当前,很多企事业单位的局域网都配置了文件服务器,用于共享单位的一些文件供局域网用户访问。同时,员工工作当中形成的劳动成果、重要文件等也常常存储在文件服务器上,便于文件保存、协同工作等需要。这使得,企业局域网文件服务器的文件安全管理日渐重要,如何保护共享文件的安全已经成为当前网络管理的重要方面。
并且,为了大家工作的需要,企业局域网共享文件通常情况下都赋予了局域网用户访问文件服务器共享文件的较高权限,例如新建、修改等权限,这使得用户也可以同样具有了删除权限,由此员工工作中一旦不小心或故意删除共享文件,将使得企业局域网文件安全管理面临着较大的风险。
那么,企业局域网如何保护服务器共享文件的安全呢?笔者以为,可以通过以下两个方面来实现:
方法一、启用密码保护共享文件的安全、防止随意访问共享文件、随意删除共享文件的行为。
开启了“启用密码保护共享”的设置之后,当用户尝试访问您的计算机时,他们必须先键入一个凭据,该凭据是位于您计算机上的某个帐户的用户名和密码(该帐户必须带有密码才能访问)。当凭据得以验证通过后,您才可以看见可用的共享文件夹,而当您进一步访问某个文件夹时,又需要将您刚才输入的凭据与文件夹的共享访问权限进行匹配,如果有权限访问该文件夹,才能继续。(启用密码保护共享的功能不适用于域网络)
图:启用密码保护共享
因此,如果要顺利访问共享文件夹及里面的内容,除了需要确保计算机位于同一个工作组、同一网段能够互访之外,您还需要为该文件夹指定一个合适的帐户并分配权限,并且让访问者在首次弹出凭据输入框时就输入对应该帐户的凭据(用户名及密码)。下面我们结合一个实例来看看怎样正确共享与访问。
我们假设有两台PC,分别叫A和B,准备在A上创建一个共享文件夹,并使用Eric这个本地帐户进行保护,然后让B上的用户去使用计算机A上面用户Eric的凭据访问。那么,我们需要这么做:
1.在A上准备好要共享的文件夹,例如,我们创建一个名为"Share"的文件夹,然后用鼠标右击它,选择"属性",并切换到"共享"选项卡。
其实在这个选项卡的下部,我们就可以清楚地看见,当前计算机处于启用了密码保护共享的状态,用户必须具有此计算机的用户帐户和密码才能列举共享文件夹。
2.点击"高级共享"按钮,弹出高级共享配置对话框,选中"共享此文件夹"前面的复选框,然后单击"权限"按钮。
3.在弹出的权限配置对话框中,我们选中默认出现的"Everyone"组,并且删除。
注意,如果您不接着做以下步骤,而是默认就使用"Everyone"组,也是可以的,只不过访问者只要输入您本机的任何一个带密码的帐户的凭据并通过验证后,均可访问这个共享文件夹。而接着做以下步骤后,只有提供指定帐户的凭据并通过验证后才能访问共享内容。
4.我们单击"添加"按钮,在弹出的"选择用户或组"对话框中,我们键入一个本地的带有密码的用户帐户的帐户名,并且单击右侧的"检查名称"按钮。如果您输入的名称正确,那么该名称前端会被自动加上计算机名,整个名称也会加上下划线。例如,我们这里键入"Eric",检查名称后,应该是这样:
注意,在这里一定得添加一个带有密码的并且有权访问您将共享的文件(夹)的用户名,因为,在远端访问输入凭据时,空密码是不被接受的。当然,您也完全可以就添加计算机A上当前登录的这个帐户的用户名(同样要求该帐户有登录密码)。
5.我们在"选择用户或组"对话框中单击"确定",返回到权限设置对话框,我们可以进一步通过勾选的方式,决定远端用户在访问该共享时是只读的还是可以更改里面的文件的。例如,我们希望这个受密码保护的共享对于授权用户是可以进行更改删除等操作的,就可以在"完全控制"对应的"允许"列的复选框内打上勾,并且单击"确定"。
6.回到"高级共享"配置对话框后,单击"确定"按钮应用权限设置,然后我们可以关闭这个共享文件夹的属性对话框。到这里,我们就创建了一个特定用户才能访问其内容的共享了。
7.登录计算机B上的某个用户,然后打开资源管理器,在地址栏中键入UNC路径来访问A计算机。当然,这要求这两台计算机都位于工作组中并且在同一个网段内,而且启用了"网络发现"等相关设置。如果您要检查或更改这些设置,也请前往"控制面板"下的"网络和Internet"-"网络和共享中心"-"高级共享设置"。在这里,假设计算机A的计算机名为"Eric-PC",并且IP地址是"192.168.2.102",那咱们既可以在资源管理器的地址栏键入"Eric-pc"也可以键入"192.168.2.102"并回车访问。
8.此时,应该就会弹出凭据输入框啦。您可以在上下两个输入框内分别键入授权的用户名与密码。用户名需要以"计算机名用户名"的方式输入。例如之前我们在A计算机上仅对Eric用户进行了Share文件夹的授权访问,那么这里,我们需要键入"Eric-PCEric"以及对应的用户密码。
注意,如果您想每次重新连接到该共享时都要输入密码,请确保"记住我的凭据"一项前面的复选框处于清空状态。否则,下次您再连接该共享时,由于Windows保存了您的凭据,所以不会再提示您键入凭据。万一您不小心选择了记住凭据,您可以前往"控制面板"里面的"用户帐户和家庭安全"下的"凭据管理器"去删除保存的这个凭据即可。
方法二、部署专门的局域网共享访问权限设置软件、局域网共享软件、共享文件夹设置密码软件
虽然通过“启用密码保护共享”可以很大程度上保护服务器共享文件的安全,但是始终无法实现只让用户查看共享文件而禁止拷贝共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止将共享文件另存为本地。而如果无法阻止上述访问共享文件的行为,将会使得共享文件安全面临着巨大的风险。因此,这种情况下,最好部署专门的共享文件夹权限设置软件、局域网文件服务器共享软件、共享文件夹设置密码软件来实现。
例如,有一款“大势至共享文件夹管理软件”(下载地址:http://www.grabsun.com/gxwjjm.html),是一款基于B/S架构的服务器共享文件夹加密软件,只需要部署在设置共享文件的电脑或服务器,然后就可以为共享文件设置访问权限,可以设置共享文件只读而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止将共享文件另存为本地磁盘,从而极大地保护了共享文件的安全。如下图所示:
图:共享文件夹监控软件、共享文件权限设置软件
此外,通过“大势至共享文件夹管理软件”还可以设置共享文件访问密码,防止外来人员或没有共享文件访问权限的人员访问共享文件的行为。同时,还可以增加访问共享文件的用户,并且为不同用户设置访问共享文件不同权限等功能,全面保护服务器共享文件的安全。
总之,无论是通过操作系统的文件权限管理和用户权限分配功能,还是借助于第三方局域网共享文件权限设置软件,都可以实现共享文件访问控制和管理,具体采用何种举措,企事业单位可以根据自己的需要进行选择。