單位最近上了一臺(tái)文件服務(wù)器，把公司以前的一些重要文件放到了上面，便于大家訪問。同時(shí)，公司也經(jīng)常會(huì)形成一些重要的文件，比如客戶資料、設(shè)計(jì)資料等，也需要存儲(chǔ)在文件服務(wù)器上，便于保全。由于這些文件是單位的無形資產(chǎn)和商業(yè)機(jī)密，并且為了工作方便還大都設(shè)置了共享。因此，保護(hù)這些共享文件的安全至關(guān)重要。

由于之前接觸過一些服務(wù)器安全設(shè)置的方法，但是針對(duì)共享文件安全管理、訪問權(quán)限設(shè)置還是比較粗淺。問了一下度娘，大概知道了需要從以下幾個(gè)方面入手：

首先，從基本的層面入手，需要在操作系統(tǒng)層面的共享文件訪問權(quán)限設(shè)置入手。

平心而論，操作系統(tǒng)的共享文件訪問權(quán)限設(shè)置功能還是非常強(qiáng)大的。這主要是通過設(shè)置不同用戶訪問共享文件的不同權(quán)限入手。一般需要兩個(gè)方面的設(shè)置：

1、 設(shè)置共享文件只讓某些用戶或某個(gè)用戶訪問。

方法如下：右鍵點(diǎn)擊共享文件，選擇屬性，然后點(diǎn)擊高級(jí)共享，然后再點(diǎn)擊權(quán)限，然后在這里首先需要?jiǎng)h除everyone權(quán)限，然后點(diǎn)擊添加，把許可訪問這個(gè)共享文件夾的用戶加入進(jìn)去即可。這樣就實(shí)現(xiàn)了只讓這個(gè)用戶訪問共享文件的目的了。

然后，同樣還是在共享屬性這里，選擇安全，然后同樣需要在這里添加許可訪問這個(gè)共享文件夾的用戶即可。如下圖所示：

這樣，我們就實(shí)現(xiàn)了只讓特定用戶訪問指定的共享文件夾的設(shè)置了。

其次，進(jìn)一步控制共享文件訪問權(quán)限，防止越權(quán)訪問共享文件、防止共享文件泄密。

為了保護(hù)共享文件安全，可以設(shè)置共享文件只讀禁止刪除、共享文件只讀禁止修改等。但是，即便這樣設(shè)置也無法完全保護(hù)共享文件的安全。特別是，即便用戶只有只讀權(quán)限，還是可以復(fù)制共享文件內(nèi)容。比如用戶打開一篇word，可以輕松復(fù)制里面的內(nèi)容，然后粘貼到本地的word里面，這樣就實(shí)現(xiàn)了隨意復(fù)制共享文件的目的；同時(shí)，用戶也可以打開服務(wù)器上的共享文件后，通?？梢暂p松點(diǎn)擊另存為，然后選擇本地路徑，就可以輕松將服務(wù)器的共享文件另存為本地磁盤。此外，為了工作需要，有時(shí)候需要放開共享文件的訪問權(quán)限，用戶就可以隨意修改甚至刪除共享文件了。由于服務(wù)器共享文件是遠(yuǎn)程訪問，這樣一旦刪除就徹底刪除而無法恢復(fù)了，從而使得共享文件容易被人不小心或故意刪除的情況發(fā)生。

而上述這些共享文件訪問權(quán)限漏洞是操作系統(tǒng)無法規(guī)避的。通過對(duì)域控制器的深入研究，發(fā)現(xiàn)也是無法通過域控制器來阻止上述訪問共享文件的行為的。因此，需要借助一些文件服務(wù)器管理軟件、共享文件權(quán)限設(shè)置軟件來實(shí)現(xiàn)了。

經(jīng)過網(wǎng)上一番搜索，發(fā)現(xiàn)國(guó)內(nèi)專門管理共享文件訪問權(quán)限的軟件寥寥無幾。后來，朋友推薦了一款大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html），據(jù)說可以實(shí)現(xiàn)對(duì)共享文件訪問權(quán)限的控制，所以就下載測(cè)試了。

下載，安裝，啟動(dòng)，然后就看到軟件的主界面，發(fā)現(xiàn)還是比較簡(jiǎn)單的。如下圖所示：

圖：大勢(shì)至文件共享管理工具軟件

使用也比較簡(jiǎn)單，在左側(cè)選擇共享文件夾，右側(cè)選擇要設(shè)置訪問權(quán)限的賬號(hào)，然后頂部在用戶權(quán)限這里，勾選相應(yīng)的訪問權(quán)限就可以了。并且，可以實(shí)現(xiàn)只讓讀取共享文件而禁止復(fù)制共享文件、只讓打開共享文件而禁止另存為本地磁盤、只讓修改共享文件而禁止刪除共享文件以及禁止拖拽共享文件等，全面保護(hù)服務(wù)器共享文件的安全。

另外，值得注意的是，如果你需要設(shè)置禁止復(fù)制文件、禁止復(fù)制文件內(nèi)容、禁止拖拽文件、禁止另存為本地磁盤等功能，則需要將一個(gè)客戶端軟件放到共享文件目錄下面，用戶訪問共享文件的時(shí)候，必須先雙擊運(yùn)行這個(gè)客戶端FileLockerMain.exe才可以訪問，否則就禁止訪問了。想想也可以理解，畢竟用戶打開共享文件后，為了防止其另存為本地磁盤、復(fù)制共享文件內(nèi)容，是需要通過客戶端實(shí)時(shí)關(guān)閉另存為窗口和實(shí)時(shí)禁用剪切板的，否則是無法控制用戶這些行為的。

圖：大勢(shì)至文件共享管理軟件客戶端

當(dāng)然，你也可以在局域網(wǎng)電腦依次安裝這個(gè)客戶端軟件，然后在IP地址框這里輸入服務(wù)器的IP地址，然后點(diǎn)擊連接就可以了，以后用戶就不需要再次點(diǎn)擊服務(wù)器上共享文件夾內(nèi)的客戶端了，會(huì)自動(dòng)隨電腦開機(jī)自動(dòng)運(yùn)行的。

此外，通過這個(gè)軟件可以詳細(xì)記錄局域網(wǎng)用戶訪問共享文件的日志，詳細(xì)記錄讀取、修改、刪除、剪切、重命名、打印、另存為等等操作日志，從而便于管理員事后備查和審計(jì)。

總結(jié)：要想實(shí)現(xiàn)共享文件訪問權(quán)限的有效管控，看來一方面需要發(fā)揮操作系統(tǒng)的相關(guān)設(shè)置，另一方面也需要借助相應(yīng)的軟件來實(shí)現(xiàn)。

最新評(píng)論