常見案例:
1、文件服務器上的共享文件被誤刪或者惡意竄改、刪除。
2、文件服務器的存儲空間被濫用,成了員工存儲軟件的倉庫,存儲空間頻頻告急。
3、文件服務器上的文件被隨意復制,機密檔案不再安全,泄密事件時有發(fā)生。
......
諸如此類的種種案例是網絡管理員經常遇到并且非常頭痛的問題。由于文件服務器是面向整個局域網用戶開放,若不對用戶的使用權限,使用空間等方面進行限制的話,有可能一部分用戶就會在服務器上隨意存放歌曲、電影等文件,占用大量可用磁盤空間。甚至一些存有惡意的員工會更改或者修改某些共享文件,對企業(yè)造成不利影響。那如何來加固文件服務器呢?下面筆者根據自己的實踐提供如下安全策略,供大家參考。
一、基本安全計劃
1、采用NTFS分區(qū)格式
NTFS格式的安全性可以為我們在以后對共享文件的訪問權限和加密中,提供更多設置選項,建議服務器磁盤采用NTFS分區(qū)格式。(圖1)
2、帳戶密碼安全
在服務器初始化完成之后,就應重命名Administrator和Guest賬戶,然后將其密碼更改為長而復雜的值。還要在每個服務器上使用不同的名稱和密碼,這將有效提高公司在文件訪問方面的限制功能。
二、擴展安全計劃
1、部署活動目錄(AD)
對于客戶端超過100個的企業(yè),如果沒有統一的目錄服務,尋找任何網絡資源都成為問題,更別說后續(xù)的文件權限劃分和調整了,需要盡快升級到活動目錄控制下的網絡運行方式。
2、SCW增強安全性
Windows Server 2003通過提供安全配置向導(Security Configuration Wizard,簡稱SCW)之類的新安全工具增強了安全基礎結構,有助于確保服務器基于角色來設置安全性,建議進行配置。(圖2)
三、存儲空間限制計劃
1、NTFS磁盤配額
文件服務器如果沒有限制用戶的存儲容量,必將導致文件服務器空間被大量占用。這主要是因為沒有配置適當的保證措施和服務。以Windows Server 2003操作系統為例,可以使用磁盤配額跟蹤和控制NTFS卷上的磁盤空間使用情況。磁盤配額可防止用戶由于在超過指定的磁盤空間限制值時記錄事件而超出設定的磁盤空間。(圖3)
2、FSRM磁盤配額
或者我們可以使用Windows Server 2003提供的文件服務器資源管理器(File Server Resource Manager,以下簡稱為FSRM),也可以實現磁盤配額功能。(圖4)
FSRM與NTFS的磁盤配額功能一樣,采用了用戶存儲空間的限制功能,可以提供了包含管理、限制、監(jiān)控三種功能共計六個模板。根據公司日常文件存儲的特性以及服務器實際的磁盤空間,我們可以自行創(chuàng)建配額模板(可以復制某一個模板信息),FSRM在配置配額的“空間限制”選項中指定了存儲空間的大小。
四、存儲格式限制計劃
為了保證只和工作有關的文件優(yōu)先存儲,就需要控制文件存儲的格式,FSRM中的“文件篩選器”功能可以有效地提高存儲格式方面的管理。
“文件篩選器”中已經包含了一些模板,我們可以在這些模板中添加或修改其屬性。在“篩選類型”中,選擇要應用的篩選類型,比如針對視頻和音頻文件等。文件類型中還包括可執(zhí)行文件、系統文件等,如果將這些文件也過濾掉,能夠減少一些病毒對服務器的威脅。(圖5)
五、文件版權保護計劃
1、EFS加密
數據加密方面的軟件很多,在Windows操作系統上直接提供的是EFS加密。EFS是一種基于公共密鑰的加密機制,能夠實時、透明地對磁盤上的數據進行加密,那些沒有正確密鑰的攻擊者是無法訪問這些數據的。在正常使用時,用戶根本感覺不到它的存在。但是當其他非受權用戶試圖訪問加密過的數據時,就會收到“訪問拒絕”的錯誤提示,從而進一步保護了文件的訪問權限。(圖6)
2、RMS權限設置
由于移動存儲設備隨處可見,企業(yè)的重要文檔可能隨時都被復制,造成信息的泄密。建議采用數字版權管理服務技術(Rights Management Services,簡稱RMS),減少泄露文檔信息的機會。在RMS中,權限伴隨文檔,規(guī)定信息使用的權限和條件,并且權限信息加密,強制實施文檔權限,未經授權,該文檔就不能修改、復制,不能打印、分發(fā),即使拷貝出去,也不能打開。文件服務器搭配RMS就可以防止企業(yè)文件被惡意泄露。(圖7)
總結:文件服務器是企業(yè)文件交互的一條重要通道,可謂企業(yè)信息重地。它能否穩(wěn)定、安全地運行,其重要性對于企業(yè)不言而喻。以上基于文件服務器的安全策略能夠在很大程度上加固其安全,但安全無止境,需要大家共同努力。
