讓共享數據無憂

作為單位管理員，依據共享數據的重要程度，部署合適的安全策略，讓共享數據安全無憂是相當有必要的。

基本部署要求

首先將共享數據所在磁盤分區轉換成NTFS格式。這種分區格式有利于管理員靈活為共享數據按需指定訪問權限，而且能通過服務器系統自帶的EFS技術實施對重要數據的安全保護，避免重要數據的安全泄密，所以使用NTFS格式的磁盤分區保護重要共享數據，是確保數據訪問安全的最基本要求。當發現保存重要共享數據的磁盤分區沒有使用NTFS格式時，我們不妨依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中輸入“convert X:/fs:ntfs /v”命令，將指定磁盤分區轉換成NTFS格式。

其次嚴格管控好賬號密碼。在服務器系統成功安裝好后，必須及時為來賓賬號和管理員賬號重命名，同時將其密碼內容調整為更復雜、更長的值。例如，在重命名administrator賬號名稱時，可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。在組策略編輯窗口左側列表，逐一展開“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”節點，在目標節點下找到“帳戶：重命名系統管理員帳戶”組策略，用鼠標雙擊該組策略選項，打開如圖1所示的選項設置框。在這里輸入新的系統管理員名稱，點擊“確定”按鈕保存設置即可。同樣地，可以為來賓賬號重新命名一個合適的賬號名稱。

在強制用戶使用復雜密碼時，可以逐一點選“開始”、“運行”命令，打開系統運行文本框，在其中執行“gpedit.msc”命令，彈出系統組策略控制臺窗口；將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“賬戶策略”、“密碼策略”節點上，在目標節點右側區域，雙擊“密碼必須符合復雜性要求”選項，彈出選項設置框，選中“已啟用”選項，確認后保存設置操作。這樣，日后管理員必須為訪問賬號設置復雜密碼，才能通過服務器系統的復雜性要求。此外，為了保護重要數據所在系統的登錄安全，我們應該定期變化登錄密碼內容。要做到這一點，不妨依次展開“本地計算機策略”、“計算機配置”、“Windows 設 置”、“安 全設置”、“賬戶策略”、“密碼策略”節點，在目標節點右側區域，雙擊“密碼最長使用期限”組策略，切換到對應組策略屬性對話框中，在其中設置好密碼變化的間隔時間，例如輸入“30”，按“確定”按鈕后，系統會每隔30天就提示用戶立即更改密碼內容。

還有一點需要防止使用空白密碼。使用空白的系統登錄密碼，容易給重要數據所在系統登錄帶來潛在的安全威脅，所以，為了保護重要共享數據安全，我們應該進行下面的操作，嚴格禁止使用空白密碼：依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令，展開系統組策略控制臺窗口。將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”、“安全選項”節點上；在目標節點下雙擊“帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄”選項，打開對應選項屬性對話框，將“已啟用”選項選中，確認后保存設置即可。

第三禁止磁盤自動運行。默認狀態下，將可移動存儲設備插入到服務器系統，Windows系統會自動播放其中的內容，不少惡意程序往往會通過該功能，威脅服務器平臺數據的安全。為此，我們需要禁止磁盤分區的自動播放功能，下面就是具體的操作步驟：依次單擊“開始”、“運行”選項，彈出系統運行框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“系統”節點上，雙擊“關閉自動播放”組策略，選中“已啟用”選項，同時從關閉自動播放列表中選擇移動存儲設備或所有磁盤分區，確認后退出設置對話框即可。

高級部署要求

首先使用活動目錄。在上網終端數量較多的局域網環境中，要是無法提供統一的目錄服務，那么想要快速找到重要共享數據將成為問題，更不要說重要數據的共享權限分配和劃分了。只有部署使用活動目錄，改變網絡訪問方式，同時將重要數據所在的共享服務器添加到特定域中，才能通過域的強大控制功能增強重要共享數據的安全訪問性。

其次使用配置向導加固安全。無論是Windows Server 2003系統還是Windows Server 2008系統，都支持安全配置向導功能，善于使用該功能，有利于服務器平臺基于角色來設置重要數據的訪問安全性。

第三加強對數據訪問的安全監控。用戶對服務器系統數據所進行的每一次訪問，都會被系統日志文件自動記憶下來，善于分析利用日志文件，能及時知道用戶訪問數據的時間、地址、內容等，也能知道客戶端訪問目標、使用協議以及所用瀏覽器類型等，合理使用日志分析結果，有利于系統管理員作出更好的安全決策。例如，通過查看系統日志文件，管理員可以及時了解有沒有惡意用戶對重要共享數據所在的主機系統進行過入侵，一旦發生入侵攻擊，系統日志都會將其自動監控記憶下來。日后，仔細查找攻擊痕跡，就能知道惡意用戶的攻擊手法、攻擊習慣以及其他一些攻擊操作等，這些都有利于系統管理員及時采取針對性措施，有效防范非法攻擊的再次光臨。有豐富經驗的系統管理員，都會養成查看分析數據服務器系統日志的習慣，以便從中判斷重要數據是否被偷偷訪問，對應主機系統是否發生意外關機等等。

為了在第一時間發現服務器的數據異常現象，我們可以基于系統的日志功能，對重要共享數據加強監控報警。例如，在Windows Server 2008服務器系統中，要對保存在服務器系統“F:aaa”文件夾中的數據進行監控報警時，可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，開啟組策略編輯器運行狀態。在該編輯窗口左側列表中，依次展開“本地計算機策略”、“計算機配 置”、“Windows 設 置”、“安全設置”、“本地策略”、“審核策略”節點，雙擊該節點下的“審核對象訪問”組策略，彈出組策略屬性對話框，選中“成功”、“失敗”選項，單擊“確定”按鈕保存設置操作。

之后進入系統資源管理器窗口，打開“F:aaa”文件夾右鍵菜單，點擊其中的“屬性”命令，選擇“安全”標簽，按下對應標簽頁面中的“高級”按鈕，切換到高級安全設置對話框，在審核標簽設置頁面中，點擊“添加”按鈕，選中并添加自己熟悉的用戶賬號，確認后回到審核項目列表界面，在這里對“讀取”、“讀取擴展屬性”等操作的成功、失敗事件進行審核。

接下來對服務器中的“F:aaa”文件夾進行一次訪問，訪問記錄會被系統日志功能自動監控下來。進入事件查看器窗口，選中之前生成的對“F:aaa”文件夾的訪問記錄，打開該事件記錄的右鍵菜單，點擊“將任務附加到此事件”命令，展開基本任務創建向導對話框，點擊“下一步”按鈕，單擊“確定”按鈕后，選中“顯示消息”選項，輸入監控報警提示標題和報警內容，單擊“確定”按鈕就能實現對重要共享數據的監控報警。

善用磁盤配額

要是重要數據所在主機系統對用戶存儲數據的容量不進行限制，那么對應主機系統的存儲空間很快會被消耗殆盡，從而可能會影響數據訪問的穩定性。為了避免這種情況發生，我們可以利用服務器系統自帶的磁盤配額功能，監控和管理數據占用磁盤空間的情況，該功能可以有效預防惡意用戶過度占用寶貴磁盤空間。

以Windows Server 2003系統為例，在限制用戶使用磁盤空間時，先進入我的電腦窗口，找到需要讓其他用戶保存重要數據的磁盤分區，打開該磁盤分區的右鍵菜單，點擊“屬性”命令，單擊屬性對話框中的“配額”選項卡，展開磁盤配額選項設置頁面。選中“啟用配額管理”、“拒絕將磁盤空間給超過配額限制的用戶”等選項，再在“磁盤空間控制限為”位置處輸入合適數值，正常來說，應該將該數值輸入為200M左右，將警告等級輸入為180M左右，這樣服務器系統中新創建的用戶日后只能獲得200M大小的磁盤使用空間，同時使用空間超過180M時，系統還會及時發出報警提示。

要想針對特定用戶限制其數據占用磁盤空間，不妨點擊“配額項”按鈕，在其后界面中逐一單擊“配額”、“新建配額項”命令，切換到用戶選擇對話框，選擇并導入某個可信用戶，按下“確定”按鈕，在“磁盤空間控制限為”設置項處輸入具體數值。這樣，日后指定用戶在本地計算機中存取數據時，就無法隨意占用寶貴的磁盤空間了。值得注意的是，保存重要數據的磁盤分區必須使用NTFS文件格式，否則磁盤配額功能無法控制重要數據。要是特定磁盤分區使用的不是NTFS格式，可以通過“convert X: /fs:NTFS”命令來實現磁盤分區格式轉換。

使用EFS保護數據

為了防止非授權用戶隨意訪問重要共享數據，造成數據泄密事件發生，我們可以在基于Windows系統的服務器平臺上，使用其自帶的EFS技術，來保護重要共享數據的訪問安全！該技術是針對NTFS格式數據的一種基于公鑰策略的加密機制，可以實時對磁盤中的重要數據進行加密保護，那些沒有合法密鑰的用戶是不能訪問它們的。而在正常的數據訪問過程中，合法用戶根本覺察不到它的存在，非法用戶訪問時，會遇到“訪問拒絕”的錯誤提示，這樣數據訪問權限就能得到很好控制。

使用EFS技術保護重要共享數據時，必須先將它們保存到NTFS格式分區中，之后打開系統資源管理器窗口，選中重要數據文件夾，從彈出的右鍵菜單中點擊“屬性”命令，展開重要數據文件夾屬性框。點擊“常規”標簽，單擊對應標簽頁面中的“高級”按鈕，切換到高級對話框。選中“壓縮或加密屬性”設置項處的“加密內容以便保護數據”選項，單擊“確定”按鈕后選中“將更改應用于此文件夾、子文件夾和文件”選項，再次確認保存設置操作。這時，加密成功的數據文件名稱，會以綠色字符顯示出來，根據這種顯示狀態，可以直接識別出服務器中的哪些數據已被EFS加密。

對重要數據進行EFS加密后，服務器系統會自動生成獨立安全證書，只要不刪除它，它就能始終發揮保護作用。例如，當對“aaa”數據文件夾進行EFS加密后，對應證書將會自動生效，即使將其刪除，但只要不注銷或重啟系統，重要數據的訪問安全就會得到保證。在加密數據越來越多的時候，服務器系統自動生成的安全證書也會越來越多，但只有最新生成的安全證書對所有加密數據有效，因此僅保留最新安全證書，其他證書文件被刪除掉，不會影響加密數據的正常訪問。