名、登錄帳號、訪問動作、訪問共享文件的具體路徑和文件名等。如下圖所示：

同時(shí)，本系統(tǒng)還會自動將日志存儲到MySql數(shù)據(jù)庫中（需另行安裝），便于用戶事后備查審計(jì)。

4.3.2.1.大勢至局域網(wǎng)共享文件管理系統(tǒng)特點(diǎn)

大勢至局域網(wǎng)共享文件管理系統(tǒng)基于Windows操作系統(tǒng)NDIS核心層驅(qū)動建構(gòu)，并通過對局域網(wǎng)文件傳輸基礎(chǔ)協(xié)議SMB、SMB2的深度解析來實(shí)現(xiàn)。其主要特點(diǎn)如下：

安裝部署極為快捷簡便：本系統(tǒng)基于免安裝的純綠色軟件形態(tài)構(gòu)建，用戶只需要將本系統(tǒng)程序復(fù)制到共享文件服務(wù)器上，雙擊即可啟動。進(jìn)入系統(tǒng)后，點(diǎn)擊“啟動保護(hù)”即可啟動保護(hù)，無需改變服務(wù)器配置，也不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。同時(shí)，系統(tǒng)會自動掃描到當(dāng)前電腦共享文件列表和用戶列表，無需用戶單獨(dú)配置。

配置共享文件訪問權(quán)限非常簡單：系統(tǒng)基于可視化的圖形界面操作方式，用戶只需要在共享文件列表框內(nèi)單擊選擇共享文件，左側(cè)用戶列表單擊選擇用戶（支持對用戶組設(shè)置權(quán)限），然后在“用戶權(quán)限”這里勾選相應(yīng)的權(quán)限，就可以完成共享文件的訪問權(quán)限設(shè)置，操作極為簡單快捷。

用戶訪問共享文件的速度極快：由于系統(tǒng)基于NDIS核心層驅(qū)動進(jìn)行過濾和傳輸，并通過底層的SMB、SMB2協(xié)議進(jìn)行訪問操作行為識別，使得用戶訪問共享文件的速度極快，幾乎和未安裝本系統(tǒng)之前相同。

實(shí)現(xiàn)共享文件全方位的安全防護(hù)：系統(tǒng)通過對用戶登錄賬戶、IP地址、MAC地址的識別，以及通過綁定認(rèn)證、訪問許可、二次用戶校驗(yàn)、客戶端協(xié)同控制、窗口黑名單等多重安全防護(hù)機(jī)制，可以為共享文件安全防護(hù)提供全方位的安全防護(hù)，最大限度保護(hù)了共享文件的安全。

完美支持Windows本地賬戶策略和AD域控制器：系統(tǒng)可以與Windows本地賬戶權(quán)限控制和域控制器對域帳號的權(quán)限控制進(jìn)行完美對接，不僅充分發(fā)揮了操作系統(tǒng)本地賬戶和域控制器在共享文件訪問控制權(quán)限訪問的基本作用，而且彌補(bǔ)了其不足，提供了疊加的、更加精細(xì)和嚴(yán)密的共享文件訪問權(quán)限控制，真正幫助用戶實(shí)現(xiàn)共享文件管理和安全防護(hù)的目的。

詳盡的共享文件訪問日志記錄：系統(tǒng)可以詳細(xì)記錄訪問時(shí)間、IP地址、MAC地址、登錄名、計(jì)算機(jī)名、訪問共享文件的動作、訪問的具體文件和路徑等等，而且還會實(shí)時(shí)輸出當(dāng)前用戶訪問共享文件的日志情況，并且還可以將訪問日志存儲到數(shù)據(jù)庫中，便于用戶事后備查審計(jì)。

5. 成功案例

中國郵電器材集團(tuán)公司

北京熱力集團(tuán)

河北聯(lián)通公司

中國電信科學(xué)研究院

北京電力科學(xué)研究院

中國電子工程設(shè)計(jì)院

中國儀器集團(tuán)有限公司

中國電通廣告公司

大勢至（北京）軟件工程有限公司

官網(wǎng)：www.grabsun.com

服務(wù)熱線：4007-06-05-04

銷售熱線：010-62656060

技術(shù)支持：010-82825062

郵箱：grabsun@grabsun.com

最新評論