讓重要數據實現定向共享

引言： 在局域網工作環境中，為了保證員工之間的協同工作，常常會將工作數據以共享形式存儲在服務器中。在共享發布數據的過程中，有時出于安全、保密等方面的考慮，不少重要數據往往要求只能實現定向共享。遇到這種情況時，該如何進行針對性設置，確保重要共享數據僅對授權用戶是透明無障礙的呢？

做好準備工作

對于Windows服務器系統來說，通過系統內置的NTFS安全特性以及共享權限配置，可以設計用于保護重要共享數據免受非法用戶訪問，不管這些用戶是來自單位內網還是外網。顯然，在沒有使用NTFS格式磁盤分區或沒有啟用高級文件共項功能的情況下，我們無法讓重要數據實現定向共享。所以，在定向共享之前，我們必須要做好相關準備工作。

首先將存儲重要數據的硬盤分區轉換成NTFS系統。NTFS系統能夠允許用戶按需設置共享數據的訪問權限，如果看到存儲有重要共享數據的硬盤分區沒有使用這種分區格式時，可以逐一選擇“開始”、“運行”選項，展開系統運行文本框，輸入字符串命令“convert X:/fs:ntfs /v”，將目標硬盤分區轉換為NTFS系統。

圖1 使用簡單共享

其次啟用高級文件共享功能。只有啟用了該功能，管理員才能在保存共享數據的主機系統中，為不同用戶分配合適的共享訪問權限。依次點擊“開始”、“設置”、“控制面板”命令，彈出系統控制面板窗口，逐一選擇該窗口中的“工具”、“文件夾選項”命令，展開文件夾選項對話框，點選“查看”標簽，在對應標簽頁面的“高級設置”列表中，將“使用簡單文件共享（推薦）”選項取消選中（如圖1所示），單擊“確定”按鈕保存設置操作。

第三，禁止使用空白密碼。用空白密碼登錄保存有重要數據的主機系統，可能會給重要共享數據帶來潛在的安全威脅，為了有效保護數據安全，必須禁止使用空白密碼。打開系統運行文本框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。在該編輯窗口左側，將鼠標跳轉到“本地計算機策略”、“計算機配置”、“Windows 設 置”、“安全設置”、“本地策略”、“安全選項”分支上，找到指定分支下的“帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄”組策略，并用鼠標雙擊之，選中其后界面中的“已啟用”選項，單擊“確定”按鈕退出設置對話框即可。

第四，按需創建用戶和組。為了實現定向共享發布，高級文件共享功能要求必須按需創建用戶和組，以方便針對特定用戶進行授權操作。用鼠標右鍵單擊服務器系統桌面上的“我的電腦”圖標，執行快捷菜單中的“管理”命令，彈出計算機管理窗口。在該窗口左側列表中，將鼠標定位到“本地用戶和組”、“用戶”分支上，在指定分支下面，右擊空白區域，選擇快捷菜單中的“新用戶”命令，彈出如圖2所示的創建新用戶設置對話框，在這里正確輸入新用戶帳號名稱和密碼信息，按下“創建”按鈕結束新用戶帳號創建操作。為防止使用簡單密碼，可以修改系統組策略，強制密碼設置操作必須符合復雜性要求。要做到這一點，只要將鼠標定位到組策略編輯窗口的“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“賬戶策略”、“密碼策略”分支上，雙擊該分支下的“密碼必須符合復雜性要求”選項，選中“已啟用”選項，確認后退出設置對話框即可。

圖2 創建新用戶對話框

圖3 組策略屬性設置頁

除了要創建新用戶外，也要創建組賬號，以便將權限相同的用戶全部添加到一個組中，從而達到簡化管理用戶權限目的。默認狀態下，新用戶屬于“Users”組，要創建新的組賬號時，可以將鼠標定位到計算機管理窗口左側的“本地用戶和組”、“組”分支上，在目標分支下面的空白區域右擊，點擊右鍵菜單中的“新建組”命令，彈出組賬號創建對話框，設置好組賬號名稱，按下“添加”按鈕，彈出用戶賬號選擇對話框，之后逐一點擊“高級”、“立即查找”按鈕，選中要添加到特定組的用戶賬號名稱，連續兩次確認后就能完成組賬號的創建任務了。

實現定向共享

既然要讓重要數據定向共享，那肯定只能允許特定用戶對重要數據進行共享訪問，其他沒有授權的用戶則不能進行共享訪問。要達到這個目的，必須要進行下面一系列配置操作。

1.控制網絡訪問操作

定向訪問操作需要通過網絡遠程進行，控制網絡訪問權限，就能讓特定用戶登錄服務器系統訪問重要共享數據。首先在存儲有重要數據的服務器系統中，逐一點擊“開始”、“設置”、“控制面板”選項，展開系統控制面板窗口，依次雙擊該窗口中的“管理工具”、“本地安全策略”圖標，切換到本地安全策略管理窗口。將鼠標定位到該窗口左側列表中的“本地策略”、“用戶權利指派”節點上，找到特定組策略選項“從網絡訪問此計算機”，并用鼠標雙擊之，彈出如圖3所示的組策略屬性對話框。

其次在用戶賬號列表中，選中不允許訪問共享數據的用戶賬號，按下“刪除”按鈕，確認后退出設置對話框，這樣被刪除的特定用戶日后就無法通過網絡共享訪問服務器中的重要數據了。如果發現授權用戶賬號名稱沒有出現在用戶賬號列表時，可以點擊“添加”按鈕，彈出用戶賬號選擇對話框，將可以訪問共享數據的特定用戶賬號選擇并導入進來，單擊“確定”按鈕保存設置操作，確保可信用戶可以通過網絡順利完成共享訪問操作。

圖4 安全選項卡

2.控制數據訪問操作

以系統管理員權限登錄服務器系統后，將需要共享發布的重要數據集中存儲到特定文件夾中，用鼠標右鍵單擊該文件夾圖標，執行快捷菜單中的“屬性”命令，進入特定文件夾屬性對話框。點擊“安全”選項卡，在對應標簽頁面的用戶賬號列表中（如圖4所示），看看相關訪問權限的用戶或組賬號名稱是否顯示在該列表中，要是可信用戶賬號或組賬號名稱不在該列表中時，可以點擊“添加”按鈕彈出賬號選擇對話框，在這里輸入目標用戶賬號的名稱，按下“檢查名稱”按鈕，就能發現對應名稱顯示在其中。要是無法記清可信用戶賬號的名稱時，不妨依次點擊“高級”、“立即查找”按鈕，在其后界面中直接選中添加即可。

當成功將可信用戶或組賬號加入后，對應賬號名稱就會出現在安全標簽頁面中，選中該賬號名稱，在訪問權限列表中按需設置好重要數據的訪問權限。例如，希望特定用戶對共享數據擁有讀取權限時，只要將讀取權限設置為“成功”，單擊“確定”按鈕退出設置對話框即可。日后，特定可信用戶通過網絡以共享形式訪問服務器系統中的共享數據時，就只能閱讀數據內容，而無法向共享數據中寫入內容。同樣地，我們可以為與共享數據有直接關系的員工授予更高級別的操作權限。例如，可以授予共享數據所有者“完全控制”權限，授予普通關聯的員工以“讀取和運行”權限等。這樣，所有與共享數據有直接關系或間接關系的員工，都能瀏覽到服務器共享數據中的內容，但是不同員工訪問數據內容的權限不一樣。

3.控制共享認證操作

為了防止局域網中的一些無關員工，利用合法用戶帳號訪問重要共享數據，我們必須在服務器系統啟用共享身份認證功能，強制員工輸入正確的認證密碼，才能進行共享訪問操作。

在進行該操作時，可以依次點擊服務器系統的“開始”、“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。在該編輯窗口左側顯示窗格中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”、“安全選項”分支上，找到該分支下的“網絡訪問：本地賬戶的共享和安全模式”選項，用鼠標雙擊該選項，彈出如圖5所示的選項設置對話框。

在這里，不難看出服務器系統支持經典共享和僅來賓共享兩種模式，其中“僅來賓”共享訪問模式，不需要進行共享身份認證，就能快速訪問到服務器中的重要共享數據。顯然這不利于對重要共享數據提供安全控制。因此，我們必須選中這里的“經典-本地用戶以用戶的身份驗證”選項，強制對所有用戶進行共享身份認證，無法通過認證的用戶將不能訪問重要數據資源。經過這種設置后，一些無關用戶即使盜用了合法用戶帳號，但在不知道共享訪問密碼的情況下，他們依然無法訪問重要共享數據。

圖5 選項設置卡

圖6 屬性對話框

4.控制訪問審核操作

為了保證重要數據定向共享訪問安全，我們有必要了解哪些員工曾經訪問了共享數據，以及對共享數據執行了哪些操作。要做到這一點，必須要嚴格控制數據訪問審核操作，這樣有利于在第一時間發現員工對共享數據的不正常操作行為。

首先，啟用服務器系統的審核對象訪問功能。依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。逐一跳轉到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“審核策略”分支上，找到“審核對象訪問”選項并用鼠標雙擊之，展開如圖6所示的組策略屬性對話框，選中“失敗”、“成功”選項，單擊“確定”按鈕保存設置操作。這樣，服務器系統日后就能自動記憶共享數據的訪問痕跡。

其次，設置共享數據的審核項目。進入服務器系統資源管理器窗口，找到重要共享數據所在的文件夾，打開它的右鍵菜單，選擇“屬性”命令，切換共享數據文件夾屬性對話框。單擊“安全”標簽，按下對應標簽設置頁面中的“高級”按鈕，切換到“審核”標簽設置頁面，單擊“添加”按鈕從其后對話框中導入合法可信的用戶賬號，單擊“確定”按鈕后彈出審核項目列表框。在“應用于”位置處，選中“該文件夾，子文件夾及文件”選項，同時在“訪問”列表中，將“完全控制”、“列出文件夾/讀取數據”、“刪除”、“刪除子文件夾及文件”等操作的“失敗”、“成功”選項選中，確認后退出設置對話框。可信用戶對重要共享數據的各種訪問操作行為都會被監控記憶。

第三，查看數據訪問痕跡。經過上述設置操作之后，我們就能隨時查看哪些用戶在何時訪問了重要共享數據。依次單擊“開始”、“設置”、“控制面板”命令，逐一雙擊控制面板窗口中的“管理工具”、“事件查看器”圖標，進入事件查看器窗口，將鼠標定位到該窗口左側安全性節點上，就能找到審核事件。用鼠標右鍵單擊某個事件選項，單擊右鍵菜單中“屬性”命令，就能了解到相關事件的詳細信息了。