局域网共享文件的安全一直是广大网管员比较关注的网络管理问题,尤其是很多企事业单位局域网都会在文件服务器上共享一些重要文件供局域网用户访问,同时为了便于修改和使用共享文件,通常将共享文件设置为完全访问权限,这在方便了局域网用户使用共享文件的同时,也极大地增加了共享文件的安全隐患,一些局域网用户经常不小心或恶意删除共享文件,导致了共享文件丢失的情况,给局域网网络管理带来很大威胁,甚至还可能影响企业的稳健、正常运营。
笔者所在学校组建了局域网。为了缩短成绩处理的时间,学校要求每次考试结束后,各任课老师利用自己办公室的计算机,通过局域网将成绩输入到学校指定的一台计算机内的成绩表中。为了实现同时录入的目的,我们是这样做的:
在负责成绩处理的计算机(教务机)中建立一文件夹,命名为“考试成绩登录”,并将该文件夹访问权限设置为“完全共享”。在该文件夹中用Excel建立一工作簿(取名为“××级考试成绩表”),在其中的一个工作表(如sheet1)中按学校的统计要求设置好成绩表,并将该工作簿设置为“共享工作簿”。设置方法是:在Excel“工具”菜单下选择“共享工作簿”,在“编辑”选项卡中选中“允许多用户同时编辑,同时允许工作簿合并”,然后单击[确定]按钮(图1)。
这样,各任课老师通过局域网中的任何一台计算机,依次打开“网上邻居→教务→考试成绩登录→××级考试成绩表”,就可以多人同时在同一表格中输入考试成绩了。
由于 “考试成绩登录”文件夹只能设置为“完全共享”,所以任何人都可以通过网上的任意一台计算机修改甚至删除里面的文件,很不安全。在后面的实际使用过程中,也出现过误删成绩表的情况。通过实验发现,当成绩表被删除后,在教务机和执行删除操作的计算机的“回收站”里都找不到,学校只得通知各任课老师重新输入成绩,这样即浪费时间,又耗费了各位老师的精力。
后来,经过我们在工作中的摸索,找到了一个行之有效的方法,可以在服务器操作系统中很好地保护完全共享文件。具体做法有两种,如下:
方法一、通过在服务器上设置文件夹访问权限的方式来阻止删除共享文件
在教务机上建立两个完全共享文件夹“$考试成绩登录$”和“考试成绩登录”(注意:文件夹名称两端的$是英文符号,不能输错,也不能丢掉!通过在文件夹名称两端加$,我们就可以彻底将该文件夹在局域网中隐藏起来,即使是使用了“显示所有文件”的查看方式也不会看到),将事先设置好的工作簿“××级考试成绩表”放进“$考试成绩登录$”文件夹内,然后在局域网中的另外一台计算机上依次打开“网上邻居→教务→考试成绩登录”,在地址栏中将“考试成绩登录”改为“$考试成绩登录$”,然后敲回车键,打开“$考试成绩登录$”文件夹。因为该文件夹通过网上邻居是看不到的,无法用双击鼠标的方式打开文件夹,只能在地址栏内输入其正确地址才能打开(教务考试成绩登录)。
打开“$考试成绩登录$”文件夹后,用鼠标右键单击“××级考试成绩表”,在弹出的快捷菜单中选择“创建快捷方式”,将创建的快捷方式图标“剪切”并“粘贴”到“考试成绩登录”文件夹中,将其名称也改为“××级考试成绩表”。最后在教务机上将“考试成绩登录”文件夹访问权限改为“只读共享”。
这样,从网络中的其他计算机上打开“考试成绩登录”文件夹后,双击“××级考试成绩表”图标,就可以打开“$考试成绩登录$”文件夹里的“××级考试成绩表”,进行成绩录入。如果有谁不小心在“考试成绩登录”文件夹里对“××级考试成绩表”执行了“删除”操作,马上就会弹出2所示的提示窗口。而真正保存考试成绩的“××级考试成绩表”,在网络中是根本看不到的,也就不会被删除掉了。
通过这种方法,我们就可以很好地将成绩表保护起来,同时又可以使广大任课老师能够随时通过局域网输入考试成绩。
方法二、通过部署专门的服务器共享文件夹管理软件来保护服务器共享文件的安全,阻止删除服务器共享文件。
上面的方法虽然可以防止删除共享文件,但是操作较为复杂,同时对于Windows2003和2008服务器上对多用户访问的时候,设置更为繁琐。为此,有条件的单位,建议部署一套专门的服务器共享文件管理软件——大势至共享文件审计系统(下载地址: http://www.grablan.com/gongxiangwenjianshenji.html ),通过在文件服务器上部署大势至共享文件审计系统之后,局域网所有用户对服务器共享文件的打开、复制、修改、删除、剪切和重命名等所有操作行为都可以详细记录下来(访问者的电脑不需要安装客户端软件,也不需要调整服务器、网络结构),同时还可以阻止删除服务器共享文件,而且还不影响对服务器共享文件的修改,从而极大地方便了对共享文件的管理和访问控制。
图:大势至共享文件审计系统登录界面
一旦将服务器共享文件或共享文件夹加入到大势至共享文件审计系统的“保护路径”之后,就可以阻止局域网用户对共享文件的不小心或恶意删除动作,防止了共享文件的丢失。
图:在完全访问权限的情况下依然无法删除服务器共享文件
同时,对于一些企事业单位,可能会防止防止员工将服务器的共享文件复制到访问者自己的电脑,为此,大势至共享文件审计系统集成了“禁止复制服务器共享文件”的功能,但不影响对服务器共享文件的打开、修改等操作,
图:无法复制服务器共享文件到访问者自己的电脑
总之,局域网防止共享文件被删除、禁止复制服务器共享文件是保护企事业单位商业机密的重要举措。而实现这些网络管理功能,一方面可以借助于服务器自身的文件夹访问权限控制;另一方面也可以借助于专门的服务器共享文件访问控制软件,以此来实现对局域网共享文件的完全控制,保护单位无形资产和商业机密的安全。