現在很多企業(yè)局域網都有文件服務器，并且經常把單位一些重要文件放到文件服務器上共享給局域網用戶訪問使用，這雖然實現了資源共享，便于大家協同工作。但也使得單位共享文件存在隨意訪問、越權訪問的風險，容易導致服務器共享文件泄露。因此，我們必須采取有效的舉措，保護服務器共享文件的安全。

通常情況下，網管員都是通過操作系統的文件共享權限來限制用戶訪問共享文件的行為，比如只讀、禁止刪除等。雖然可以起到一定的安全防護作用，但也使得用戶的訪問權限受限，不利于一些工作的開展。有些單位會通過域控制器進一步管理局域網用戶訪問共享文件的行為，設置共享文件訪問權限。但因為域控制器的設置較為復雜，同時也不能完全保護共享文件的安全，因此使得當前國內各行業(yè)企事業(yè)單位在服務器共享文件權限設置、局域網共享文件訪問控制方面始終存在著漏洞和風險。

當前共享文件安全管理的不足集中在以下幾個方面：

1、 允許用戶讀取共享文件時無法阻止用戶復制共享文件內容、無法阻止用戶將共享文件另存為本地磁盤、打印共享文件、拖動共享文件等行為；

2、 允許用戶修改共享文件時，無法阻止用戶不小心或故意刪除共享文件的行為，從而使得共享文件存在著巨大風險；

3、 外來用戶私自接入單位局域網后，通過一定的手段獲得了服務器共享文件的訪問權限，極容易導致企業(yè)機密文件泄露的風險。

而上述服務器共享文件管理的漏洞是無法通過操作系統或Windows AD域控制器所能管控的，必須借助第三方軟件才可以實現。

目前，國內可以管理服務器共享文件安全、設置共享文件訪問權限的軟件不是很多。筆者直到有一款“大勢至局域網共享文件管理系統”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html），在服務器安裝之后，就可以自動掃描到所有共享文件夾，以及服務器上所有賬戶，然后就可以為不同共享文件夾設置不同賬戶訪問共享文件的權限。如下圖所示：

圖：大勢至共享文件夾權限設置軟件

通過本系統可以實現只讓讀取共享文件而禁止拷貝共享文件內容、只讓打開共享文件而禁止另存為本地磁盤、只讓修改共享文件而禁止刪除共享文件等，以及禁止拖動共享文件、禁止打印共享文件等，從而全面保護共享文件安全，防止共享文件泄密的風險發(fā)生。

同時，本系統還可以詳細記錄共享文件訪問日志，便于管理員事后備查和審計。如下圖所示：

此外，本系統還可以根據訪問者的MAC地址來設置訪問權限，從而進一步精確了對用戶訪問共享文件權限的控制。如下圖所示：

圖：以MAC模式控制共享文件訪問

總之，服務器共享文件管理十分重要，這一方面需要充分發(fā)揮操作系統、域控制器等共享文件訪問權限設置的相關功能，另一方面也需要借助一些局域網共享文件管理軟件來進一步強化共享文件管理，這樣才可以有效保護服務器共享文件的安全，防止共享文件泄密事件的發(fā)生。

最新評論