引言： 在局域網(wǎng)工作環(huán)境中，為了保證員工之間的協(xié)同工作，常常會(huì)將工作數(shù)據(jù)以共享形式存儲(chǔ)在服務(wù)器中。在共享發(fā)布數(shù)據(jù)的過(guò)程中，有時(shí)出于安全、保密等方面的考慮，不少重要數(shù)據(jù)往往要求只能實(shí)現(xiàn)定向共享。遇到這種情況時(shí)，該如何進(jìn)行針對(duì)性設(shè)置，確保重要共享數(shù)據(jù)僅對(duì)授權(quán)用戶是透明無(wú)障礙的呢？

做好準(zhǔn)備工作

對(duì)于Windows服務(wù)器系統(tǒng)來(lái)說(shuō)，通過(guò)系統(tǒng)內(nèi)置的NTFS安全特性以及共享權(quán)限配置，可以設(shè)計(jì)用于保護(hù)重要共享數(shù)據(jù)免受非法用戶訪問(wèn)，不管這些用戶是來(lái)自單位內(nèi)網(wǎng)還是外網(wǎng)。顯然，在沒(méi)有使用NTFS格式磁盤分區(qū)或沒(méi)有啟用高級(jí)文件共項(xiàng)功能的情況下，我們無(wú)法讓重要數(shù)據(jù)實(shí)現(xiàn)定向共享。所以，在定向共享之前，我們必須要做好相關(guān)準(zhǔn)備工作。

首先將存儲(chǔ)重要數(shù)據(jù)的硬盤分區(qū)轉(zhuǎn)換成NTFS系統(tǒng)。NTFS系統(tǒng)能夠允許用戶按需設(shè)置共享數(shù)據(jù)的訪問(wèn)權(quán)限，如果看到存儲(chǔ)有重要共享數(shù)據(jù)的硬盤分區(qū)沒(méi)有使用這種分區(qū)格式時(shí)，可以逐一選擇“開(kāi)始”、“運(yùn)行”選項(xiàng)，展開(kāi)系統(tǒng)運(yùn)行文本框，輸入字符串命令“convert X:/fs:ntfs /v”，將目標(biāo)硬盤分區(qū)轉(zhuǎn)換為NTFS系統(tǒng)。

圖1 使用簡(jiǎn)單共享

其次啟用高級(jí)文件共享功能。只有啟用了該功能，管理員才能在保存共享數(shù)據(jù)的主機(jī)系統(tǒng)中，為不同用戶分配合適的共享訪問(wèn)權(quán)限。依次點(diǎn)擊“開(kāi)始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一選擇該窗口中的“工具”、“文件夾選項(xiàng)”命令，展開(kāi)文件夾選項(xiàng)對(duì)話框，點(diǎn)選“查看”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“高級(jí)設(shè)置”列表中，將“使用簡(jiǎn)單文件共享（推薦）”選項(xiàng)取消選中（如圖1所示），單擊“確定”按鈕保存設(shè)置操作。

第三，禁止使用空白密碼。用空白密碼登錄保存有重要數(shù)據(jù)的主機(jī)系統(tǒng)，可能會(huì)給重要共享數(shù)據(jù)帶來(lái)潛在的安全威脅，為了有效保護(hù)數(shù)據(jù)安全，必須禁止使用空白密碼。打開(kāi)系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)，將鼠標(biāo)跳轉(zhuǎn)到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè) 置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”分支上，找到指定分支下的“帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄”組策略，并用鼠標(biāo)雙擊之，選中其后界面中的“已啟用”選項(xiàng)，單擊“確定”按鈕退出設(shè)置對(duì)話框即可。

第四，按需創(chuàng)建用戶和組。為了實(shí)現(xiàn)定向共享發(fā)布，高級(jí)文件共享功能要求必須按需創(chuàng)建用戶和組，以方便針對(duì)特定用戶進(jìn)行授權(quán)操作。用鼠標(biāo)右鍵單擊服務(wù)器系統(tǒng)桌面上的“我的電腦”圖標(biāo)，執(zhí)行快捷菜單中的“管理”命令，彈出計(jì)算機(jī)管理窗口。在該窗口左側(cè)列表中，將鼠標(biāo)定位到“本地用戶和組”、“用戶”分支上，在指定分支下面，右擊空白區(qū)域，選擇快捷菜單中的“新用戶”命令，彈出如圖2所示的創(chuàng)建新用戶設(shè)置對(duì)話框，在這里正確輸入新用戶帳號(hào)名稱和密碼信息，按下“創(chuàng)建”按鈕結(jié)束新用戶帳號(hào)創(chuàng)建操作。為防止使用簡(jiǎn)單密碼，可以修改系統(tǒng)組策略，強(qiáng)制密碼設(shè)置操作必須符合復(fù)雜性要求。要做到這一點(diǎn)，只要將鼠標(biāo)定位到組策略編輯窗口的“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”分支上，雙擊該分支下的“密碼必須符合復(fù)雜性要求”選項(xiàng)，選中“已啟用”選項(xiàng)，確認(rèn)后退出設(shè)置對(duì)話框即可。

圖2 創(chuàng)建新用戶對(duì)話框

圖3 組策略屬性設(shè)置頁(yè)

除了要?jiǎng)?chuàng)建新用戶外，也要?jiǎng)?chuàng)建組賬號(hào)，以便將權(quán)限相同的用戶全部添加到一個(gè)組中，從而達(dá)到簡(jiǎn)化管理用戶權(quán)限目的。默認(rèn)狀態(tài)下，新用戶屬于“Users”組，要?jiǎng)?chuàng)建新的組賬號(hào)時(shí)，可以將鼠標(biāo)定位到計(jì)算機(jī)管理窗口左側(cè)的“本地用戶和組”、“組”分支上，在目標(biāo)分支下面的空白區(qū)域右擊，點(diǎn)擊右鍵菜單中的“新建組”命令，彈出組賬號(hào)創(chuàng)建對(duì)話框，設(shè)置好組賬號(hào)名稱，按下“添加”按鈕，彈出用戶賬號(hào)選擇對(duì)話框，之后逐一點(diǎn)擊“高級(jí)”、“立即查找”按鈕，選中要添加到特定組的用戶賬號(hào)名稱，連續(xù)兩次確認(rèn)后就能完成組賬號(hào)的創(chuàng)建任務(wù)了。

實(shí)現(xiàn)定向共享

既然要讓重要數(shù)據(jù)定向共享，那肯定只能允許特定用戶對(duì)重要數(shù)據(jù)進(jìn)行共享訪問(wèn)，其他沒(méi)有授權(quán)的用戶則不能進(jìn)行共享訪問(wèn)。要達(dá)到這個(gè)目的，必須要進(jìn)行下面一系列配置操作。

1.控制網(wǎng)絡(luò)訪問(wèn)操作

定向訪問(wèn)操作需要通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行，控制網(wǎng)絡(luò)訪問(wèn)權(quán)限，就能讓特定用戶登錄服務(wù)器系統(tǒng)訪問(wèn)重要共享數(shù)據(jù)。首先在存儲(chǔ)有重要數(shù)據(jù)的服務(wù)器系統(tǒng)中，逐一點(diǎn)擊“開(kāi)始”、“設(shè)置”、“控制面板”選項(xiàng)，展開(kāi)系統(tǒng)控制面板窗口，依次雙擊該窗口中的“管理工具”、“本地安全策略”圖標(biāo)，切換到本地安全策略管理窗口。將鼠標(biāo)定位到該窗口左側(cè)列表中的“本地策略”、“用戶權(quán)利指派”節(jié)點(diǎn)上，找到特定組策略選項(xiàng)“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”，并用鼠標(biāo)雙擊之，彈出如圖3所示的組策略屬性對(duì)話框。

其次在用戶賬號(hào)列表中，選中不允許訪問(wèn)共享數(shù)據(jù)的用戶賬號(hào)，按下“刪除”按鈕，確認(rèn)后退出設(shè)置對(duì)話框，這樣被刪除的特定用戶日后就無(wú)法通過(guò)網(wǎng)絡(luò)共享訪問(wèn)服務(wù)器中的重要數(shù)據(jù)了。如果發(fā)現(xiàn)授權(quán)用戶賬號(hào)名稱沒(méi)有出現(xiàn)在用戶賬號(hào)列表時(shí)，可以點(diǎn)擊“添加”按鈕，彈出用戶賬號(hào)選擇對(duì)話框，將可以訪問(wèn)共享數(shù)據(jù)的特定用戶賬號(hào)選擇并導(dǎo)入進(jìn)來(lái)，單擊“確定”按鈕保存設(shè)置操作，確保可信用戶可以通過(guò)網(wǎng)絡(luò)順利完成共享訪問(wèn)操作。

圖4 安全選項(xiàng)卡

2.控制數(shù)據(jù)訪問(wèn)操作

以系統(tǒng)管理員權(quán)限登錄服務(wù)器系統(tǒng)后，將需要共享發(fā)布的重要數(shù)據(jù)集中存儲(chǔ)到特定文件夾中，用鼠標(biāo)右鍵單擊該文件夾圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，進(jìn)入特定文件夾屬性對(duì)話框。點(diǎn)擊“安全”選項(xiàng)卡，在對(duì)應(yīng)標(biāo)簽頁(yè)面的用戶賬號(hào)列表中（如圖4所示），看看相關(guān)訪問(wèn)權(quán)限的用戶或組賬號(hào)名稱是否顯示在該列表中，要是可信用戶賬號(hào)或組賬號(hào)名稱不在該列表中時(shí)，可以點(diǎn)擊“添加”按鈕彈出賬號(hào)選擇對(duì)話框，在這里輸入目標(biāo)用戶賬號(hào)的名稱，按下“檢查名稱”按鈕，就能發(fā)現(xiàn)對(duì)應(yīng)名稱顯示在其中。要是無(wú)法記清可信用戶賬號(hào)的名稱時(shí)，不妨依次點(diǎn)擊“高級(jí)”、“立即查找”按鈕，在其后界面中直接選中添加即可。

當(dāng)成功將可信用戶或組賬號(hào)加入后，對(duì)應(yīng)賬號(hào)名稱就會(huì)出現(xiàn)在安全標(biāo)簽頁(yè)面中，選中該賬號(hào)名稱，在訪問(wèn)權(quán)限列表中按需設(shè)置好重要數(shù)據(jù)的訪問(wèn)權(quán)限。例如，希望特定用戶對(duì)共享數(shù)據(jù)擁有讀取權(quán)限時(shí)，只要將讀取權(quán)限設(shè)置為“成功”，單擊“確定”按鈕退出設(shè)置對(duì)話框即可。日后，特定可信用戶通過(guò)網(wǎng)絡(luò)以共享形式訪問(wèn)服務(wù)器系統(tǒng)中的共享數(shù)據(jù)時(shí)，就只能閱讀數(shù)據(jù)內(nèi)容，而無(wú)法向共享數(shù)據(jù)中寫(xiě)入內(nèi)容。同樣地，我們可以為與共享數(shù)據(jù)有直接關(guān)系的員工授予更高級(jí)別的操作權(quán)限。例如，可以授予共享數(shù)據(jù)所有者“完全控制”權(quán)限，授予普通關(guān)聯(lián)的員工以“讀取和運(yùn)行”權(quán)限等。這樣，所有與共享數(shù)據(jù)有直接關(guān)系或間接關(guān)系的員工，都能瀏覽到服務(wù)器共享數(shù)據(jù)中的內(nèi)容，但是不同員工訪問(wèn)數(shù)據(jù)內(nèi)容的權(quán)限不一樣。

3.控制共享認(rèn)證操作

為了防止局域網(wǎng)中的一些無(wú)關(guān)員工，利用合法用戶帳號(hào)訪問(wèn)重要共享數(shù)據(jù)，我們必須在服務(wù)器系統(tǒng)啟用共享身份認(rèn)證功能，強(qiáng)制員工輸入正確的認(rèn)證密碼，才能進(jìn)行共享訪問(wèn)操作。

在進(jìn)行該操作時(shí)，可以依次點(diǎn)擊服務(wù)器系統(tǒng)的“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)顯示窗格中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”分支上，找到該分支下的“網(wǎng)絡(luò)訪問(wèn)：本地賬戶的共享和安全模式”選項(xiàng)，用鼠標(biāo)雙擊該選項(xiàng)，彈出如圖5所示的選項(xiàng)設(shè)置對(duì)話框。

在這里，不難看出服務(wù)器系統(tǒng)支持經(jīng)典共享和僅來(lái)賓共享兩種模式，其中“僅來(lái)賓”共享訪問(wèn)模式，不需要進(jìn)行共享身份認(rèn)證，就能快速訪問(wèn)到服務(wù)器中的重要共享數(shù)據(jù)。顯然這不利于對(duì)重要共享數(shù)據(jù)提供安全控制。因此，我們必須選中這里的“經(jīng)典-本地用戶以用戶的身份驗(yàn)證”選項(xiàng)，強(qiáng)制對(duì)所有用戶進(jìn)行共享身份認(rèn)證，無(wú)法通過(guò)認(rèn)證的用戶將不能訪問(wèn)重要數(shù)據(jù)資源。經(jīng)過(guò)這種設(shè)置后，一些無(wú)關(guān)用戶即使盜用了合法用戶帳號(hào)，但在不知道共享訪問(wèn)密碼的情況下，他們依然無(wú)法訪問(wèn)重要共享數(shù)據(jù)。

圖5 選項(xiàng)設(shè)置卡

圖6 屬性對(duì)話框

4.控制訪問(wèn)審核操作

為了保證重要數(shù)據(jù)定向共享訪問(wèn)安全，我們有必要了解哪些員工曾經(jīng)訪問(wèn)了共享數(shù)據(jù)，以及對(duì)共享數(shù)據(jù)執(zhí)行了哪些操作。要做到這一點(diǎn)，必須要嚴(yán)格控制數(shù)據(jù)訪問(wèn)審核操作，這樣有利于在第一時(shí)間發(fā)現(xiàn)員工對(duì)共享數(shù)據(jù)的不正常操作行為。

首先，啟用服務(wù)器系統(tǒng)的審核對(duì)象訪問(wèn)功能。依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。逐一跳轉(zhuǎn)到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“審核策略”分支上，找到“審核對(duì)象訪問(wèn)”選項(xiàng)并用鼠標(biāo)雙擊之，展開(kāi)如圖6所示的組策略屬性對(duì)話框，選中“失敗”、“成功”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。這樣，服務(wù)器系統(tǒng)日后就能自動(dòng)記憶共享數(shù)據(jù)的訪問(wèn)痕跡。

其次，設(shè)置共享數(shù)據(jù)的審核項(xiàng)目。進(jìn)入服務(wù)器系統(tǒng)資源管理器窗口，找到重要共享數(shù)據(jù)所在的文件夾，打開(kāi)它的右鍵菜單，選擇“屬性”命令，切換共享數(shù)據(jù)文件夾屬性對(duì)話框。單擊“安全”標(biāo)簽，按下對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面中的“高級(jí)”按鈕，切換到“審核”標(biāo)簽設(shè)置頁(yè)面，單擊“添加”按鈕從其后對(duì)話框中導(dǎo)入合法可信的用戶賬號(hào)，單擊“確定”按鈕后彈出審核項(xiàng)目列表框。在“應(yīng)用于”位置處，選中“該文件夾，子文件夾及文件”選項(xiàng)，同時(shí)在“訪問(wèn)”列表中，將“完全控制”、“列出文件夾/讀取數(shù)據(jù)”、“刪除”、“刪除子文件夾及文件”等操作的“失敗”、“成功”選項(xiàng)選中，確認(rèn)后退出設(shè)置對(duì)話框?？尚庞脩魧?duì)重要共享數(shù)據(jù)的各種訪問(wèn)操作行為都會(huì)被監(jiān)控記憶。

第三，查看數(shù)據(jù)訪問(wèn)痕跡。經(jīng)過(guò)上述設(shè)置操作之后，我們就能隨時(shí)查看哪些用戶在何時(shí)訪問(wèn)了重要共享數(shù)據(jù)。依次單擊“開(kāi)始”、“設(shè)置”、“控制面板”命令，逐一雙擊控制面板窗口中的“管理工具”、“事件查看器”圖標(biāo)，進(jìn)入事件查看器窗口，將鼠標(biāo)定位到該窗口左側(cè)安全性節(jié)點(diǎn)上，就能找到審核事件。用鼠標(biāo)右鍵單擊某個(gè)事件選項(xiàng)，單擊右鍵菜單中“屬性”命令，就能了解到相關(guān)事件的詳細(xì)信息了。