最近小编在公司内从事系统运维的时候,发现很多同事喜欢在自己的工作电脑上开一些共享文件夹,方便自己传输资料和文件。
windows系统自带的文件夹共享功能的确可以很方便的让主机与主机之间开展文件共享工作,但是部分用户设置文件夹共享功能的时候,权限设置过于随意,没有遵循最小权限原则设置,使得没有被授权的用户也可以访问相关资料,违反了信息安全管理要求的保密原则。
用户可以通过如下操作来自查自己的工作电脑是否存在文件夹共享权限过大的问题:
(一)在命令提示符输入net share命令,查看本机的共享文件夹
图1中表示本机总共有两个共享文件夹,用户可以根据自己当前的共享需求,保留目前仍然需要使用的共享文件夹,删除不用的共享。
(二)对共享文件夹权限检查与调整
在电脑磁盘上找到被共享的文件夹路径,如图1中的F盘下有一个名为“共享案例”的文件夹被共享。右键“共享案例”文件夹,点“属性”,选择“共享”选项卡,点击“高级共享”,
图2中将“共享此文件夹”前面的勾去掉,则表示取消文件夹共享;点击下方的“权限”可以查看本共享文件夹的具体权限,
如图3中将共享用户设置为everyone就是不安全的做法,这样的设置表示所有用户均可访问该文件夹,我们应该将共享用户设置为具体的人员或组,例如图4中的设置,仅有需要访问的人员拥有权限。
(三)删除电脑中的默认共享
很多电脑安装好系统以后,被开启了默认共享,即整个C盘、D盘、E盘直接被共享了出来,这样的设置极其容易引起我们的数据丢失。
整改方法:打开注册表,在下述路径中,找到AutoShareServer和AutoShareWKs,将值改为0,重启以后,默认共享即关闭。
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesLanmanServerParameters]
"AutoShareServer"=dword:00000000
"AutoShareWKs"=dword:00000000
企业针对局域网共享文件访问权限进行配置及管理的有效措施有哪些?
大势至局域网共享文件管理系统 (下载地址:https://www.grabsun.com/soft.html)是一款专门用于监控服务器共享文件访问日志的服务器文件管理系统,可以详细记录局域网用户对服务器共享文件的各种操作,比如打开、复制、修改、删除、剪切、打印、重命名等,可以记录访问者的IP地址、MAC地址和主机名等信息,同时还可以对重要共享文件进行保护,禁止删除共享文件、禁止复制共享文件或将共享文件拖拽到访问者自己的电脑上,从而可以有效保护共享文件的安全,保护单位无形资产和商业机密。
大势至共享文件管理系统详细功能如下:
1、实现服务器共享文件操作权限设置
系统主要功能:禁止删除共享文件、禁止修改共享文件、禁止剪切共享文件、禁止重命名共享文件、禁止新建共享文件、禁止读取共享文件、禁止复制共享文件、禁止拖拽共享文件、禁止复制共享文件内容、禁止共享文件另存为本地磁盘、禁止打印共享文件等。根据需求,可以任意组合应用。还可以限制外来电脑或未经授权的电脑访问。
2、可以实现隐藏用户无权限访问的共享文件
局域网服务器上的全部或部分共享文件(文件夹),对于一些无权访问的用户,可以设置对其隐藏,完全看不到共享文件或文件夹的名称,用户只能看到自己有权查看的共享文件。
3、共享文件操作日志监控、共享文件访问日志记录
详细记录用户和管理员对服务器共享文件的操作日志,包括删除、修改、复制、剪切、重命名、新建等行为,也包括用户名、计算机名、文件名、路径、IP地址、MAC地址等。监控日志可设置自动删除和导出。
4、禁止用户本地保存文件,只让在共享服务器上新建、修改、保存共享文件
系统可以实现类似于无盘工作站的文件保存模式,禁止用户本地新建、编辑和保存文件,一切操作都只能在文件服务器上,防止因为文件存储在本地磁盘而引发的泄密风险。
5、共享文件访问许可程序管理、只让特定软件或工具访问共享文件
用户在访问服务器共享文件时,设置其允许使用的应用程序列表,不在列表中的程序则无法打开,以防共享文件外泄。例如可以禁用QQ传文件、禁用邮箱发文件、禁止通过特殊软件打开或编辑共享文件等等。
6、禁止用户本地登录/远程桌面后越权访问共享文件
用户本地登录或通过远程桌面访问服务器共享文件后,禁止其复制粘贴到自己电脑的共享文件夹里,也可以禁止用户在远程桌面时通过磁盘模式将共享文件拖到自己的电脑磁盘里。
7、自主添加控制用户访问共享文件动作的功能。
通过本系统可以实现用户在访问服务器共享文件时,禁止某些窗体打开或禁止执行某些动作,防止共享文件外泄和被编辑破坏。例如:禁止打开“输出”窗体、禁用某些软件的“列印”动作、禁用右键菜单的“添加”动作等。
8、用户和组访问权限设置功能
系统支持自动读取局域网工作组和域用户,既可以手动添加新用户,又可以自动添加新用户,支持批量导入导出组用户,也可以批量修改组用户权限和分类,管理方式非常灵活。
9、远程用户校验功能
为防止某些具有高级权限的用户访问共享文件时,中途离开电脑,其他人用此电脑操作共享文件,或删除、或拷贝等,系统设置了远程用户校验功能,即每次打开共享文件均需要输入账号和密码,加强保护共享文件安全。
10、共享文件访问绑定认证功能
通过进行IP、MAC、用户名、机器名四重绑定,修改其中任何一项都将无法访问共享文件。防止用户修改IP、MAC或用他人账号登录访问共享文件,同时还可以限制外来电脑或未经授权的电脑访问共享文件。
11、智能容灾备份
大势至共享文件管理系统可以设置删除前自动备份,根据需要有选择地恢复某个共享文件,防止用户有意或无意删除共享文件后,造成重要数据丢失和不可恢复。
12、共享文件黑、白名单管理
系统可以对某一特定格式(后缀名)的共享文件统一设置权限,例如设置读取权限、删除权限,修改权限、新建权限等,后缀名可以手动添加,也可以批量导入或导出。
13、防止网络途径泄密共享文件的行为
通过本系统可以阻止通过邮件附件、网盘文件上传、聊天软件发送文件、FTP文件上传或论坛发帖留言等方式泄密共享文件的行为,全面保护共享文件的安全。
总之,通过大势至共享文件管理系统可以在操作系统和Windows AD域控制器之外提供强大、全面、精细的共享文件访问权限设置和共享文件访问日志记录功能,可以实现操作系统和域控制器环境无法实现的共享文件访问动作控制功能,严防通过各种途径泄密共享文件的行为,全面保护共享文件的安全,保护公司无形资产和商业机密的安全。
同时,大势至公司研发团队凭借多年的技术积淀和深厚的实践经验,可以为用户提供实时的二次定制开发服务,从而可以满足用户个性化的网络管理需要,真正帮助用户实现共享文件管理、共享文件防泄密的目的。
