时间:2020-09-02 来源:深圳维创信息技术 1
工作中形成的重要文件也直接会存储到单位文件服务器上。
虽然便于实时保存数据,但也使得员工可以轻松将服务器的文件复制到本地电脑上,从而达到窃取公司商业机密的目的。
如何禁止远程桌面拷贝文件、禁止远程文件复制到本地呢?当然,较简单的方法是通过部署第三方服务器共享文件管理软件。
例如有一款“维创共享文件管理系统”(下载地址:http:///gongxiangwenjianshenji.html),只需要在共享文件服务器上安装之后,就可以限制局域网用户访问共享文件的权限,可以只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,以及禁止拖动共享文件、禁止打印共享文件等。
同时,还可以详细记录共享文件访问日志,便于事后备查和审计。
如下图所示:同时,针对用户远程桌面服务器复制服务器共享文件的行为,本系统也可以禁止。
只需要在“全局设置”勾选“防止本地登录/远程桌面文件泄密”,就可以阻止用户远程桌面登录服务器之后复制服务器文件的行为,从而极大地保护了服务器共享文件的安全。
当然,如果不用软件,我们也可以通过下面的几个方法来实现:
事实上我们并没有很直接的办法来实现我们这个目的。
然而,我们可以通过block某些类型的网络流量来实现限制用户访问类似共享文件,telnet等等这样的动作。
我们可以通过IPsec来实现。
例如,文件夹共享会使用TCP 445 和 TCP139这两个端口,所以我们可以禁止下面这些流量:
如果我们需要同样需要禁止这种流量,那么我们就需要定义下面这些策略:
我们也同时需要提供像 192.168.0.0/255.255.255.0 这样的子网地址。
但我们需要建立一些例外规则来允许到某些主机如DC上的流量。
例如,所有的域成员服务器应该能够访问DC的共享文件夹,所以我们必须允许这样的流量能到DC上。
这就意味着终端服务上的所有用户都会得到相同的结果。
在应用这个IPsec策略后不仅普通用户将不能访问工作站上的共享文件夹,而且域管理员也不能访问了。
例如,他们可以把文件复制到一个没有应用该IPsec策略主机的临时文件夹中(假设他们在那台机子上有权限),然后把这些文件从临时文件夹再复制到自己的机子上来。
或者可能通过某些可以通过80端口来传输文件的应用程序。
但还是要考虑到我们之前所讨论的一些限制。
总之,服务器文件安全管理意义重大,很多单位的服务器文件还是单位的无形资产和商业机密,保护这些文件的安全至关重要。
这一方面需要采用操作系统的各项功能,另一方面也需要借助第三方软件来进一步强化服务器文件安全管理,防止通过各种途径泄密服务器文件的行为。