今天,不管是大型企业还是小型企业,几乎都有自己的文件服务器。文件服务器的基本功能就是数据存储,而在企业信息化的今天,数据就是企业的生命。就是如此重要的角,在企业中却没有受到应有的重视,企业经常因此遭受信息泄密的损失。这突出暴露出企业文件服务器的管理存在两个大问题,一是不能正确精确授权,导致文件管理混乱;二是不能有效对文件实施审核,缺乏了一套对文件管理的审核方案。本文就从这两个方面讲述如何设置文件服务器。
权限
要了解如何对文件服务器进行授权,也就是说如何设置文件夹的权限,必须首先明白什么是权限。权限其实是一张表,这张表中记录了什么用户可以使用什么方式访问什么对象。例如在图一中,我们新建了一个secret文件夹,这里面是机密文件,只允许DG_IT这个组访问。但是这个组中有一位即将离职的员工刘海波Louis_liu,自然不能允许这个账户再访问secret文件夹。那么我们可以这样设置,将DG _IT组加入这张“安全表”,并授予相应的权限,同时也添加Louis_liu账户,设置这个账户拒绝访问该文件夹的权限。通常我们把这张“安全表”叫做自主访问控制列表discretionary access control list (DACL)
在设置DACL的时候,一般不要将用户账户一个个添加进来,而是添加一个组,这样有利于提高系统访问的效率和方便管理。
我们授权DG_IT这个组可以访问secret文件夹,且只有DG_IT组可以及读取、浏览和执行IT_P ublic下面的文件,则此时任何不属于DG_IT组用户读取该文件夹下的文件时,就会遭到系统的拒绝。
共享与安全
出于安全性的考虑,当您在服务器上共享文件夹的时候,需要设置两个权限:共享权限和安全权限。这两个权限的关系,可以通过一个网络用户的访问过程来说清楚。当用户从网络访问一个目录时,系统先校验共享权限,看看这个用户是否在共享权限允许的范围内。如果允许访问再校验安全权限。所以这个目
从上表中,我们可以得知五个标准权限的对应的有效权限。比如修改权限,除了不具备“删除子文件夹
及文件”、“更改权限”和“取得所有权”这三个功能外,它具备有效权限的其它所有功能。需要强调一点,“写入”权限与“读取”权限并没有关联。读取权限比较好理解,但是写入权限不具备读取的能力理解起来如何有点困难,其实具有写入权限的用户虽然不能直接对文件进行读取,但可以通过修改文件的属性,或者是以另外一个文件的内容来覆盖原始文件。“读取”及“运行”权限比较好理解,它涵盖了读取所能做的所有事,外加允许运行可运行文件。“修改”权限涵盖了读取、读取及执行及写入所能做的所有事,外加允许删除。“完全控制”权限涵盖了修改所能做的所有事(含读取、读取及执行及写入),外加允许改变用户权限及取得拥有权。在设计共享文件夹时建议至少留给一个完全控制权限给管理员,方便权限权限丢失时来取得所有权,其它用户端就没有必要给完全控制权限。
文件夹权限设置
Windows 之所以设计成基本权限及特别的权限架构,将13项有效权限组合成六项较常用的标准权限,这样可以有效避免用户或网络管理人员直接面对众多复杂多样的权限,通过简化文件权限有效提升了管理效率。当然,这也不等于说windows特别权限可以取消了,不需要了。实际在许多场合下面还是需要利用到特别权限。当您在Windows 上有特殊的权限需要,可以自行将有效权限予以组合。
例如以标准权限而言,让用户或组有能力删除档案,至少需要赋予修改的权限,但事实上从前面的列表中你会发现“修改”的权限不但能删除,还能新增、读取、写入等等,权限相当的大。如果您只希望
用户能读取和删除,却不能写入,此时就可以自行在13项有效权限中加以组合。这种组合而成非标准的权限,我们称之为特别的殊权。
在Windows NT下,每一个文件夹及文件的权限都可以自行设定,并会各自随该对象存取在文件系统中。当建立一个新的子文件夹或新文件时,会参照上层文件夹的设定成为新对象的预设权限。新物件一
经建立完成,在上下层之间的权限从此各自独立,没有继承关系。但在每一次重新设定或修改文件夹的权限时,可选择是否需要以新权限取代该文件夹下的原有使用权限。
但在windows 2003以及R2版本下,对于上层文件夹所设定的NTFS权限默认值会自动继承到其子文件夹及文件。继承过来的权限属性以灰状态呈现,不能直接对其权限进行修改。如果不想下面的物件继承上级权限,可以通过“高级”→“权限”,然后去掉选中“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目(I)”这个选项,再通过“添加”、“删除”和“编辑”来修改权限,修改权限时应该注意一个问题,新增的子文件夹权限必须是能够读取上级文件夹的权限,否则连父文件夹都不能读取不可能进入子文件夹。
对象访问身份验证
当用户打开一个对象时,操作系统中就会启动一个进程,一个进程同时又有可能被切割成多个线程平行运算。在每一个线程上都会标有当前用户的访问令牌,当这个线程去访问某一网络资源时,访问令牌就代表这个用户的身份,从而决定了访问的动作是被允许还是拒绝。例如Tom想访问文件服务器上面的p ublic文件夹,fileserver主机会检查该文件夹的权限列表,比较是否有符合的存取控制权利的SID与该访问令牌中所列的用户或组的SID相符。它的执行过程是:
●明确拒绝的存取控制项目操作系统会优先执行,首先判断访问令牌当中的任何一个SID是否与明确拒
绝存取控制项目相符,若是则存取立即被拒绝。
●其次再判断访问令牌当中是否有SID与第一项访问控制项目的SID相符,不符自动会跳到下一个存取
控制项目,而相符则允许存取。
●若线程想要执行的动作既没有允许的存取控制项目,又没有明确的拒绝存绝,则执行操作系统的默认
拒绝存取。
权限访问控制是实现文件服务器安全当中非常重要的一部分,一个连操作系统权限访问控制都不太了解的管理员,是不可能管理好企业网络安全的。
规划与审核策略
文件服务器规划也比较重要,规划合不合理会牵涉到日后的日常管理工作。建议文件服务器的规划时参照活动目录OU和Group设计架构,AD的设计建议要参照公司的行政管理结构。例如某公司有五大部门,OU设计都是按照部门在规划的,那么共享文件夹也建立五个,参照部门名称建立,下面再建立相关子文件夹。必要的时候为了方便权限的设计,可以在OU中建立相同特点的用户组,再配加合理的权限,文件服务器初步建立。仅仅设置好文件服务器的权限,还是远远不够的。因为管理员不知道什么人,什么时候,会以什么方式,访问了什么内容,这就是为什么要建立文件服务器安全审核机制。审核的内容按管理者的要求而定。由于文件审核会占用一定的系统资源,这与审核文件的多少成正比,现实环境当中我们也只对特殊重要的文件才进行审核。对文件服务器的审核管理员需要设定安全审核原则,将其关注的文件状态纪录在安全审核记录中,以备日后审查(如图三)。安全审核具有以下目的:
1、可以有效防止重要文件因管理员的疏忽权限设置不对,造成非法的破坏,管理员可以事后根据审核记录,查出肇事者;
2、可以知道重要的文件试图被哪些人非法读取或修改,结果是成功还是失败。
如何设置文件夹权限3、重要文件被合法的授权用户进行非法更改,用户拒不承认,审核记录可以作为最后的凭证。
Windows server 2003 R2审核策略共有九项,分别是审核策略的更改、审核登陆事件、审核对象访问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审核帐户登录事件、审核帐户管理。以上列各项设定大多只要设定启动,刷新策略生效后即会开始记录,最后审核的结果会全部存放在事件检视器的安全性当中。比较特别的是审核对象访问及审核目录服务存取等两项,审核对象访问的对象指的是打印机和NTFS分驱下的文件夹和文件;审核目录服务存取的目录服务指的是windows 2003 AD 中的对象。
例:用户huojun_xu复制名片.doc到文件服务器上IT_Public共享文件夹,审核记录成功和失败的日志。
在IT_Public这个文件夹上授予huojun_xu的权限是“读取和运行”、“列出文件夹目录”、“读取”这三个权限。Huojun_xu的访问被拒绝。打开“事件查看器” “安全性”我们到失败审核,如图四
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论