“保姆”计划 搞定服务器文件共享安全

Wengege

企业服务器上的文件是否常常被误删?　企业服务器是否已经成为了盗版电影的天堂，存储空间告急?　企业服务器上的文件是否被随意复制，机密档案不再安全?

服务器是为我们提供应用服务的，而网管员是在为服务器而“服务”，时刻注意着服务器的健康状况，在很多网管员眼里，服务器是一个娇贵的婴儿，网管员则是这个婴儿的保姆。

文件共享安全问题威胁企业发展

服务器为企业提供应用服务，网管员为服务器提供“健康”、安全服务，如何才能把服务器管理好?如何才能让服务器为企业提供的服务最优?这取决于我们对服务器的应用方式和管理办法。

案例一：某电气设备公司，共有200名员工，有多个不同的部门。以前公司采用共享文件夹的方式交换文件数据，但经常造成被窜改或误删除等现象。

案例二：某公司购买了一台服务器专门用于文件存储。公司要求在服务器上根据部门的特征建立不同文件夹，并根据不同的部门开放访问、删除、修改等权限。 虽然MIS(管理信息系统，Management Information System)部门已经建立了服务器重要文件的备份策略，并且对服务器安全进行了加固，防止内网病毒和非法入侵盗取数据的事件发生，但服务器的管理却没有 变简单。相反，服务器的存储空间被滥用，成了盗版电影的天堂。

案例三：2007年初，某企业将大笔资金投入到一项新产品的研发中，开发人员付出了几个月艰辛的劳动，然而产品投入市场不久，在市场上却出现了功能极 其类似的产品。经调查发现，原来参与研发的一个设计人员在跳槽时用移动硬盘将电脑中技术文档全部带到新公司里，并帮助新公司开发了类似产品。

管理问题剖析

上面的几个案例中，大多数企业中的文件服务器，提供了非常典型的“文件夹共享”服务方式。因为用户已经习惯了“文件夹共享”访问方式，一旦变更为 “FTP文件访问”的方式就很可能会遭到很多人的反对。为了迅速解决问题，只能在现有基础上优化服务器空间，并尽可能地对机密文件的访问加以保护、控制。

同时，由于服务器是面向整个局域网用户开放，若不对用户的使用空间进行限制的话，有可能一部分用户就会在服务器上随意存放歌曲、电影等文件，占用大量可用磁盘空间，造成滥用空间存储。

编辑观点：上面的案例看似个案，但却有极典型的代表性。例如，上面企业使用的“文件夹共享”服务方式，超过50%以上中小企业用户都是采用这一模式，暴露出的问题也基本一致。网络管理员在解决时，一定要照顾到用户的使用习惯，更要注意数据的科学管理。

“保姆”计划五步走

针对文件数据服务器的管理和优化可归纳为以下几个方面：

1.基本安全计划

NTFS格式的安全性可以为我们在以后的访问和加密中，提供更多设置，建议采用NTFS分区格式。

在服务器初始化完成之后，就应重命名Administrator 和Guest账户，然后将其密码更改为长而复杂的值。还要在每个服务器上使用不同的名称和密码，这将有效提高公司在文件访问方面的限制功能。
2.扩展安全计划
　　对案例一中那个公司的网络来说，在200名员工工作的情况下，没有统一的目录服务，寻找任何网络资源都成为问题，更别说后续的文件权限划分和调整了，需要尽快升级到活动目录控制下的网络运行方式。
　　Windows Server 2003通过提供安全配置向导(Security Configuration Wizard，简称SCW)之类的新安全工具增强了安全基础结构，有助于确保服务器基于角色来设置安全性。
　　3.存储空间限制计划
　　案例二中，由于没有限制用户的存储容量，导致文件服务器空间被大量占用。这主要是因为没有配置适当的保证措施和服务。以Windows Server 2003操作系统为例，可以使用磁盘配额跟踪和控制NTFS卷上的磁盘空间使用情况。磁盘配额可防止用户由于在超过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间(见图)。

图1
　　或者我们可以使用Windows Server 2003提供的文件服务器资源管理器(File Server Resource Manager，以下简称为FSRM)，也可以实现磁盘配额功能。
　　FSRM与NTFS的磁盘配额功能一样，采用了用户存储空间的限制功能，可以提供了包含管理、限制、监控三种功能共计六个模板。根据公司日常文 件存储的特性以及服务器实际的磁盘空间，我们可以自行创建配额模板(可以复制某一个模板信息)，FSRM在配置配额的“空间限制”选项中指定了存储空间的 大小。