让共享数据无忧

2015-03-18 14:00
网络安全和信息化 2015年4期
关键词:组策略对话框选项

作为单位管理员,依据共享数据的重要程度,部署合适的安全策略,让共享数据安全无忧是相当有必要的。

基本部署要求

首先将共享数据所在磁盘分区转换成NTFS格式。这种分区格式有利于管理员灵活为共享数据按需指定访问权限,而且能通过服务器系统自带的EFS技术实施对重要数据的安全保护,避免重要数据的安全泄密,所以使用NTFS格式的磁盘分区保护重要共享数据,是确保数据访问安全的最基本要求。当发现保存重要共享数据的磁盘分区没有使用NTFS格式时,我们不妨依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中输入“convert X:/fs:ntfs /v”命令,将指定磁盘分区转换成NTFS格式。

其次严格管控好账号密码。在服务器系统成功安装好后,必须及时为来宾账号和管理员账号重命名,同时将其密码内容调整为更复杂、更长的值。例如,在重命名administrator账号名称时,可以依次点击“开始”、“运行”命令,弹出系统运行对话框,输入“gpedit.msc”命令并回车,开启系统组策略编辑器运行状态。在组策略编辑窗口左侧列表,逐一展开“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”节点,在目标节点下找到“帐户:重命名系统管理员帐户”组策略,用鼠标双击该组策略选项,打开如图1所示的选项设置框。在这里输入新的系统管理员名称,点击“确定”按钮保存设置即可。同样地,可以为来宾账号重新命名一个合适的账号名称。

在强制用户使用复杂密码时,可以逐一点选“开始”、“运行”命令,打开系统运行文本框,在其中执行“gpedit.msc”命令,弹出系统组策略控制台窗口;将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“账户策略”、“密码策略”节点上,在目标节点右侧区域,双击“密码必须符合复杂性要求”选项,弹出选项设置框,选中“已启用”选项,确认后保存设置操作。这样,日后管理员必须为访问账号设置复杂密码,才能通过服务器系统的复杂性要求。此外,为了保护重要数据所在系统的登录安全,我们应该定期变化登录密码内容。要做到这一点,不妨依次展开“本地计算机策略”、“计算机配置”、“Windows 设 置”、“安 全设置”、“账户策略”、“密码策略”节点,在目标节点右侧区域,双击“密码最长使用期限”组策略,切换到对应组策略属性对话框中,在其中设置好密码变化的间隔时间,例如输入“30”,按“确定”按钮后,系统会每隔30天就提示用户立即更改密码内容。

还有一点需要防止使用空白密码。使用空白的系统登录密码,容易给重要数据所在系统登录带来潜在的安全威胁,所以,为了保护重要共享数据安全,我们应该进行下面的操作,严格禁止使用空白密码:依次点击“开始”、“运行”命令,弹出系统运行对话框,输入“gpedit.msc”命令,展开系统组策略控制台窗口。将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”节点上;在目标节点下双击“帐户: 使用空密码的本地帐户只允许进行控制台登录”选项,打开对应选项属性对话框,将“已启用”选项选中,确认后保存设置即可。

第三禁止磁盘自动运行。默认状态下,将可移动存储设备插入到服务器系统,Windows系统会自动播放其中的内容,不少恶意程序往往会通过该功能,威胁服务器平台数据的安全。为此,我们需要禁止磁盘分区的自动播放功能,下面就是具体的操作步骤:依次单击“开始”、“运行”选项,弹出系统运行框,在其中执行“gpedit.msc”命令,开启系统组策略编辑器运行状态。将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“系统”节点上,双击“关闭自动播放”组策略,选中“已启用”选项,同时从关闭自动播放列表中选择移动存储设备或所有磁盘分区,确认后退出设置对话框即可。

高级部署要求

首先使用活动目录。在上网终端数量较多的局域网环境中,要是无法提供统一的目录服务,那么想要快速找到重要共享数据将成为问题,更不要说重要数据的共享权限分配和划分了。只有部署使用活动目录,改变网络访问方式,同时将重要数据所在的共享服务器添加到特定域中,才能通过域的强大控制功能增强重要共享数据的安全访问性。

其次使用配置向导加固安全。无论是Windows Server 2003系统还是Windows Server 2008系统,都支持安全配置向导功能,善于使用该功能,有利于服务器平台基于角色来设置重要数据的访问安全性。

第三加强对数据访问的安全监控。用户对服务器系统数据所进行的每一次访问,都会被系统日志文件自动记忆下来,善于分析利用日志文件,能及时知道用户访问数据的时间、地址、内容等,也能知道客户端访问目标、使用协议以及所用浏览器类型等,合理使用日志分析结果,有利于系统管理员作出更好的安全决策。例如,通过查看系统日志文件,管理员可以及时了解有没有恶意用户对重要共享数据所在的主机系统进行过入侵,一旦发生入侵攻击,系统日志都会将其自动监控记忆下来。日后,仔细查找攻击痕迹,就能知道恶意用户的攻击手法、攻击习惯以及其他一些攻击操作等,这些都有利于系统管理员及时采取针对性措施,有效防范非法攻击的再次光临。有丰富经验的系统管理员,都会养成查看分析数据服务器系统日志的习惯,以便从中判断重要数据是否被偷偷访问,对应主机系统是否发生意外关机等等。

为了在第一时间发现服务器的数据异常现象,我们可以基于系统的日志功能,对重要共享数据加强监控报警。例如,在Windows Server 2008服务器系统中,要对保存在服务器系统“F:aaa”文件夹中的数据进行监控报警时,可以依次点击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“gpedit.msc”命令,开启组策略编辑器运行状态。在该编辑窗口左侧列表中,依次展开“本地计算机策略”、“计算机配 置”、“Windows 设 置”、“安全设置”、“本地策略”、“审核策略”节点,双击该节点下的“审核对象访问”组策略,弹出组策略属性对话框,选中“成功”、“失败”选项,单击“确定”按钮保存设置操作。

之后进入系统资源管理器窗口,打开“F:aaa”文件夹右键菜单,点击其中的“属性”命令,选择“安全”标签,按下对应标签页面中的“高级”按钮,切换到高级安全设置对话框,在审核标签设置页面中,点击“添加”按钮,选中并添加自己熟悉的用户账号,确认后回到审核项目列表界面,在这里对“读取”、“读取扩展属性”等操作的成功、失败事件进行审核。

接下来对服务器中的“F:aaa”文件夹进行一次访问,访问记录会被系统日志功能自动监控下来。进入事件查看器窗口,选中之前生成的对“F:aaa”文件夹的访问记录,打开该事件记录的右键菜单,点击“将任务附加到此事件”命令,展开基本任务创建向导对话框,点击“下一步”按钮,单击“确定”按钮后,选中“显示消息”选项,输入监控报警提示标题和报警内容,单击“确定”按钮就能实现对重要共享数据的监控报警。

善用磁盘配额

要是重要数据所在主机系统对用户存储数据的容量不进行限制,那么对应主机系统的存储空间很快会被消耗殆尽,从而可能会影响数据访问的稳定性。为了避免这种情况发生,我们可以利用服务器系统自带的磁盘配额功能,监控和管理数据占用磁盘空间的情况,该功能可以有效预防恶意用户过度占用宝贵磁盘空间。

以Windows Server 2003系统为例,在限制用户使用磁盘空间时,先进入我的电脑窗口,找到需要让其他用户保存重要数据的磁盘分区,打开该磁盘分区的右键菜单,点击“属性”命令,单击属性对话框中的“配额”选项卡,展开磁盘配额选项设置页面。选中“启用配额管理”、“拒绝将磁盘空间给超过配额限制的用户”等选项,再在“磁盘空间控制限为”位置处输入合适数值,正常来说,应该将该数值输入为200M左右,将警告等级输入为180M左右,这样服务器系统中新创建的用户日后只能获得200M大小的磁盘使用空间,同时使用空间超过180M时,系统还会及时发出报警提示。

要想针对特定用户限制其数据占用磁盘空间,不妨点击“配额项”按钮,在其后界面中逐一单击“配额”、“新建配额项”命令,切换到用户选择对话框,选择并导入某个可信用户,按下“确定”按钮,在“磁盘空间控制限为”设置项处输入具体数值。这样,日后指定用户在本地计算机中存取数据时,就无法随意占用宝贵的磁盘空间了。值得注意的是,保存重要数据的磁盘分区必须使用NTFS文件格式,否则磁盘配额功能无法控制重要数据。要是特定磁盘分区使用的不是NTFS格式,可以通过“convert X: /fs:NTFS”命令来实现磁盘分区格式转换。

使用EFS保护数据

为了防止非授权用户随意访问重要共享数据,造成数据泄密事件发生,我们可以在基于Windows系统的服务器平台上,使用其自带的EFS技术,来保护重要共享数据的访问安全!该技术是针对NTFS格式数据的一种基于公钥策略的加密机制,可以实时对磁盘中的重要数据进行加密保护,那些没有合法密钥的用户是不能访问它们的。而在正常的数据访问过程中,合法用户根本觉察不到它的存在,非法用户访问时,会遇到“访问拒绝”的错误提示,这样数据访问权限就能得到很好控制。

使用EFS技术保护重要共享数据时,必须先将它们保存到NTFS格式分区中,之后打开系统资源管理器窗口,选中重要数据文件夹,从弹出的右键菜单中点击“属性”命令,展开重要数据文件夹属性框。点击“常规”标签,单击对应标签页面中的“高级”按钮,切换到高级对话框。选中“压缩或加密属性”设置项处的“加密内容以便保护数据”选项,单击“确定”按钮后选中“将更改应用于此文件夹、子文件夹和文件”选项,再次确认保存设置操作。这时,加密成功的数据文件名称,会以绿色字符显示出来,根据这种显示状态,可以直接识别出服务器中的哪些数据已被EFS加密。

对重要数据进行EFS加密后,服务器系统会自动生成独立安全证书,只要不删除它,它就能始终发挥保护作用。例如,当对“aaa”数据文件夹进行EFS加密后,对应证书将会自动生效,即使将其删除,但只要不注销或重启系统,重要数据的访问安全就会得到保证。在加密数据越来越多的时候,服务器系统自动生成的安全证书也会越来越多,但只有最新生成的安全证书对所有加密数据有效,因此仅保留最新安全证书,其他证书文件被删除掉,不会影响加密数据的正常访问。

猜你喜欢
组策略对话框选项
正常恢复虚拟机
通过PowerShell获取组策略安全报告
Bootlace Worms’Secret etc.
What Is Beauty?
如何完全卸载OneDrive
跟踪导练(四)
阅读理解
跟踪导练(5)
单项填空精选练习100道
浅谈VB的通用对话框《CommonDialog》控件的使用