五个策略保障共享服务器安全
在Windows Server 2003
平台上搭建共享服务器简单易行,满足了企业数据、文件共
享的需求。但是,如果不加强管理和安全部署其往往成为网络安全最薄弱的环节。
作为管理
员,根据企业对信息安全的需求制定相应的安全策略是非常必要的。
保障共享服务器的安全,
要做好以下几方面。
、最基本的安全部署
1、采用NTFS分区格式
在共享服务器中采用 NTFS的分区格式,利用其安全性我们可以根据需要灵活定制用 户对共享文件的访问权限。另外,还可以利用
EFS加密实施对共享文件的保护,防止信息
数据的泄露。基于这样的考虑,建议服务器磁盘采用
NTFS分区格式。(图1)
窜规I共李 安全|怕)共李I自定文| 鲍弓用户名称耀):
fE CREATOR OffNEB
^Everyone
C Guest
If? f ygTTHi
KTFS权限设置添观望」毀]
允许 拒绝Administrators 的枚限匹)
允许 拒绝
完全控制 修改 读取和运行 列岀文件夹目录 读取
写入
肚 mt补 4nr?口
特别权限或高级设冒-诸单击“高顋".
特别权限或高级设冒-诸单击“高顋".
I 确定
I 确定 I
9专家网」
2、帐户密码安全
在系统安装完成之后,就应重命名
Administrator和Guest账户,然后将其密码更改为
长而复杂的值。重命名管理员和来宾用户需要在组策略中进行,具体的操作步骤:
开始7
运行”在其中输入gpedit.msc打开组策略编辑器,在左侧窗格中依次展开
安全设置本地
策略7安全选项”在右侧找到并双击打开 帐户:重命名系统管理员帐户”然后在其中输入
新的名称比如 Admin即可,Guest帐户的重命名类似。还要在每个服务器上使用不同的名 称和密码,这将有效提高公司在文件访问方面的限制功能。
二、基于AD的安全部署
1、部署活动目录(AD)将共享服务器加入到 域
对于客户端超过100个的企业,如果没有统一的目录服务,寻找任何网络资源都成为 问题,更别说后续的文件权限划分和调整了,
需要尽快升级到活动目录控制下的网络运行方
式。然后将共享服务器加入到域,通过域来控制用户对服务器的访问这样其安全性将会极大 地增强。
2、通过SCW增强共享服务器的安全性
Win dows Server 2003
通过提供安全配置向导 (Security Co nfigurati on Wizard
,简称
2dSCW)之类的新安全工具增强了安全基础结构,有助于确保服务器基于角色来设置安全性, 建议进行配置。(图2)
2d
谗算K务》痢色
这些K务韶角亀用予息用服够莽打幵潟口?一介?务曽可以执行麥拿角色.
査署迦:[灵養的轴色
3
为选定的腔每昶進择5执行换务理角色毎):
厂,Eichanc* 2003
厂,Eichanc* 2003 back-*Ctd Sirv*r
r y
旅连?曲5巌务册
(7 l> Microsoft Internet Stcuritjf And r上T辺n毗服务磊
P > f.b廉务器
P >中阖?应雋谨洋服务灯!nt)
P 少戦制署(Active DLrectory)
P3应用程序服曙聽
r £打印醸务88
[*石加±访I可丹FW喉势斋
Strif?r 昨
安全配置向导加固 文件服务的安全
三、进行磁盘配额,严格管理磁盘空间
1、NTFS磁盘配额
文件服务器如果没有限制用户的存储容量, 要是因为没有配置适当的保证措施和服务。以
必将导致文件服务器空间被大量占用。
这主
Windows Server 2003
操作系统 为例,可以
使用磁盘配额跟踪和控制 NTFS卷上的磁盘空间使用情况。磁盘配额可防止用户由于在超 过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间。
(图3)
本iftiae tt:) s性
Mi凶
常规 丨 工貝 1 酸件 安全 I卷影副本1远程存储
St状态:磁盘配赖已禳禁用
2启用配额管理边 I
为该卷上的新用户选择駅认配輙限制:
r不限制磁盘使用
金将磁盘空间限制用E)[ 将雲告等级设为
[
10陽
100丽
选择该卷的配歆记录选项:
r用戶超出配靈限制时记录事件(S) 厂用户超过雲告等级时记录爭件(Y)
配额项..
通过磁盘配额设 靈用户磁钓善寡髙 —_褊定|~念消产歸辿
lUf
2、FSRM磁盘配额
或者我们可以使用 Win dows Server 2003
提供的文件服务器资源管理器
(File Server
Resource Manager ,以下简称为FSRM),也可以实现磁盘配额功能。
(图4)
浏览
FSRH磁盘配额设置
在賂径上创建配離?)
r在現有子交件夹和新的子文件夹中自动应用棋板并刨連配额Q)
一配额黑性
1;擁町以《用来自陀匏欖的廉性,载定又S定义配额9U4.
林从此配輙兹派生關性強荐选頂)匹)
□1
配艱属性的搞要程):
限制(IDOK):爭井B宗 警告点0渤爭件B志
帮肋QI)
FSRM与NTFS的磁盘配额功能一样,采用了用户存储空间的限制功能,可以提供了 包含管理、限制、监控三种功能共计六个模板。根据公司日常文件存储的特性以及服务器实 际的磁盘空间,我们可以自行创建配额模板
(可以复制某一个模板信息),FSRM在配置配额
的空间限制”选项中指定了存储空间的大小。
四、对存储格式进行严格限制
为了保证只和工作有关的文件优先存储,就需要控制文件存储的格式, 件筛选器”功能可以有效地提高存储格式方面的管理。
FSRM
中的文
文件筛选器”中已经包含了一些模板,我们可以在这些模板中添加或修改其属性。
选类型”中,选择要应用的筛选类型,比如针对视频和音频文件等。文件类型中还包括可执 行文件、系统文件等,如果将这些文件也过滤掉,能够减少一些病毒对服务器的威胁。
5)
(图
|E: VtestVallow
文件姐
选摄要从屏厳中排除的文件组(£):
维护丈件组:创建(£)...要选捧要編輯的文件 姐 >诸突出显示其标 签.口 I衽仏e文件 回QSI画
维护丈件组:
创建(£)...
要选捧要編輯的文件 姐 >诸突出显示其标 签.
□备份立件
□电子邮件文件
□可执行文件
□临时文件
□图像立件
□网页文件
I~~I tT 十 tT 叶
文件类型筛选器设置文件格式
五、通过文件版权(证书)进行数据的保护
1、EFS加密及其加密代理
可用来数据加密的软件很多,基于
Windows操作系统平台上的共享服务器就直接用其
提供的EFS进行加密。EFS是一种基于公共密钥的加密机制,能够实时、透明地对磁盘上 的数据进行加密,那些没有正确密钥的 攻击者是无法访问这些数据的。
在正常使用时,用户 根本感觉不到它的存在。但是当其他非受权用户试图访问加密过的数据时,就会收到
访问
拒绝”的错误提示,从而进一步保护了文件的访问权限。当然,数据文件
EFS加密后一定要
备份证书导出密钥,或者可以在组策略中部署数据加密代理。
(图6)
常规]共享I安全]VUb共事I自定文I
■
4,请选择用于该文件夹的设置-
■翳孝器鐸巒誉谊问您是否将这些更改同时应甲于
「存档和骗制索引属性
厂可叹荐档文件夹?
臣为了快速攪索,允许索引服务編制该文件夹的索引(X) 压缩或加密属性
r压缩内容以便节省磁盘空间
¥尷丙翹鯉啓璽⑨
取消确定
取消
通过EFS加密增强 共享文件的屋飪
昨 I —取消罟:警r
2、RMS权限设置
造成信息的泄密。建RMS)
造成信息的泄密。建
RMS),减少泄露文档 并且权限信息加密, 分发,即使拷贝出去,
(图7)
议采用数字版权管理服务技术
(Rights Man ageme nt Services
,简称
信息的机会。在RMS中,权限伴随文档,规定信息使用的权限和条件, 强制实施文档权限,未经授权,该文档就不能修改、 复制,不能打印、 也不能打开。文件服务器搭配
RMS就可以防止企业文件被恶意泄露。
▼
?*r4a^tt L
通过RMS对文件权限限制■5 rt
▼
?*r4
a^tt L
通过RMS对文件权限限制
■5 rt配扎
afsftsp
■ a回 A MjJ
1
I > VI M £ £?*
Iff 1詢
竺Jjp氏I卫ii—J里丈林
■A'
J訐卑
?討 ?
b?审
总结:共享服务器是企业数据、文件交互的一条重要渠道,以上基于它的安全策略能够 极大地提升其其安全指数。
不过,再完善的技术策略都需要制度的支持, 只有双管齐下才能 在根本上保障共享服务器的安全。