如何监控服务器共享文件访问动作全面控制局域网用户访问服务器共享文件的行为作者：维创 日期：2014.9.12较新消息：[2014-04-21]维创文件共享服务器软件V4.0发布 专业的文件服务器管理软件、全面保护服务器共享文件安全、防止删除服务器文件：szdataplus.com/news/2014/4820.html[2013-06-14]维创共享文件监控系统V3.1正式发布 国内较强控制共享文件访问 保护共享文件安全：szdataplus.com/news/2013/4259.html[2013-01-16]维创共享文件审计系统V3.0正式上市，全面监控共享文件访问、保护共享文件安全：szdataplus.com/news/2013/3952.html[2011-01-26]监控共享文件的利器――维创共享文件审计系统成功发布：szdataplus.com/news/2011/145.html相关链接：[2013-01-21]公司服务器共享文件设置、管理文件共享服务器软件——维创共享文件审计系统使用说明：szdataplus.com/news/2013/3958.html[2013-07-02]国内较强共享文件访问控制软件——维创共享文件审计系统版本分类：szdataplus.com/news/2013/4297.html[2013-08-01]维创监控服务器共享文件系统与维创管理USB接口系统协同联动 全面保护共享文件、商业机密的安全：szdataplus.com/news/2013/4372.html[2009-04-02]局域网共享文件审计利器――维创共享文件审计系统各项领先优势：szdataplus.com/news/2009/1875.html[2013-05-23]维创共享文件审计系统与国外某同类产品的详细对比：szdataplus.com/news/2013/4208.html[2014-01-21]专业的文件服务器管理软件——维创文件共享服务器监控软件的问题反馈：szdataplus.com/news/2014/4622.html 当前在很多企事业单位局域网中，大都架设了文件服务器，用于存储和共享单位一些内部文件、无形资产，甚至是商业机密。

因此，文件服务器的安全管理已经成为企业网络管理的重要组成部分，关系到企业的稳健经营。

本文汇总了当前所有保护Windows文件服务器的方法技巧，便于企业网络管理员全面管理文件服务器的安全，为企业的无形资产和商业机密保护提供强有力的支撑。

　　较早招：确保您的服务器在物理层面上是安全的。

　　如果入侵者可以物理访问你的服务器，那么你将会有被带走整个机器或者一个硬盘的风险。

除了要确保物理安全之外，你还应该配置你的系统，让它只从硬盘内部来引导，防止入侵者从可移动的介质来启动系统。

BIOS和引导加载程序，都应该设置一个强大的密码来进行保护。

　　第二招：加密你的驱动器，加密共享文件、服务器共享文件加密。

　　使用类似于BitLocker系统来加密你的驱动器，这样即使你的硬盘被盗或者被替换后扔到不安全的地方，仍能确保你的文件是安全的。

在你的服务器上使用可信赖平台模块(TPM)确保使用BitLocker在管理员和用户之间是公开透明的。

　　第三招：尽可能的让服务器远离网络。

　　由于大多数文件服务器都无法避免的要连接到互联网，所以使用防火墙限制外部访问你的局域网。

　　第四招：确保服务器更新了较新较全的补丁。

　　即使你的Windows服务器没有连接互联网，你仍然要保证软件的更新，通过在你网络上的另一个服务器运行Windows服务器更新服务(WSUS)来完成。

如果让你的文件服务器，不联网是不实际的话，那么你应该确保Windows更新设置为自动下载并应用补丁 - 除非你已经有了一套下载和手动测试补丁的程序。

　　还有一个容易遗漏的地方就是IE浏览器的增强安全配置，因为很少会用到IE浏览器所以IE浏览器的安全往往会被忽略。

你可以从控制面板查看互联网增强的安全配置选项，添加Windows部分组件。

　　第五招：不要忘了防病毒软件。

　　即使你有网关的安全保护，也运行了个人的防病毒软件，但你仍应该运行企业级的防病毒软件在你的文件服务器上。

大多数企业的产品，允许你从本地服务器更新病毒数据(甚至是从你网络上其他用户运行的软件上)，但如果你的文件服务器没有联网的话，那么你可能无法充分利用基于网络提供的额外保护。

　　第六招：去掉不必要的软件。

　　在你服务器上的那些肯定不需要的软件如Flash，Silverlight，或Java.安装这些软件只会给黑客增加攻击的机会。

你可以从服务器中删除没用的控制面板。

　　第七招：停止不必要的服务。

　　在Windows中，除非你特别需要这些(像远程管理)，否则你应该停止像传真服务，Messenger、IIS Admin、SMTP、任务调度器、Telnet、远程桌面服务、万维网发布服务等。

　　第八招：控制服务器共享文件的访问，详细记录服务器共享文件访问动作。

　　您可以使用NTFS安全限制文件和文件夹访问特定的组或个人用户。

你可以通过查看一个文件或文件夹的属性，选择“安全选项卡”，然后在“高级”里改变权限。

　　第九招：使用服务器文件审计功能。

　　确保你设置了审计，这样你可以看到是谁曾尝试读取、写入或删除你的机密文件或文件夹。

你可以通过查看一个文件或文件夹的属性，选择“安全选项卡”，然后在“高级”设置里选择“审核”选项卡来完成。

　　第十招：使用较少的特权执行管理任务。

　　尽可能的避开使用管理员特权。

同样，确保具有管理员权限的所有帐户，即使有密码策略也要强制执行强密码保护。

此外，笔者在此特别推荐一款专门用于Windows文件服务器的共享文件监控软件——维创共享文件审计系统（下载地址：szdataplus.com/gongxiangwenjianshenji.html）。

通过将维创共享文件审计系统安装在局域网文件服务器上，就可以全面监控局域网用户对文件服务器共享文件、服务器共享资料的全面监视，详细记录局域网用户对服务器共享文件的打开、复制、修改、删除、剪切和重命名等操作，并可以防止删除共享文件、禁止复制共享文件到访问者自己的电脑，但不影响局域网用户对共享文件的查看、修改等访问操作。

如下图所示：图：局域网共享资料管理软件图：详细记录局域网用户访问服务器的各种动作图：禁止复制服务器共享文件、禁止拷贝服务器共享文件图：禁止删除服务器共享文件、防止删除共享资料 总之，有效保护文件服务器的安全，一方面需要借助于从物理手段到技术手段的各种举措，从根源上防患未然，将各种危害文件服务器安全的因素消灭在萌芽状态；另一方面，我们也需要安装专门的文件服务器管理软件、服务器共享资料监控软件，详细记录局域网用户对共享文件的各种访问动作，形成详细的服务器共享资料访问日志，并且防止删除或恶意修改、复制共享资料的行为，这样才能较终实现文件服务器的安全，真正起到保护单位无形资产和商业机密的目的。