當(dāng)前，在企事業(yè)單位內(nèi)部局域網(wǎng)中，常常在服務(wù)器上共享一些重要的文件供局域網(wǎng)用戶(hù)使用，極大地方便了企業(yè)內(nèi)部資源、信息、文件的交換和使用。但是，由于缺乏對(duì)局域網(wǎng)用戶(hù)訪(fǎng)問(wèn)共享文件的管理和控制，使得員工訪(fǎng)問(wèn)共享文件的各種操作行為，如讀取、修改、刪除、剪切和重命名等無(wú)法有效管理和記錄，從而一旦員工私自拷貝和竊取公司的商業(yè)機(jī)密也無(wú)法進(jìn)行有效的查證和防范，同時(shí)如果員工不小心或有意刪除共享文件的行為也無(wú)法進(jìn)行有效的預(yù)防和保護(hù)，從而容易給企業(yè)帶來(lái)巨大風(fēng)險(xiǎn)和重大損失。

而如果通過(guò)服務(wù)器配置不同用戶(hù)，設(shè)定不同權(quán)限來(lái)限制員工訪(fǎng)問(wèn)共享文件的方式，由于操作極為復(fù)雜，在企業(yè)員工數(shù)量較多的情況下，工作量也極大，從而不利于有效管理共享文件、監(jiān)控共享文件的使用，也無(wú)法有效保護(hù)單位的商業(yè)機(jī)密和信息安全。因此，企事業(yè)單位迫切需要一套專(zhuān)門(mén)的共享文件監(jiān)控軟件、局域網(wǎng)共享軟件來(lái)記錄局域網(wǎng)用戶(hù)對(duì)共享文件的各種操作，同時(shí)有效防止員工有意或不小心刪除共享文件而給企業(yè)帶來(lái)的重大損失。

2. Windows服務(wù)器共享文件訪(fǎng)問(wèn)方式

2.1 使用服務(wù)器本地賬戶(hù)訪(fǎng)問(wèn)Windows服務(wù)器共享文件

通常情況下，需要將文件服務(wù)器接入局域網(wǎng)交換機(jī)，然后設(shè)置共享文件，同時(shí)創(chuàng)建本地賬戶(hù)，并為本地帳號(hào)設(shè)置共享文件的各自訪(fǎng)問(wèn)權(quán)限，局域網(wǎng)用戶(hù)訪(fǎng)問(wèn)服務(wù)器共享文件時(shí)輸入服務(wù)器本地賬戶(hù)，然后獲得相應(yīng)的共享文件訪(fǎng)問(wèn)權(quán)限。

2.2 基于Windows服務(wù)器AD域控制器訪(fǎng)問(wèn)共享文件

由于Windows域控制器在局域網(wǎng)用戶(hù)電腦使用行為管理、共享文件訪(fǎng)問(wèn)權(quán)限控制方面的重要作用，使得當(dāng)前很多企事業(yè)單位都組建了域環(huán)境，通過(guò)域控制器創(chuàng)建域帳號(hào)，并為域帳號(hào)設(shè)置共享文件訪(fǎng)問(wèn)權(quán)限的方式來(lái)實(shí)現(xiàn)對(duì)共享文件訪(fǎng)問(wèn)權(quán)限的控制。

雖然通過(guò)以上方法可以實(shí)現(xiàn)一定程度上的共享文件訪(fǎng)問(wèn)權(quán)限控制，但是由于不管是通過(guò)本地賬戶(hù)分配權(quán)限還是域控制器設(shè)置共享文件訪(fǎng)問(wèn)權(quán)限的方式，都存在一定的不足，甚至也無(wú)法有效保護(hù)共享文件的安全。

3. 大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)的安裝部署方式

大勢(shì)至局域網(wǎng)共享管理系統(tǒng)（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html）的安裝部署極為靈活簡(jiǎn)單，目前支持以下兩種部署方式：

1、直接將大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)部署在共享文件服務(wù)器上面。如下圖所示：

目前，本系統(tǒng)支持Windows XP以上所有主流的操作系統(tǒng)，并優(yōu)先推薦用戶(hù)在Windows Server 2003、2008、2012等服務(wù)器操作系統(tǒng)上安裝部署。

2、通過(guò)串接、橋接的方式部署在共享文件服務(wù)器和交換機(jī)之間。如下圖所示：

3.1 本系統(tǒng)如何實(shí)現(xiàn)共享文件訪(fǎng)問(wèn)權(quán)限控制

本系統(tǒng)基于NDIS核心層文件過(guò)濾驅(qū)動(dòng)進(jìn)行實(shí)現(xiàn)，并針對(duì)不同操作系統(tǒng)版本集成了Windows操作系統(tǒng)各個(gè)版本的NDIS版本，從而保證了系統(tǒng)的兼容性。具體處理流程如下：

其中，最上層是一個(gè)NDIS Protocol Driver，它向上提供一個(gè)Transport Driver Interface(TDI)，向下通過(guò)NDIS接口與下面的NDIS中間層的上邊界交互，NDIS中間層的下邊界通過(guò)NDIS接口與下層的NDIS交互。最后，由下層NDIS接口與物理網(wǎng)絡(luò)設(shè)備N(xiāo)etCard交互。

同時(shí)，本系統(tǒng)對(duì)共享文件訪(fǎng)問(wèn)動(dòng)作的識(shí)別基于NetBIOS協(xié)議來(lái)實(shí)現(xiàn)。為了識(shí)別用戶(hù)對(duì)共享文件的各類(lèi)動(dòng)作（比如刪除、重命名等），需要對(duì)會(huì)話(huà)層（session layer）和表示層（presentation layer）以及小部分應(yīng)用層（application layer）的協(xié)議進(jìn)行全解析；由于NetBIOS協(xié)議存在上下文，因此在會(huì)話(huà)開(kāi)始和結(jié)束的時(shí)候要對(duì)信息進(jìn)行保存，會(huì)話(huà)進(jìn)行過(guò)程中根據(jù)應(yīng)用程序設(shè)置的規(guī)則對(duì)共享文件的路徑和行為進(jìn)行判定，如果不符合權(quán)限要求，修改網(wǎng)絡(luò)包信息，使得SMB服務(wù)器拒絕訪(fǎng)問(wèn)，效果圖如下：

另外，對(duì)于用戶(hù)的其他動(dòng)作（如另存為、打印、拷貝文件內(nèi)容等），由于是在用戶(hù)已經(jīng)打開(kāi)了共享文件的情況下進(jìn)行的上述動(dòng)作，此時(shí)共享文件已經(jīng)緩存到本地磁盤(pán)，因此對(duì)用戶(hù)訪(fǎng)問(wèn)共享文件某些權(quán)限的控制需要在用戶(hù)電腦運(yùn)行客戶(hù)端（如果不運(yùn)行將會(huì)阻止其讀取共享文件），運(yùn)行客戶(hù)端后將會(huì)根據(jù)服務(wù)端配置的權(quán)限，阻止用戶(hù)的各類(lèi)行為；為了防止用戶(hù)隨意關(guān)閉軟件，采用了雙進(jìn)程保護(hù)的策略（即使用戶(hù)使用特殊技術(shù)手段結(jié)束進(jìn)程，服務(wù)端發(fā)現(xiàn)客戶(hù)端結(jié)束后，也會(huì)拒絕用戶(hù)的進(jìn)一步訪(fǎng)問(wèn)行為）。

3.2 本系統(tǒng)可以具體實(shí)現(xiàn)的共享文件訪(fǎng)問(wèn)控制功能

3.2.1本系統(tǒng)控制共享文件訪(fǎng)問(wèn)的功能列表

通過(guò)大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)可以在操作系統(tǒng)本地賬戶(hù)訪(fǎng)問(wèn)權(quán)限、域控制器之外，提供了更加簡(jiǎn)便、快捷同時(shí)也極為精細(xì)的共享文件訪(fǎng)問(wèn)權(quán)限控制。具體可以實(shí)現(xiàn)如下共享文件訪(fǎng)問(wèn)控制功能：

1、設(shè)置操作權(quán)限。禁止刪除、禁止修改、禁止復(fù)制、禁止剪切、禁止新建、禁止另存為、禁止讀取、禁止打印等。

2、IP和MAC地址綁定認(rèn)證。黑名單中的地址無(wú)法訪(fǎng)問(wèn)共享文件，如果修改了IP或MAC地址也將無(wú)法訪(fǎng)問(wèn)共享文件。

3、限制外來(lái)電腦或未經(jīng)授權(quán)的電腦訪(fǎng)問(wèn)共享文件。必須加入到許可訪(fǎng)問(wèn)白名單中的電腦才可以訪(fǎng)問(wèn)共享文件。

4、設(shè)置訪(fǎng)問(wèn)許可。用戶(hù)訪(fǎng)問(wèn)服務(wù)器共享文件時(shí)，設(shè)置其允許使用的工具和應(yīng)用列表，列表可以批量導(dǎo)入和導(dǎo)出。

5、允許設(shè)置文件白名單，可以極大降低誤攔截訪(fǎng)問(wèn)行為，并可以使得操作系統(tǒng)自動(dòng)執(zhí)行文件磁盤(pán)清理功能。

6、設(shè)置窗體黑名單。用戶(hù)訪(fǎng)問(wèn)服務(wù)器共享文件時(shí)，禁止某些窗體打開(kāi)或執(zhí)行某些動(dòng)作，列表可以批量導(dǎo)入和導(dǎo)出。

7、禁止用戶(hù)在訪(fǎng)問(wèn)共享文件時(shí)，通過(guò)QQ傳文件、FTP、郵箱、網(wǎng)盤(pán)、優(yōu)盤(pán)、移動(dòng)硬盤(pán)等方式發(fā)出去。

8、禁止在未打開(kāi)共享文件的情況下復(fù)制（拖拽）、修改、剪切服務(wù)器共享文件，保護(hù)共享文件安全。

9、禁止打開(kāi)共享文件后復(fù)制共享文件內(nèi)容、另存為本地磁盤(pán)或打印共享文件。

10、添加用戶(hù)和組。對(duì)不同的用戶(hù)和不同的組設(shè)置不同的操作權(quán)限，可以批量導(dǎo)入和導(dǎo)出。

11、記錄系統(tǒng)操作日志，包括時(shí)間、IP、MAC、用戶(hù)、機(jī)器名、域、類(lèi)型、狀態(tài)、路徑。

12、記錄用戶(hù)對(duì)服務(wù)器共享文件的訪(fǎng)問(wèn)情況，包括刪除、修改、復(fù)制、剪切、重命名、新建、打印等。

13、記錄訪(fǎng)問(wèn)者的用戶(hù)名、計(jì)算機(jī)名、IP地址、MAC地址、時(shí)間、訪(fǎng)問(wèn)類(lèi)型、狀態(tài)、路徑等。

14、日志導(dǎo)出功能?？梢詫⒈O(jiān)控日志導(dǎo)出為Excel格式，便于第三方審計(jì)，同時(shí)還可以設(shè)置自動(dòng)刪除日志功能。

15、自動(dòng)備份共享文件，并可以根據(jù)需要進(jìn)行有選擇的還原，全面保護(hù)共享文件安全。

16、防刪除功能。許可權(quán)限的用戶(hù)一旦蓄意或誤刪除共享文件，可以及時(shí)恢復(fù)。

17、隱藏共享文件。用戶(hù)在沒(méi)有讀取共享文件的權(quán)限時(shí)，可以設(shè)置隱藏共享文件。

3.2.1本系統(tǒng)控制共享文件訪(fǎng)問(wèn)的獨(dú)特、領(lǐng)先優(yōu)勢(shì)

大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)與操作系統(tǒng)、域控制器共享文件訪(fǎng)問(wèn)權(quán)限設(shè)置相比，可以實(shí)現(xiàn)如下幾個(gè)重要方面的共享文件訪(fǎng)問(wèn)權(quán)限控制：

1、允許修改共享文件，但禁止刪除共享文件，從而既方便了修改、更新共享文件，也阻止了故意或不小心刪除共享文件的行為。

2、只讓打開(kāi)共享文件而禁止將共享文件另存為本地磁盤(pán)或打印共享文件，從而防止越權(quán)訪(fǎng)問(wèn)共享文件。

3、允許讀取共享文件但禁止復(fù)制共享文件的內(nèi)容或?qū)⒐蚕砦募?fù)制到本地磁盤(pán)、拖拽到本地磁盤(pán)，從而防止了共享文件通過(guò)員工電腦泄露出去的風(fēng)險(xiǎn)。

4、在Windows本地賬戶(hù)或域控制器帳號(hào)驗(yàn)證之外，獨(dú)家提供了二次用戶(hù)校驗(yàn)功能，防止獲得訪(fǎng)問(wèn)權(quán)限的用戶(hù)電腦被其他人使用時(shí)可以通過(guò)緩存暢通無(wú)阻訪(fǎng)問(wèn)共享文件的行為，進(jìn)一步保護(hù)了共享文件的安全。

5、本系統(tǒng)支持對(duì)共享文件的訪(fǎng)問(wèn)者基于IP+MAC地址+用戶(hù)帳戶(hù)的多重綁定認(rèn)證機(jī)制，防止外來(lái)人員或本地用戶(hù)隨意修改IP和MAC地址或者使用特殊帳號(hào)訪(fǎng)問(wèn)共享文件的行為。

6、為了防止用戶(hù)通過(guò)第三方工具軟件（如郵件、網(wǎng)盤(pán)、聊天軟件發(fā)送文件等）方式將共享文件發(fā)送出去的行為，系統(tǒng)集成了“訪(fǎng)問(wèn)許可”功能，使得只有加入到管理員許可使用的“白名單”列表中的工具軟件才可以訪(fǎng)問(wèn)共享文件，從而防止通過(guò)第三方軟件越權(quán)訪(fǎng)問(wèn)共享文件的行為。

7、本系統(tǒng)可以詳細(xì)記錄局域網(wǎng)用戶(hù)訪(fǎng)問(wèn)共享文件的詳細(xì)日志，可以具體記錄訪(fǎng)問(wèn)者的訪(fǎng)問(wèn)時(shí)間、IP地址、MAC地址、主機(jī)名、登錄帳號(hào)、訪(fǎng)問(wèn)動(dòng)作、訪(fǎng)問(wèn)共享文件的具體路徑和文件名等。

3.3 本系統(tǒng)如何進(jìn)行共享文件訪(fǎng)問(wèn)權(quán)限控制

本系統(tǒng)的安裝部署極為快捷，只需要將大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)的主程序（SharedFileMonitorMain.exe）放到共享文件服務(wù)器上，然后雙擊程序即可彈出登錄窗口，輸入用戶(hù)名（默認(rèn)為admin）和密碼（默認(rèn)為123），即可看到程序的主界面，如下圖所示：

圖：輸入密碼即可登錄

圖：點(diǎn)擊“啟動(dòng)保護(hù)”即可安裝

圖：安裝成功

最新評(píng)論