win2003文件共享安全等

在Win 2003环境中增强共享文件安全

时间:2008-04-12 21:41来源:TechTarget 作者:

所有的公司组织都依靠文件服务器在用户之间共享信息。但是在默认情况下，不论文件夹的许可权限是什么情况，Windows服务器都将会向最终用户显示任何一个已共享的文件夹。

为确保那些不具有查看权限的非授权用户无法访问共享文件，Windows系统管理员通常必须去执行特殊技巧来防止这些用户查看比如像合伙人或者客户名称这样的非授权信息。

关于文件夹的一个例子是，建立一个用户能够查看信息但不允许去访问主目录的文件夹。一个主目录包含一个用户的文件和程序。对主目录的访问一般情况下需要指派给特定用户。主目录将用户文件放到一个位置，并且方便管理员去备份用户文件和删除用户帐号。主目录变成了一个存储用户创建的文件的默认目录，用户的命令和所用的应用没有一个指定的工作目录。

许多管理员选择使用一个临时账户去自动生成使用%username%名的主目录。当你管理一些用户帐户，并且每一个账户都有他自己的主目录的时候，这是一种比较简单的方法。只需要使用模板创建一个新帐号，并且主目录创建为“automagically”。这个操作将会自动地将新的主目录的完全控制权限指派给用户(创建主目录:在主目录路径中通过%用户名%创建主目录)。

IT系统管理员也可用一些其他的方法用来隐藏共享内容。其中一个例子是隐藏共享，这里在那些共享名末尾添加$符号来对共享内容进行隐藏。另一个办法是使用定制脚本来重置用户设置来指定共享文件夹。但是这些方法有一个问题就是它们并不是十分安全的。如果一个用户知道隐藏共享名，他们能够直接使用它，并且不管IT系统管理员是如何隐藏它的。

用户们都没有什么不同，大多数人天生好奇。一旦一个用户获得了对部分隐藏内容的察看权限，他们将会试着去查看那些他们并没有被授权的文件夹。结果就是：最好的情况是弹出一个错误信息提示框(如下图);糟糕的情况就是一个违规的访问操作将会导致安全许可权限的不恰当使用。

现在最大的问题是：怎样去平衡正常安全的访问和规避那些来自好奇者对隐藏的非授权信息的非法访问?问题解决的办法就是通过使用Access-based Enumeration(ABE)。

Access-based Enumeration

Access-based Enumeration是一项包含在WS03 SP1中的特性功能，它能够增强共享文件的安全性。基于用户的访问权限，ABE过滤共享文件夹的可见性。它能够防止文件夹或者其他的共享资源泄露给那些没有访问权限的用户。通过使用ABE，IT系统管理员能够确保用户只能查看他们具有访问权限的文件夹和文件，而那些他们不具有访问权限的文件夹和文件都不会在他们的文件和文件夹列表中被显示出来。(获得ABE ：Windows Server 2003 Access-based Enumeration 安装文件点此获得here.)

尽管ABE是包含在WS03 SP1中的工具软件，但是它并没有被默认添加到安装包中。这样的话，用户需要去下载合适的ABE引擎。每一个引擎适合不同的Windows安装文件或者MSI文件类型。有三种类型可用：用于32位系统的x86，用于64位系统的x64，以及用于Itanium系统的ia64。

一旦你下载了适合的ABE，就运行MSI，按照提示内容安装。如果有文件共享需求，ABE就可以被安装在文件服务器。如果你运行了交互地MSI，你将会看到将ABE应用在所有存在的共享文件上的提示，如下图。

你也可以在你的文件服务器上进行配置。因为它是一个MSI，你能够通过活动目录的组策略软件安装进行配置。但是如果你希望在安装过程中自动安装ABE，那么你需要将默认设置改为能够使用这项功能。

如果你不能访问转换安装工具，你只能进行简单的配置，并且接下来还要进行配置。Access-based enumeration同时提供图形交互界面和命令行工具两种方式来应用于共享资源。最简便的方法可能是安装完成后，使用命令行abecmd 工具运行脚本。下面的表格给出了可能被使用到的命令行。

使用图形交互界面，只需要右键点击共享文件夹，并选择属性。一个名为ABE的新标签将会出现在属性标签中，如下图示。

在这个共享文件夹中钩选能够使用access-based enumeration选项。通过使用ABE，具有权限的用户才能够看见文件夹，如下图示。

确认你的 NTFS 许可权限

你能够确保用于备份的服务账号总是具有访问共享文件夹的正确权限;如果不是这样的话，你的备份操作可能会失败。再一项是确保你具有所有共享文件夹的管理权限;否则，你对ABE的操作就会被拒绝。

解决你的文件共享问题

最好的解决方法是：最重要的事不要给用户显示未授权信息。使用ABE会接触并解决这个问题。你需要做的是在有需要时，在每一台文件服务器上使用配置工具进行ABE配置，另外一个简单的方法是保证你的网络环境安全

软件限制策略企业网络应用的关键

时间:2008-11-25 10:02来源:IT专家网作者:彭亮

在企业网络管理中，我们很重要的一块工作，就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具，或者不允许他们在上班时间看电影等等。要实现这些方面的控制，现在已经有不少好的工具。利用域控制器，来实现对某些软件的限制，也是其中一种比较流行的方式之一。

域环境中的软件限制策略，也就是说，当用户利用域帐户登陆到本机电脑的时候，系统会根据这个域帐户的访问权限，来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候，则操作系统就会拒绝用户访问某个应用软件，从而来管理企业员工的操作行为。

在这篇文章中，笔者将对软件限制策略的一些常识进行一些简短的介绍，然后在后续的文章中，笔者会结合自己公司的设置，来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。

一、应用软件与数据文件独立

在应用软件限制策略的时候，需要明白的第一个原则就是“应用软件与数据文件独立”独立原则。也就是说，你即使具有数据文件的访问权限，但是，若其没有其关联软件的访问权限的话，则仍然不能够打开这个文件。如现在某个用户从网上私自下载了一部电影，其作为所有者人，当然具有对这个数据文件进行访问的权限。但是，我们在软件限制策略设置的时候，这个用户帐户无法访问任何的视频播放软件。如此的话，这个用户仍然无法播放这部电影。

这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上下载文件。如用户若从网络上下载歌曲，甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是，我们对于用户电脑上应用程序的控制来说，则相对简单许多。我们只需要把这些应用程序控制好，则即使用户私自下载受限制的文件，则用户最终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。

二、软件限制策略的冲突处理原则

软件限制策略跟其他组策略一样，可以在多个级别上进行设置。或者说，软件限制策略是组策略中的一个特殊分支也未尝不可。所以，软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此，所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候，其优先性如何呢?

一般来说，其优先性的级别从高到低如下：