作為單位管理員，依據(jù)共享數(shù)據(jù)的重要程度，部署合適的安全策略，讓共享數(shù)據(jù)安全無憂是相當(dāng)有必要的。

基本部署要求

首先將共享數(shù)據(jù)所在磁盤分區(qū)轉(zhuǎn)換成NTFS格式。這種分區(qū)格式有利于管理員靈活為共享數(shù)據(jù)按需指定訪問權(quán)限，而且能通過服務(wù)器系統(tǒng)自帶的EFS技術(shù)實施對重要數(shù)據(jù)的安全保護，避免重要數(shù)據(jù)的安全泄密，所以使用NTFS格式的磁盤分區(qū)保護重要共享數(shù)據(jù)，是確保數(shù)據(jù)訪問安全的最基本要求。當(dāng)發(fā)現(xiàn)保存重要共享數(shù)據(jù)的磁盤分區(qū)沒有使用NTFS格式時，我們不妨依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中輸入“convert X:/fs:ntfs /v”命令，將指定磁盤分區(qū)轉(zhuǎn)換成NTFS格式。

其次嚴(yán)格管控好賬號密碼。在服務(wù)器系統(tǒng)成功安裝好后，必須及時為來賓賬號和管理員賬號重命名，同時將其密碼內(nèi)容調(diào)整為更復(fù)雜、更長的值。例如，在重命名administrator賬號名稱時，可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在組策略編輯窗口左側(cè)列表，逐一展開“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項”節(jié)點，在目標(biāo)節(jié)點下找到“帳戶：重命名系統(tǒng)管理員帳戶”組策略，用鼠標(biāo)雙擊該組策略選項，打開如圖1所示的選項設(shè)置框。在這里輸入新的系統(tǒng)管理員名稱，點擊“確定”按鈕保存設(shè)置即可。同樣地，可以為來賓賬號重新命名一個合適的賬號名稱。

在強制用戶使用復(fù)雜密碼時，可以逐一點選“開始”、“運行”命令，打開系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略控制臺窗口；將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”節(jié)點上，在目標(biāo)節(jié)點右側(cè)區(qū)域，雙擊“密碼必須符合復(fù)雜性要求”選項，彈出選項設(shè)置框，選中“已啟用”選項，確認(rèn)后保存設(shè)置操作。這樣，日后管理員必須為訪問賬號設(shè)置復(fù)雜密碼，才能通過服務(wù)器系統(tǒng)的復(fù)雜性要求。此外，為了保護重要數(shù)據(jù)所在系統(tǒng)的登錄安全，我們應(yīng)該定期變化登錄密碼內(nèi)容。要做到這一點，不妨依次展開“本地計算機策略”、“計算機配置”、“Windows 設(shè) 置”、“安 全設(shè)置”、“賬戶策略”、“密碼策略”節(jié)點，在目標(biāo)節(jié)點右側(cè)區(qū)域，雙擊“密碼最長使用期限”組策略，切換到對應(yīng)組策略屬性對話框中，在其中設(shè)置好密碼變化的間隔時間，例如輸入“30”，按“確定”按鈕后，系統(tǒng)會每隔30天就提示用戶立即更改密碼內(nèi)容。

還有一點需要防止使用空白密碼。使用空白的系統(tǒng)登錄密碼，容易給重要數(shù)據(jù)所在系統(tǒng)登錄帶來潛在的安全威脅，所以，為了保護重要共享數(shù)據(jù)安全，我們應(yīng)該進行下面的操作，嚴(yán)格禁止使用空白密碼：依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，展開系統(tǒng)組策略控制臺窗口。將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項”節(jié)點上；在目標(biāo)節(jié)點下雙擊“帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄”選項，打開對應(yīng)選項屬性對話框，將“已啟用”選項選中，確認(rèn)后保存設(shè)置即可。

第三禁止磁盤自動運行。默認(rèn)狀態(tài)下，將可移動存儲設(shè)備插入到服務(wù)器系統(tǒng)，Windows系統(tǒng)會自動播放其中的內(nèi)容，不少惡意程序往往會通過該功能，威脅服務(wù)器平臺數(shù)據(jù)的安全。為此，我們需要禁止磁盤分區(qū)的自動播放功能，下面就是具體的操作步驟：依次單擊“開始”、“運行”選項，彈出系統(tǒng)運行框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“管理模板”、“系統(tǒng)”節(jié)點上，雙擊“關(guān)閉自動播放”組策略，選中“已啟用”選項，同時從關(guān)閉自動播放列表中選擇移動存儲設(shè)備或所有磁盤分區(qū)，確認(rèn)后退出設(shè)置對話框即可。

高級部署要求

首先使用活動目錄。在上網(wǎng)終端數(shù)量較多的局域網(wǎng)環(huán)境中，要是無法提供統(tǒng)一的目錄服務(wù)，那么想要快速找到重要共享數(shù)據(jù)將成為問題，更不要說重要數(shù)據(jù)的共享權(quán)限分配和劃分了。只有部署使用活動目錄，改變網(wǎng)絡(luò)訪問方式，同時將重要數(shù)據(jù)所在的共享服務(wù)器添加到特定域中，才能通過域的強大控制功能增強重要共享數(shù)據(jù)的安全訪問性。

其次使用配置向?qū)Ъ庸贪踩o論是Windows Server 2003系統(tǒng)還是Windows Server 2008系統(tǒng)，都支持安全配置向?qū)Чδ?，善于使用該功能，有利于服?wù)器平臺基于角色來設(shè)置重要數(shù)據(jù)的訪問安全性。

第三加強對數(shù)據(jù)訪問的安全監(jiān)控。用戶對服務(wù)器系統(tǒng)數(shù)據(jù)所進行的每一次訪問，都會被系統(tǒng)日志文件自動記憶下來，善于分析利用日志文件，能及時知道用戶訪問數(shù)據(jù)的時間、地址、內(nèi)容等，也能知道客戶端訪問目標(biāo)、使用協(xié)議以及所用瀏覽器類型等，合理使用日志分析結(jié)果，有利于系統(tǒng)管理員作出更好的安全決策。例如，通過查看系統(tǒng)日志文件，管理員可以及時了解有沒有惡意用戶對重要共享數(shù)據(jù)所在的主機系統(tǒng)進行過入侵，一旦發(fā)生入侵攻擊，系統(tǒng)日志都會將其自動監(jiān)控記憶下來。日后，仔細(xì)查找攻擊痕跡，就能知道惡意用戶的攻擊手法、攻擊習(xí)慣以及其他一些攻擊操作等，這些都有利于系統(tǒng)管理員及時采取針對性措施，有效防范非法攻擊的再次光臨。有豐富經(jīng)驗的系統(tǒng)管理員，都會養(yǎng)成查看分析數(shù)據(jù)服務(wù)器系統(tǒng)日志的習(xí)慣，以便從中判斷重要數(shù)據(jù)是否被偷偷訪問，對應(yīng)主機系統(tǒng)是否發(fā)生意外關(guān)機等等。

為了在第一時間發(fā)現(xiàn)服務(wù)器的數(shù)據(jù)異?，F(xiàn)象，我們可以基于系統(tǒng)的日志功能，對重要共享數(shù)據(jù)加強監(jiān)控報警。例如，在Windows Server 2008服務(wù)器系統(tǒng)中，要對保存在服務(wù)器系統(tǒng)“F:aaa”文件夾中的數(shù)據(jù)進行監(jiān)控報警時，可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，開啟組策略編輯器運行狀態(tài)。在該編輯窗口左側(cè)列表中，依次展開“本地計算機策略”、“計算機配 置”、“Windows 設(shè) 置”、“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點，雙擊該節(jié)點下的“審核對象訪問”組策略，彈出組策略屬性對話框，選中“成功”、“失敗”選項，單擊“確定”按鈕保存設(shè)置操作。

之后進入系統(tǒng)資源管理器窗口，打開“F:aaa”文件夾右鍵菜單，點擊其中的“屬性”命令，選擇“安全”標(biāo)簽，按下對應(yīng)標(biāo)簽頁面中的“高級”按鈕，切換到高級安全設(shè)置對話框，在審核標(biāo)簽設(shè)置頁面中，點擊“添加”按鈕，選中并添加自己熟悉的用戶賬號，確認(rèn)后回到審核項目列表界面，在這里對“讀取”、“讀取擴展屬性”等操作的成功、失敗事件進行審核。

接下來對服務(wù)器中的“F:aaa”文件夾進行一次訪問，訪問記錄會被系統(tǒng)日志功能自動監(jiān)控下來。進入事件查看器窗口，選中之前生成的對“F:aaa”文件夾的訪問記錄，打開該事件記錄的右鍵菜單，點擊“將任務(wù)附加到此事件”命令，展開基本任務(wù)創(chuàng)建向?qū)υ捒颍c擊“下一步”按鈕，單擊“確定”按鈕后，選中“顯示消息”選項，輸入監(jiān)控報警提示標(biāo)題和報警內(nèi)容，單擊“確定”按鈕就能實現(xiàn)對重要共享數(shù)據(jù)的監(jiān)控報警。

善用磁盤配額

要是重要數(shù)據(jù)所在主機系統(tǒng)對用戶存儲數(shù)據(jù)的容量不進行限制，那么對應(yīng)主機系統(tǒng)的存儲空間很快會被消耗殆盡，從而可能會影響數(shù)據(jù)訪問的穩(wěn)定性。為了避免這種情況發(fā)生，我們可以利用服務(wù)器系統(tǒng)自帶的磁盤配額功能，監(jiān)控和管理數(shù)據(jù)占用磁盤空間的情況，該功能可以有效預(yù)防惡意用戶過度占用寶貴磁盤空間。

以Windows Server 2003系統(tǒng)為例，在限制用戶使用磁盤空間時，先進入我的電腦窗口，找到需要讓其他用戶保存重要數(shù)據(jù)的磁盤分區(qū)，打開該磁盤分區(qū)的右鍵菜單，點擊“屬性”命令，單擊屬性對話框中的“配額”選項卡，展開磁盤配額選項設(shè)置頁面。選中“啟用配額管理”、“拒絕將磁盤空間給超過配額限制的用戶”等選項，再在“磁盤空間控制限為”位置處輸入合適數(shù)值，正常來說，應(yīng)該將該數(shù)值輸入為200M左右，將警告等級輸入為180M左右，這樣服務(wù)器系統(tǒng)中新創(chuàng)建的用戶日后只能獲得200M大小的磁盤使用空間，同時使用空間超過180M時，系統(tǒng)還會及時發(fā)出報警提示。

要想針對特定用戶限制其數(shù)據(jù)占用磁盤空間，不妨點擊“配額項”按鈕，在其后界面中逐一單擊“配額”、“新建配額項”命令，切換到用戶選擇對話框，選擇并導(dǎo)入某個可信用戶，按下“確定”按鈕，在“磁盤空間控制限為”設(shè)置項處輸入具體數(shù)值。這樣，日后指定用戶在本地計算機中存取數(shù)據(jù)時，就無法隨意占用寶貴的磁盤空間了。值得注意的是，保存重要數(shù)據(jù)的磁盤分區(qū)必須使用NTFS文件格式，否則磁盤配額功能無法控制重要數(shù)據(jù)。要是特定磁盤分區(qū)使用的不是NTFS格式，可以通過“convert X: /fs:NTFS”命令來實現(xiàn)磁盤分區(qū)格式轉(zhuǎn)換。

使用EFS保護數(shù)據(jù)

為了防止非授權(quán)用戶隨意訪問重要共享數(shù)據(jù)，造成數(shù)據(jù)泄密事件發(fā)生，我們可以在基于Windows系統(tǒng)的服務(wù)器平臺上，使用其自帶的EFS技術(shù)，來保護重要共享數(shù)據(jù)的訪問安全！該技術(shù)是針對NTFS格式數(shù)據(jù)的一種基于公鑰策略的加密機制，可以實時對磁盤中的重要數(shù)據(jù)進行加密保護，那些沒有合法密鑰的用戶是不能訪問它們的。而在正常的數(shù)據(jù)訪問過程中，合法用戶根本覺察不到它的存在，非法用戶訪問時，會遇到“訪問拒絕”的錯誤提示，這樣數(shù)據(jù)訪問權(quán)限就能得到很好控制。

使用EFS技術(shù)保護重要共享數(shù)據(jù)時，必須先將它們保存到NTFS格式分區(qū)中，之后打開系統(tǒng)資源管理器窗口，選中重要數(shù)據(jù)文件夾，從彈出的右鍵菜單中點擊“屬性”命令，展開重要數(shù)據(jù)文件夾屬性框。點擊“常規(guī)”標(biāo)簽，單擊對應(yīng)標(biāo)簽頁面中的“高級”按鈕，切換到高級對話框。選中“壓縮或加密屬性”設(shè)置項處的“加密內(nèi)容以便保護數(shù)據(jù)”選項，單擊“確定”按鈕后選中“將更改應(yīng)用于此文件夾、子文件夾和文件”選項，再次確認(rèn)保存設(shè)置操作。這時，加密成功的數(shù)據(jù)文件名稱，會以綠色字符顯示出來，根據(jù)這種顯示狀態(tài)，可以直接識別出服務(wù)器中的哪些數(shù)據(jù)已被EFS加密。

對重要數(shù)據(jù)進行EFS加密后，服務(wù)器系統(tǒng)會自動生成獨立安全證書，只要不刪除它，它就能始終發(fā)揮保護作用。例如，當(dāng)對“aaa”數(shù)據(jù)文件夾進行EFS加密后，對應(yīng)證書將會自動生效，即使將其刪除，但只要不注銷或重啟系統(tǒng)，重要數(shù)據(jù)的訪問安全就會得到保證。在加密數(shù)據(jù)越來越多的時候，服務(wù)器系統(tǒng)自動生成的安全證書也會越來越多，但只有最新生成的安全證書對所有加密數(shù)據(jù)有效，因此僅保留最新安全證書，其他證書文件被刪除掉，不會影響加密數(shù)據(jù)的正常訪問。