局域网中的很多同事反映,最近被“鬼”缠身,共享文件夹中的数据文件被偷窃和恶意修改不说,就连其本人的绝密文件--客户资料,也被人在论坛中公布于众。作为网络管理员,笔者马上查找漏洞,寻找“驱鬼”大法,发表安全文章,让数据安全再无忧。
防控USB设备
在办公网络中,利用USB存储设备是一种很常用的方法。虽然USB设备方便小成日常交换数据,但它同时也为“幽灵”的入侵埋下祸根,这些幽灵趁小成暂时离开办公室,快速行动,穿过小小的办公室,将USB存储设备连接到电脑的USB接口,窃取一些重要的报表数据。防不胜防。
所以对于那些存有保密数据的部门,还是要使用第三方工具来限制USB设备的使用更安全,如USB安全存储专家。
运行“USB安全存储专家”登录后,首先将需要授权访问本机的USB设备正确连接到USB接口。然后进入到左侧的“高级设置”框,点击“写入指纹”按钮,完成指纹的写入操作。接着进入“安全设置”框,勾选“启用指纹识别”项目(图1),选择下方的“完全阻止”选项。这样一来没被授权的USB设备将会被完全阻止,大大增强本机中数据文件的安全。
防守共享文件夹之门
每到月底业务部的几个同事就要共同处理本月的客户报表,为了方便同事获得报表数据,同事A往往使用共享文件夹方式共享这些重要的报表。但是没有给共享文件夹指定用户访问权限,这样一来,办公室所有的同事都可以访问、修改该共享中的报表数据了,当然也包括这些可恶的“幽灵”了。月底报表工作要持续好几天,因此这些共享文件夹也一直存在,此外A同事经常在工作结束后,忘记取消这些共享。因此这些“幽灵”可以在任意时间,在没有任何迹象的状况下潜入他的电脑,窃取重要的报表数据文件。但日常办公又离不开共享文件夹。如何拒“幽灵”于门外呢?合理设置共享数据文件的访问权限势在必行。
下面小成以“cpcw”报表共享文件夹为例,来设置办公室用户对该共享文件夹的访问权限。其中“user1”用户拥有浏览、删除和修改报表数据的权限,而其他用户则不能访问报表数据,甚至连浏览报表的权限都没有。
1.共享权限,拒“鬼”于门外
在资源管理器中右键点击“cpcw”共享文件夹,选择“属性”选项,切换到“共享”标签页。点击“权限”按钮,弹出“共享权限”设置对话框(图2)。
为了防止“幽灵” 非法闯入“cpcw”共享文件夹,偷窃和窜改其中的报表数据,小成首先将“Everyone”账号删除。接着小成为“user1”用户配置共享访问权限。点击“添加”按钮,将“user1”用户添加到“组或用户名称”栏中,然后在“user1的权限”框中,勾选“读取”和“更改”后面的“允许”选项,最后点击“确定”。
2. ACL能当看门“钟馗”
只设置共享权限还是不能有效阻挡“幽灵”的入侵,为进一步加强共享文件安全,还要合理利用“ACL用户访问权限”(ACL是系统的访问控制列表,在本文中是指Windows系统提供的一套用户的文件访问权限控制机制)来限制网络访问。首先小成要保证使用的文件系统是NTFS,如果是FAT32,可以使用covert命令或Partition Magic工具转换。
在“cpcw”“属性”对话框切换到“安全”标签页,为“user1”用户设置ACL用户访问权限。点击“添加”按钮,将“user1”用户添加到列表框中,接着在“user1的权限”框中,勾选“读取和运行、列出文件夹目录、读取、修改和写入”后面的“允许”选项(图3),最后点击“确定”。
这样一来只有“user1”用户能在办公室网络中自由访问“cpcw”共享文件夹中的报表数据,而这些可怕的“幽灵”就无权访问,强行入内只会出现拒绝访问提示框。“cpcw”共享文件夹的安全性就大大增强了,即使工作完成后,不取消共享也不怕。