作為單位管理員，依據(jù)共享數(shù)據(jù)的重要程度，部署合適的安全策略，讓共享數(shù)據(jù)安全無憂是相當(dāng)有必要的。

基本部署要求

首先將共享數(shù)據(jù)所在磁盤分區(qū)轉(zhuǎn)換成NTFS格式。這種分區(qū)格式有利于管理員靈活為共享數(shù)據(jù)按需指定訪問權(quán)限，而且能通過服務(wù)器系統(tǒng)自帶的EFS技術(shù)實(shí)施對(duì)重要數(shù)據(jù)的安全保護(hù)，避免重要數(shù)據(jù)的安全泄密，所以使用NTFS格式的磁盤分區(qū)保護(hù)重要共享數(shù)據(jù)，是確保數(shù)據(jù)訪問安全的最基本要求。當(dāng)發(fā)現(xiàn)保存重要共享數(shù)據(jù)的磁盤分區(qū)沒有使用NTFS格式時(shí)，我們不妨依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中輸入“convert X:/fs:ntfs /v”命令，將指定磁盤分區(qū)轉(zhuǎn)換成NTFS格式。

其次嚴(yán)格管控好賬號(hào)密碼。在服務(wù)器系統(tǒng)成功安裝好后，必須及時(shí)為來賓賬號(hào)和管理員賬號(hào)重命名，同時(shí)將其密碼內(nèi)容調(diào)整為更復(fù)雜、更長(zhǎng)的值。例如，在重命名administrator賬號(hào)名稱時(shí)，可以依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在組策略編輯窗口左側(cè)列表，逐一展開“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”節(jié)點(diǎn)，在目標(biāo)節(jié)點(diǎn)下找到“帳戶：重命名系統(tǒng)管理員帳戶”組策略，用鼠標(biāo)雙擊該組策略選項(xiàng)，打開如圖1所示的選項(xiàng)設(shè)置框。在這里輸入新的系統(tǒng)管理員名稱，點(diǎn)擊“確定”按鈕保存設(shè)置即可。同樣地，可以為來賓賬號(hào)重新命名一個(gè)合適的賬號(hào)名稱。

在強(qiáng)制用戶使用復(fù)雜密碼時(shí)，可以逐一點(diǎn)選“開始”、“運(yùn)行”命令，打開系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略控制臺(tái)窗口；將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“賬戶策略”、“密碼策略”節(jié)點(diǎn)上，在目標(biāo)節(jié)點(diǎn)右側(cè)區(qū)域，雙擊“密碼必須符合復(fù)雜性要求”選項(xiàng)，彈出選項(xiàng)設(shè)置框，選中“已啟用”選項(xiàng)，確認(rèn)后保存設(shè)置操作。這樣，日后管理員必須為訪問賬號(hào)設(shè)置復(fù)雜密碼，才能通過服務(wù)器系統(tǒng)的復(fù)雜性要求。此外，為了保護(hù)重要數(shù)據(jù)所在系統(tǒng)的登錄安全，我們應(yīng)該定期變化登錄密碼內(nèi)容。要做到這一點(diǎn)，不妨依次展開“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè) 置”、“安 全設(shè)置”、“賬戶策略”、“密碼策略”節(jié)點(diǎn)，在目標(biāo)節(jié)點(diǎn)右側(cè)區(qū)域，雙擊“密碼最長(zhǎng)使用期限”組策略，切換到對(duì)應(yīng)組策略屬性對(duì)話框中，在其中設(shè)置好密碼變化的間隔時(shí)間，例如輸入“30”，按“確定”按鈕后，系統(tǒng)會(huì)每隔30天就提示用戶立即更改密碼內(nèi)容。

還有一點(diǎn)需要防止使用空白密碼。使用空白的系統(tǒng)登錄密碼，容易給重要數(shù)據(jù)所在系統(tǒng)登錄帶來潛在的安全威脅，所以，為了保護(hù)重要共享數(shù)據(jù)安全，我們應(yīng)該進(jìn)行下面的操作，嚴(yán)格禁止使用空白密碼：依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令，展開系統(tǒng)組策略控制臺(tái)窗口。將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”節(jié)點(diǎn)上；在目標(biāo)節(jié)點(diǎn)下雙擊“帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄”選項(xiàng)，打開對(duì)應(yīng)選項(xiàng)屬性對(duì)話框，將“已啟用”選項(xiàng)選中，確認(rèn)后保存設(shè)置即可。

第三禁止磁盤自動(dòng)運(yùn)行。默認(rèn)狀態(tài)下，將可移動(dòng)存儲(chǔ)設(shè)備插入到服務(wù)器系統(tǒng)，Windows系統(tǒng)會(huì)自動(dòng)播放其中的內(nèi)容，不少惡意程序往往會(huì)通過該功能，威脅服務(wù)器平臺(tái)數(shù)據(jù)的安全。為此，我們需要禁止磁盤分區(qū)的自動(dòng)播放功能，下面就是具體的操作步驟：依次單擊“開始”、“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”節(jié)點(diǎn)上，雙擊“關(guān)閉自動(dòng)播放”組策略，選中“已啟用”選項(xiàng)，同時(shí)從關(guān)閉自動(dòng)播放列表中選擇移動(dòng)存儲(chǔ)設(shè)備或所有磁盤分區(qū)，確認(rèn)后退出設(shè)置對(duì)話框即可。

高級(jí)部署要求

首先使用活動(dòng)目錄。在上網(wǎng)終端數(shù)量較多的局域網(wǎng)環(huán)境中，要是無法提供統(tǒng)一的目錄服務(wù)，那么想要快速找到重要共享數(shù)據(jù)將成為問題，更不要說重要數(shù)據(jù)的共享權(quán)限分配和劃分了。只有部署使用活動(dòng)目錄，改變網(wǎng)絡(luò)訪問方式，同時(shí)將重要數(shù)據(jù)所在的共享服務(wù)器添加到特定域中，才能通過域的強(qiáng)大控制功能增強(qiáng)重要共享數(shù)據(jù)的安全訪問性。

其次使用配置向?qū)Ъ庸贪踩o論是Windows Server 2003系統(tǒng)還是Windows Server 2008系統(tǒng)，都支持安全配置向?qū)Чδ?，善于使用該功能，有利于服?wù)器平臺(tái)基于角色來設(shè)置重要數(shù)據(jù)的訪問安全性。

第三加強(qiáng)對(duì)數(shù)據(jù)訪問的安全監(jiān)控。用戶對(duì)服務(wù)器系統(tǒng)數(shù)據(jù)所進(jìn)行的每一次訪問，都會(huì)被系統(tǒng)日志文件自動(dòng)記憶下來，善于分析利用日志文件，能及時(shí)知道用戶訪問數(shù)據(jù)的時(shí)間、地址、內(nèi)容等，也能知道客戶端訪問目標(biāo)、使用協(xié)議以及所用瀏覽器類型等，合理使用日志分析結(jié)果，有利于系統(tǒng)管理員作出更好的安全決策。例如，通過查看系統(tǒng)日志文件，管理員可以及時(shí)了解有沒有惡意用戶對(duì)重要共享數(shù)據(jù)所在的主機(jī)系統(tǒng)進(jìn)行過入侵，一旦發(fā)生入侵攻擊，系統(tǒng)日志都會(huì)將其自動(dòng)監(jiān)控記憶下來。日后，仔細(xì)查找攻擊痕跡，就能知道惡意用戶的攻擊手法、攻擊習(xí)慣以及其他一些攻擊操作等，這些都有利于系統(tǒng)管理員及時(shí)采取針對(duì)性措施，有效防范非法攻擊的再次光臨。有豐富經(jīng)驗(yàn)的系統(tǒng)管理員，都會(huì)養(yǎng)成查看分析數(shù)據(jù)服務(wù)器系統(tǒng)日志的習(xí)慣，以便從中判斷重要數(shù)據(jù)是否被偷偷訪問，對(duì)應(yīng)主機(jī)系統(tǒng)是否發(fā)生意外關(guān)機(jī)等等。

為了在第一時(shí)間發(fā)現(xiàn)服務(wù)器的數(shù)據(jù)異?，F(xiàn)象，我們可以基于系統(tǒng)的日志功能，對(duì)重要共享數(shù)據(jù)加強(qiáng)監(jiān)控報(bào)警。例如，在Windows Server 2008服務(wù)器系統(tǒng)中，要對(duì)保存在服務(wù)器系統(tǒng)“F:aaa”文件夾中的數(shù)據(jù)進(jìn)行監(jiān)控報(bào)警時(shí)，可以依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，開啟組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)列表中，依次展開“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配 置”、“Windows 設(shè) 置”、“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點(diǎn)，雙擊該節(jié)點(diǎn)下的“審核對(duì)象訪問”組策略，彈出組策略屬性對(duì)話框，選中“成功”、“失敗”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。

之后進(jìn)入系統(tǒng)資源管理器窗口，打開“F:aaa”文件夾右鍵菜單，點(diǎn)擊其中的“屬性”命令，選擇“安全”標(biāo)簽，按下對(duì)應(yīng)標(biāo)簽頁面中的“高級(jí)”按鈕，切換到高級(jí)安全設(shè)置對(duì)話框，在審核標(biāo)簽設(shè)置頁面中，點(diǎn)擊“添加”按鈕，選中并添加自己熟悉的用戶賬號(hào)，確認(rèn)后回到審核項(xiàng)目列表界面，在這里對(duì)“讀取”、“讀取擴(kuò)展屬性”等操作的成功、失敗事件進(jìn)行審核。

接下來對(duì)服務(wù)器中的“F:aaa”文件夾進(jìn)行一次訪問，訪問記錄會(huì)被系統(tǒng)日志功能自動(dòng)監(jiān)控下來。進(jìn)入事件查看器窗口，選中之前生成的對(duì)“F:aaa”文件夾的訪問記錄，打開該事件記錄的右鍵菜單，點(diǎn)擊“將任務(wù)附加到此事件”命令，展開基本任務(wù)創(chuàng)建向?qū)?duì)話框，點(diǎn)擊“下一步”按鈕，單擊“確定”按鈕后，選中“顯示消息”選項(xiàng)，輸入監(jiān)控報(bào)警提示標(biāo)題和報(bào)警內(nèi)容，單擊“確定”按鈕就能實(shí)現(xiàn)對(duì)重要共享數(shù)據(jù)的監(jiān)控報(bào)警。

善用磁盤配額

要是重要數(shù)據(jù)所在主機(jī)系統(tǒng)對(duì)用戶存儲(chǔ)數(shù)據(jù)的容量不進(jìn)行限制，那么對(duì)應(yīng)主機(jī)系統(tǒng)的存儲(chǔ)空間很快會(huì)被消耗殆盡，從而可能會(huì)影響數(shù)據(jù)訪問的穩(wěn)定性。為了避免這種情況發(fā)生，我們可以利用服務(wù)器系統(tǒng)自帶的磁盤配額功能，監(jiān)控和管理數(shù)據(jù)占用磁盤空間的情況，該功能可以有效預(yù)防惡意用戶過度占用寶貴磁盤空間。

以Windows Server 2003系統(tǒng)為例，在限制用戶使用磁盤空間時(shí)，先進(jìn)入我的電腦窗口，找到需要讓其他用戶保存重要數(shù)據(jù)的磁盤分區(qū)，打開該磁盤分區(qū)的右鍵菜單，點(diǎn)擊“屬性”命令，單擊屬性對(duì)話框中的“配額”選項(xiàng)卡，展開磁盤配額選項(xiàng)設(shè)置頁面。選中“啟用配額管理”、“拒絕將磁盤空間給超過配額限制的用戶”等選項(xiàng)，再在“磁盤空間控制限為”位置處輸入合適數(shù)值，正常來說，應(yīng)該將該數(shù)值輸入為200M左右，將警告等級(jí)輸入為180M左右，這樣服務(wù)器系統(tǒng)中新創(chuàng)建的用戶日后只能獲得200M大小的磁盤使用空間，同時(shí)使用空間超過180M時(shí)，系統(tǒng)還會(huì)及時(shí)發(fā)出報(bào)警提示。

要想針對(duì)特定用戶限制其數(shù)據(jù)占用磁盤空間，不妨點(diǎn)擊“配額項(xiàng)”按鈕，在其后界面中逐一單擊“配額”、“新建配額項(xiàng)”命令，切換到用戶選擇對(duì)話框，選擇并導(dǎo)入某個(gè)可信用戶，按下“確定”按鈕，在“磁盤空間控制限為”設(shè)置項(xiàng)處輸入具體數(shù)值。這樣，日后指定用戶在本地計(jì)算機(jī)中存取數(shù)據(jù)時(shí)，就無法隨意占用寶貴的磁盤空間了。值得注意的是，保存重要數(shù)據(jù)的磁盤分區(qū)必須使用NTFS文件格式，否則磁盤配額功能無法控制重要數(shù)據(jù)。要是特定磁盤分區(qū)使用的不是NTFS格式，可以通過“convert X: /fs:NTFS”命令來實(shí)現(xiàn)磁盤分區(qū)格式轉(zhuǎn)換。

使用EFS保護(hù)數(shù)據(jù)

為了防止非授權(quán)用戶隨意訪問重要共享數(shù)據(jù)，造成數(shù)據(jù)泄密事件發(fā)生，我們可以在基于Windows系統(tǒng)的服務(wù)器平臺(tái)上，使用其自帶的EFS技術(shù)，來保護(hù)重要共享數(shù)據(jù)的訪問安全！該技術(shù)是針對(duì)NTFS格式數(shù)據(jù)的一種基于公鑰策略的加密機(jī)制，可以實(shí)時(shí)對(duì)磁盤中的重要數(shù)據(jù)進(jìn)行加密保護(hù)，那些沒有合法密鑰的用戶是不能訪問它們的。而在正常的數(shù)據(jù)訪問過程中，合法用戶根本覺察不到它的存在，非法用戶訪問時(shí)，會(huì)遇到“訪問拒絕”的錯(cuò)誤提示，這樣數(shù)據(jù)訪問權(quán)限就能得到很好控制。

使用EFS技術(shù)保護(hù)重要共享數(shù)據(jù)時(shí)，必須先將它們保存到NTFS格式分區(qū)中，之后打開系統(tǒng)資源管理器窗口，選中重要數(shù)據(jù)文件夾，從彈出的右鍵菜單中點(diǎn)擊“屬性”命令，展開重要數(shù)據(jù)文件夾屬性框。點(diǎn)擊“常規(guī)”標(biāo)簽，單擊對(duì)應(yīng)標(biāo)簽頁面中的“高級(jí)”按鈕，切換到高級(jí)對(duì)話框。選中“壓縮或加密屬性”設(shè)置項(xiàng)處的“加密內(nèi)容以便保護(hù)數(shù)據(jù)”選項(xiàng)，單擊“確定”按鈕后選中“將更改應(yīng)用于此文件夾、子文件夾和文件”選項(xiàng)，再次確認(rèn)保存設(shè)置操作。這時(shí)，加密成功的數(shù)據(jù)文件名稱，會(huì)以綠色字符顯示出來，根據(jù)這種顯示狀態(tài)，可以直接識(shí)別出服務(wù)器中的哪些數(shù)據(jù)已被EFS加密。

對(duì)重要數(shù)據(jù)進(jìn)行EFS加密后，服務(wù)器系統(tǒng)會(huì)自動(dòng)生成獨(dú)立安全證書，只要不刪除它，它就能始終發(fā)揮保護(hù)作用。例如，當(dāng)對(duì)“aaa”數(shù)據(jù)文件夾進(jìn)行EFS加密后，對(duì)應(yīng)證書將會(huì)自動(dòng)生效，即使將其刪除，但只要不注銷或重啟系統(tǒng)，重要數(shù)據(jù)的訪問安全就會(huì)得到保證。在加密數(shù)據(jù)越來越多的時(shí)候，服務(wù)器系統(tǒng)自動(dòng)生成的安全證書也會(huì)越來越多，但只有最新生成的安全證書對(duì)所有加密數(shù)據(jù)有效，因此僅保留最新安全證書，其他證書文件被刪除掉，不會(huì)影響加密數(shù)據(jù)的正常訪問。