五个策略保障共享服务器安全.

　五个策略保障共享服务器安全

　在Windows Server 2003

　平台上搭建共享服务器简单易行，满足了企业数据、文件共

　享的需求。但是，如果不加强管理和安全部署其往往成为网络安全最薄弱的环节。

　作为管理

　员，根据企业对信息安全的需求制定相应的安全策略是非常必要的。

　保障共享服务器的安全，

　要做好以下几方面。

　、最基本的安全部署

　1、采用NTFS分区格式

　在共享服务器中采用 NTFS的分区格式，利用其安全性我们可以根据需要灵活定制用 户对共享文件的访问权限。另外，还可以利用

　EFS加密实施对共享文件的保护，防止信息

　数据的泄露。基于这样的考虑，建议服务器磁盘采用

　NTFS分区格式。（图1）

　窜规I共李 安全|怕）共李I自定文| 鲍弓用户名称耀）：

　fE CREATOR OffNEB

　^Everyone

　C Guest

　If? f ygTTHi

　KTFS权限设置添观望」毀］

　允许 拒绝Administrators 的枚限匹）

　允许 拒绝

　完全控制 修改 读取和运行 列岀文件夹目录 读取

　写入

　肚 mt补 4nr?口

　特别权限或高级设冒-诸单击“高顋".

　特别权限或高级设冒-诸单击“高顋".

　I 确定

　I 确定 I

　9专家网」

　2、帐户密码安全

　在系统安装完成之后，就应重命名

　Administrator和Guest账户，然后将其密码更改为

　长而复杂的值。重命名管理员和来宾用户需要在组策略中进行，具体的操作步骤：

　开始7

　运行”在其中输入gpedit.msc打开组策略编辑器，在左侧窗格中依次展开

　安全设置本地

　策略7安全选项”在右侧找到并双击打开 帐户：重命名系统管理员帐户”然后在其中输入

　新的名称比如 Admin即可，Guest帐户的重命名类似。还要在每个服务器上使用不同的名 称和密码，这将有效提高公司在文件访问方面的限制功能。

　二、基于AD的安全部署

　1、部署活动目录（AD）将共享服务器加入到 域

　对于客户端超过100个的企业，如果没有统一的目录服务，寻找任何网络资源都成为 问题，更别说后续的文件权限划分和调整了，

　需要尽快升级到活动目录控制下的网络运行方

　式。然后将共享服务器加入到域，通过域来控制用户对服务器的访问这样其安全性将会极大 地增强。

　2、通过SCW增强共享服务器的安全性

　Win dows Server 2003

　通过提供安全配置向导 （Security Co nfigurati on Wizard

　，简称

　2dSCW）之类的新安全工具增强了安全基础结构，有助于确保服务器基于角色来设置安全性， 建议进行配置。（图2）

　2d

　谗算K务》痢色

　这些K务韶角亀用予息用服够莽打幵潟口?一介?务曽可以执行麥拿角色.

　査署迦：[灵養的轴色

　3

　为选定的腔每昶進择5执行换务理角色毎）:

　厂,Eichanc* 2003

　厂,Eichanc* 2003 back-*Ctd Sirv*r

　r y

　旅连?曲5巌务册

　（7 l> Microsoft Internet Stcuritjf And r上T辺n毗服务磊

　P > f.b廉务器

　P >中阖?应雋谨洋服务灯！nt）

　P 少戦制署（Active DLrectory）

　P3应用程序服曙聽

　r ￡打印醸务88

　[*石加±访I可丹FW喉势斋

　Strif?r 昨

　安全配置向导加固 文件服务的安全

　三、进行磁盘配额，严格管理磁盘空间

　1、NTFS磁盘配额

　文件服务器如果没有限制用户的存储容量, 要是因为没有配置适当的保证措施和服务。以

　必将导致文件服务器空间被大量占用。

　这主

　Windows Server 2003

　操作系统 为例，可以

　使用磁盘配额跟踪和控制 NTFS卷上的磁盘空间使用情况。磁盘配额可防止用户由于在超 过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间。

　（图3）

　本iftiae tt：） s性

　Mi凶

　常规 丨 工貝 1 酸件 安全 I卷影副本1远程存储

　St状态：磁盘配赖已禳禁用

　2启用配额管理边 I

　为该卷上的新用户选择駅认配輙限制:

　r不限制磁盘使用

　金将磁盘空间限制用E）[ 将雲告等级设为

　[

　10陽

　100丽

　选择该卷的配歆记录选项:

　r用戶超出配靈限制时记录事件（S） 厂用户超过雲告等级时记录爭件（Y）

　配额项..

　通过磁盘配额设 靈用户磁钓善寡髙 —_褊定|~念消产歸辿

　lUf

　2、FSRM磁盘配额

　或者我们可以使用 Win dows Server 2003

　提供的文件服务器资源管理器

　（File Server

　Resource Manager ，以下简称为FSRM），也可以实现磁盘配额功能。

　（图4）

　浏览

　FSRH磁盘配额设置

　在賂径上创建配離?）

　r在現有子交件夹和新的子文件夹中自动应用棋板并刨連配额Q）

　一配额黑性

　1；擁町以《用来自陀匏欖的廉性，载定又S定义配额9U4.

　林从此配輙兹派生關性強荐选頂）匹）

　□1

　配艱属性的搞要程）:

　限制（IDOK）:爭井B宗 警告点0渤爭件B志

　帮肋QI）

　FSRM与NTFS的磁盘配额功能一样，采用了用户存储空间的限制功能，可以提供了 包含管理、限制、监控三种功能共计六个模板。根据公司日常文件存储的特性以及服务器实 际的磁盘空间，我们可以自行创建配额模板

　（可以复制某一个模板信息），FSRM在配置配额

　的空间限制”选项中指定了存储空间的大小。

　四、对存储格式进行严格限制

　为了保证只和工作有关的文件优先存储，就需要控制文件存储的格式, 件筛选器”功能可以有效地提高存储格式方面的管理。

　FSRM

　中的文

　文件筛选器”中已经包含了一些模板，我们可以在这些模板中添加或修改其属性。

　选类型”中，选择要应用的筛选类型，比如针对视频和音频文件等。文件类型中还包括可执 行文件、系统文件等，如果将这些文件也过滤掉，能够减少一些病毒对服务器的威胁。

　5）

　（图

　|E： VtestVallow

　文件姐

　选摄要从屏厳中排除的文件组（￡）:

　维护丈件组：创建（￡）...要选捧要編輯的文件 姐 ＞诸突出显示其标 签.口 I衽仏e文件 回QSI画

　维护丈件组：

　创建（￡）...

　要选捧要編輯的文件 姐 ＞诸突出显示其标 签.

　□备份立件

　□电子邮件文件

　□可执行文件

　□临时文件

　□图像立件

　□网页文件

　I~~I tT 十 tT 叶

　文件类型筛选器设置文件格式

　五、通过文件版权（证书）进行数据的保护

　1、EFS加密及其加密代理

　可用来数据加密的软件很多，基于

　Windows操作系统平台上的共享服务器就直接用其

　提供的EFS进行加密。EFS是一种基于公共密钥的加密机制，能够实时、透明地对磁盘上 的数据进行加密，那些没有正确密钥的 攻击者是无法访问这些数据的。

　在正常使用时，用户 根本感觉不到它的存在。但是当其他非受权用户试图访问加密过的数据时，就会收到

　访问

　拒绝”的错误提示，从而进一步保护了文件的访问权限。当然，数据文件

　EFS加密后一定要

　备份证书导出密钥，或者可以在组策略中部署数据加密代理。

　（图6）

　常规］共享I安全］VUb共事I自定文I

　■

　4，请选择用于该文件夹的设置-

　■翳孝器鐸巒誉谊问您是否将这些更改同时应甲于

　「存档和骗制索引属性

　厂可叹荐档文件夹?

　臣为了快速攪索，允许索引服务編制该文件夹的索引（X） 压缩或加密属性

　r压缩内容以便节省磁盘空间

　￥尷丙翹鯉啓璽⑨

　取消确定

　取消

　通过EFS加密增强 共享文件的屋飪

　昨 I —取消罟:警r

　2、RMS权限设置

　造成信息的泄密。建RMS）

　造成信息的泄密。建

　RMS），减少泄露文档 并且权限信息加密， 分发，即使拷贝出去，

　（图7）

　议采用数字版权管理服务技术

　（Rights Man ageme nt Services

　，简称

　信息的机会。在RMS中，权限伴随文档，规定信息使用的权限和条件, 强制实施文档权限，未经授权，该文档就不能修改、 复制，不能打印、 也不能打开。文件服务器搭配

　RMS就可以防止企业文件被恶意泄露。

　▼

　?*r4a^tt L

　通过RMS对文件权限限制■5 rt

　▼

　?*r4

　a^tt L

　通过RMS对文件权限限制

　■5 rt配扎

　afsftsp

　■ a回 A MjJ

　1

　I > VI M ￡ ￡?*

　Iff 1詢

　竺Jjp氏I卫ii—J里丈林

　■A'

　J訐卑

　?討 ?

　b?审

　总结：共享服务器是企业数据、文件交互的一条重要渠道，以上基于它的安全策略能够 极大地提升其其安全指数。

　不过，再完善的技术策略都需要制度的支持， 只有双管齐下才能 在根本上保障共享服务器的安全。