當前在很多企事業(yè)單位局域網(wǎng)中，大都架設(shè)了文件服務(wù)器，用于存儲和共享單位一些內(nèi)部文件、無形資產(chǎn)，甚至是商業(yè)機密。因此，文件服務(wù)器的安全管理已經(jīng)成為企業(yè)網(wǎng)絡(luò)管理的重要組成部分，關(guān)系到企業(yè)的穩(wěn)健經(jīng)營。本文匯

當前在很多企事業(yè)單位局域網(wǎng)中，大都架設(shè)了文件服務(wù)器，用于存儲和共享單位一些內(nèi)部文件、無形資產(chǎn)，甚至是商業(yè)機密。因此，文件服務(wù)器的安全管理已經(jīng)成為企業(yè)網(wǎng)絡(luò)管理的重要組成部分，關(guān)系到企業(yè)的穩(wěn)健經(jīng)營。本文匯總了當前所有保護Windows文件服務(wù)器的方法技巧，便于企業(yè)網(wǎng)絡(luò)管理員全面管理文件服務(wù)器的安全，為企業(yè)的無形資產(chǎn)和商業(yè)機密保護提供強有力的支撐。

第一招：確保您的文件服務(wù)器在物理層面上是安全的

如果入侵者可以物理訪問你的服務(wù)器，那么你將會有被帶走整個機器或者一個硬盤的風險。除了要確保物理安全之外，你還應(yīng)該配置你的系統(tǒng)，讓它只從硬盤內(nèi)部來引導(dǎo)，防止入侵者從可移動的介質(zhì)來啟動系統(tǒng)。BIOS和引導(dǎo)加載程序，都應(yīng)該設(shè)置一個強大的密碼來進行保護。

第二招：加密你的文件服務(wù)器驅(qū)動器，實現(xiàn)服務(wù)器共享文件加密

使用類似于BitLocker系統(tǒng)來加密你的驅(qū)動器，這樣即使你的硬盤被盜或者被替換后扔到不安全的地方，仍能確保你的文件是安全的。在你的服務(wù)器上使用可信賴平臺模塊（TPM）確保使用BitLocker在管理員和用戶之間是公開透明的。

第三招：盡可能的讓文件共享服務(wù)器遠離網(wǎng)絡(luò)

由于大多數(shù)文件服務(wù)器都無法避免的要連接到互聯(lián)網(wǎng)，所以使用防火墻限制外部訪問你的局域網(wǎng)。

第四招：確保文件服務(wù)器更新了最新最全的補丁

即使你的Windows服務(wù)器沒有連接互聯(lián)網(wǎng)，你仍然要保證軟件的更新，通過在你網(wǎng)絡(luò)上的另一個服務(wù)器運行Windows服務(wù)器更新服務(wù)（WSUS）來完成。如果讓你的文件服務(wù)器，不聯(lián)網(wǎng)是不實際的話，那么你應(yīng)該確保Windows更新設(shè)置為自動下載并應(yīng)用補丁 - 除非你已經(jīng)有了一套下載和手動測試補丁的程序。

還有一個容易遺漏的地方就是IE瀏覽器的增強安全配置，因為很少會用到IE瀏覽器所以IE瀏覽器的安全往往會被忽略。你可以從控制面板查看互聯(lián)網(wǎng)增強的安全配置選項，添加Windows部分組件。

第五招：不要忘了防病毒軟件

即使你有網(wǎng)關(guān)的安全保護，也運行了個人的防病毒軟件，但你仍應(yīng)該運行企業(yè)級的防病毒軟件在你的文件服務(wù)器上。大多數(shù)企業(yè)的產(chǎn)品，允許你從本地服務(wù)器更新病毒數(shù)據(jù)（甚至是從你網(wǎng)絡(luò)上其他用戶運行的軟件上），但如果你的文件服務(wù)器沒有聯(lián)網(wǎng)的話，那么你可能無法充分利用基于網(wǎng)絡(luò)提供的額外保護。

第六招：去掉不必要的軟件

在你服務(wù)器上的那些肯定不需要的軟件如Flash，Silverlight，或Java.安裝這些軟件只會給黑客增加攻擊的機會。你可以從服務(wù)器中刪除沒用的控制面板。

第七招：停止不必要的服務(wù)

在Windows中，除非你特別需要這些（像遠程管理），否則你應(yīng)該停止像傳真服務(wù)，Messenger、IIS Admin、SMTP、任務(wù)調(diào)度器、Telnet、遠程桌面服務(wù)、萬維網(wǎng)發(fā)布服務(wù)等。

第八招：控制服務(wù)器共享文件的訪問，詳細記錄服務(wù)器共享文件訪問動作

您可以使用NTFS安全限制文件和文件夾訪問特定的組或個人用戶。你可以通過查看一個文件或文件夾的屬性，選擇“安全選項卡”，然后在“高級”里改變權(quán)限。

第九招：使用服務(wù)器文件審計、記錄文件服務(wù)器訪問日志

確保你設(shè)置了審計，這樣你可以看到是誰曾嘗試讀取、寫入或刪除你的機密文件或文件夾。你可以通過查看一個文件或文件夾的屬性，選擇“安全選項卡”，然后在“高級”設(shè)置里選擇“審核”選項卡來完成。

第十招：使用最少的特權(quán)執(zhí)行管理任務(wù)

盡可能避免使用管理員特權(quán)。同樣，確保具有管理員權(quán)限的所有帳戶，即使有密碼策略也要強制執(zhí)行強密碼保護。

此外，筆者在此特別推薦一款專門用于Windows文件服務(wù)器的共享文件監(jiān)控軟件——大勢至共享文件審計系統(tǒng)（下載地址：）。通過將大勢至共享文件審計系統(tǒng)安裝在局域網(wǎng)文件服務(wù)器上，就可以全面監(jiān)控局域網(wǎng)用戶對文件服務(wù)器共享文件、服務(wù)器共享資料的全面監(jiān)視，詳細記錄局域網(wǎng)用戶對服務(wù)器共享文件的打開、復(fù)制、修改、刪除、剪切和重命名等操作，并可以防止刪除共享文件、禁止復(fù)制共享文件到訪問者自己的電腦，但不影響局域網(wǎng)用戶對共享文件的查看、修改等訪問操作。

總之，有效保護文件服務(wù)器的安全，一方面需要借助于從物理手段到技術(shù)手段的各種舉措，從根源上防患未然，將各種危害文件服務(wù)器安全的因素消滅在萌芽狀態(tài)；另一方面，我們也需要安裝專門的文件服務(wù)器管理軟件、服務(wù)器共享資料監(jiān)控軟件，詳細記錄局域網(wǎng)用戶對共享文件的各種訪問動作，形成詳細的服務(wù)器共享資料訪問日志，并且防止刪除或惡意修改、復(fù)制共享資料的行為，這樣才能最終實現(xiàn)文件服務(wù)器的安全，真正起到保護單位無形資產(chǎn)和商業(yè)機密的目的。