让重要数据实现定向共享

引言： 在局域网工作环境中，为了保证员工之间的协同工作，常常会将工作数据以共享形式存储在服务器中。在共享发布数据的过程中，有时出于安全、保密等方面的考虑，不少重要数据往往要求只能实现定向共享。遇到这种情况时，该如何进行针对性设置，确保重要共享数据仅对授权用户是透明无障碍的呢？

做好准备工作

对于Windows服务器系统来说，通过系统内置的NTFS安全特性以及共享权限配置，可以设计用于保护重要共享数据免受非法用户访问，不管这些用户是来自单位内网还是外网。显然，在没有使用NTFS格式磁盘分区或没有启用高级文件共项功能的情况下，我们无法让重要数据实现定向共享。所以，在定向共享之前，我们必须要做好相关准备工作。

首先将存储重要数据的硬盘分区转换成NTFS系统。NTFS系统能够允许用户按需设置共享数据的访问权限，如果看到存储有重要共享数据的硬盘分区没有使用这种分区格式时，可以逐一选择“开始”、“运行”选项，展开系统运行文本框，输入字符串命令“convert X:/fs:ntfs /v”，将目标硬盘分区转换为NTFS系统。

图1 使用简单共享

其次启用高级文件共享功能。只有启用了该功能，管理员才能在保存共享数据的主机系统中，为不同用户分配合适的共享访问权限。依次点击“开始”、“设置”、“控制面板”命令，弹出系统控制面板窗口，逐一选择该窗口中的“工具”、“文件夹选项”命令，展开文件夹选项对话框，点选“查看”标签，在对应标签页面的“高级设置”列表中，将“使用简单文件共享（推荐）”选项取消选中（如图1所示），单击“确定”按钮保存设置操作。

第三，禁止使用空白密码。用空白密码登录保存有重要数据的主机系统，可能会给重要共享数据带来潜在的安全威胁，为了有效保护数据安全，必须禁止使用空白密码。打开系统运行文本框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。在该编辑窗口左侧，将鼠标跳转到“本地计算机策略”、“计算机配置”、“Windows 设 置”、“安全设置”、“本地策略”、“安全选项”分支上，找到指定分支下的“帐户: 使用空密码的本地帐户只允许进行控制台登录”组策略，并用鼠标双击之，选中其后界面中的“已启用”选项，单击“确定”按钮退出设置对话框即可。

第四，按需创建用户和组。为了实现定向共享发布，高级文件共享功能要求必须按需创建用户和组，以方便针对特定用户进行授权操作。用鼠标右键单击服务器系统桌面上的“我的电脑”图标，执行快捷菜单中的“管理”命令，弹出计算机管理窗口。在该窗口左侧列表中，将鼠标定位到“本地用户和组”、“用户”分支上，在指定分支下面，右击空白区域，选择快捷菜单中的“新用户”命令，弹出如图2所示的创建新用户设置对话框，在这里正确输入新用户帐号名称和密码信息，按下“创建”按钮结束新用户帐号创建操作。为防止使用简单密码，可以修改系统组策略，强制密码设置操作必须符合复杂性要求。要做到这一点，只要将鼠标定位到组策略编辑窗口的“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“账户策略”、“密码策略”分支上，双击该分支下的“密码必须符合复杂性要求”选项，选中“已启用”选项，确认后退出设置对话框即可。

图2 创建新用户对话框

图3 组策略属性设置页

除了要创建新用户外，也要创建组账号，以便将权限相同的用户全部添加到一个组中，从而达到简化管理用户权限目的。默认状态下，新用户属于“Users”组，要创建新的组账号时，可以将鼠标定位到计算机管理窗口左侧的“本地用户和组”、“组”分支上，在目标分支下面的空白区域右击，点击右键菜单中的“新建组”命令，弹出组账号创建对话框，设置好组账号名称，按下“添加”按钮，弹出用户账号选择对话框，之后逐一点击“高级”、“立即查找”按钮，选中要添加到特定组的用户账号名称，连续两次确认后就能完成组账号的创建任务了。

实现定向共享

既然要让重要数据定向共享，那肯定只能允许特定用户对重要数据进行共享访问，其他没有授权的用户则不能进行共享访问。要达到这个目的，必须要进行下面一系列配置操作。

1.控制网络访问操作

定向访问操作需要通过网络远程进行，控制网络访问权限，就能让特定用户登录服务器系统访问重要共享数据。首先在存储有重要数据的服务器系统中，逐一点击“开始”、“设置”、“控制面板”选项，展开系统控制面板窗口，依次双击该窗口中的“管理工具”、“本地安全策略”图标，切换到本地安全策略管理窗口。将鼠标定位到该窗口左侧列表中的“本地策略”、“用户权利指派”节点上，找到特定组策略选项“从网络访问此计算机”，并用鼠标双击之，弹出如图3所示的组策略属性对话框。

其次在用户账号列表中，选中不允许访问共享数据的用户账号，按下“删除”按钮，确认后退出设置对话框，这样被删除的特定用户日后就无法通过网络共享访问服务器中的重要数据了。如果发现授权用户账号名称没有出现在用户账号列表时，可以点击“添加”按钮，弹出用户账号选择对话框，将可以访问共享数据的特定用户账号选择并导入进来，单击“确定”按钮保存设置操作，确保可信用户可以通过网络顺利完成共享访问操作。

图4 安全选项卡

2.控制数据访问操作

以系统管理员权限登录服务器系统后，将需要共享发布的重要数据集中存储到特定文件夹中，用鼠标右键单击该文件夹图标，执行快捷菜单中的“属性”命令，进入特定文件夹属性对话框。点击“安全”选项卡，在对应标签页面的用户账号列表中（如图4所示），看看相关访问权限的用户或组账号名称是否显示在该列表中，要是可信用户账号或组账号名称不在该列表中时，可以点击“添加”按钮弹出账号选择对话框，在这里输入目标用户账号的名称，按下“检查名称”按钮，就能发现对应名称显示在其中。要是无法记清可信用户账号的名称时，不妨依次点击“高级”、“立即查找”按钮，在其后界面中直接选中添加即可。

当成功将可信用户或组账号加入后，对应账号名称就会出现在安全标签页面中，选中该账号名称，在访问权限列表中按需设置好重要数据的访问权限。例如，希望特定用户对共享数据拥有读取权限时，只要将读取权限设置为“成功”，单击“确定”按钮退出设置对话框即可。日后，特定可信用户通过网络以共享形式访问服务器系统中的共享数据时，就只能阅读数据内容，而无法向共享数据中写入内容。同样地，我们可以为与共享数据有直接关系的员工授予更高级别的操作权限。例如，可以授予共享数据所有者“完全控制”权限，授予普通关联的员工以“读取和运行”权限等。这样，所有与共享数据有直接关系或间接关系的员工，都能浏览到服务器共享数据中的内容，但是不同员工访问数据内容的权限不一样。

3.控制共享认证操作

为了防止局域网中的一些无关员工，利用合法用户帐号访问重要共享数据，我们必须在服务器系统启用共享身份认证功能，强制员工输入正确的认证密码，才能进行共享访问操作。

在进行该操作时，可以依次点击服务器系统的“开始”、“运行”命令，弹出系统运行对话框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。在该编辑窗口左侧显示窗格中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”分支上，找到该分支下的“网络访问：本地账户的共享和安全模式”选项，用鼠标双击该选项，弹出如图5所示的选项设置对话框。

在这里，不难看出服务器系统支持经典共享和仅来宾共享两种模式，其中“仅来宾”共享访问模式，不需要进行共享身份认证，就能快速访问到服务器中的重要共享数据。显然这不利于对重要共享数据提供安全控制。因此，我们必须选中这里的“经典-本地用户以用户的身份验证”选项，强制对所有用户进行共享身份认证，无法通过认证的用户将不能访问重要数据资源。经过这种设置后，一些无关用户即使盗用了合法用户帐号，但在不知道共享访问密码的情况下，他们依然无法访问重要共享数据。

图5 选项设置卡

图6 属性对话框

4.控制访问审核操作

为了保证重要数据定向共享访问安全，我们有必要了解哪些员工曾经访问了共享数据，以及对共享数据执行了哪些操作。要做到这一点，必须要严格控制数据访问审核操作，这样有利于在第一时间发现员工对共享数据的不正常操作行为。

首先，启用服务器系统的审核对象访问功能。依次点击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。逐一跳转到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“审核策略”分支上，找到“审核对象访问”选项并用鼠标双击之，展开如图6所示的组策略属性对话框，选中“失败”、“成功”选项，单击“确定”按钮保存设置操作。这样，服务器系统日后就能自动记忆共享数据的访问痕迹。

其次，设置共享数据的审核项目。进入服务器系统资源管理器窗口，找到重要共享数据所在的文件夹，打开它的右键菜单，选择“属性”命令，切换共享数据文件夹属性对话框。单击“安全”标签，按下对应标签设置页面中的“高级”按钮，切换到“审核”标签设置页面，单击“添加”按钮从其后对话框中导入合法可信的用户账号，单击“确定”按钮后弹出审核项目列表框。在“应用于”位置处，选中“该文件夹，子文件夹及文件”选项，同时在“访问”列表中，将“完全控制”、“列出文件夹/读取数据”、“删除”、“删除子文件夹及文件”等操作的“失败”、“成功”选项选中，确认后退出设置对话框。可信用户对重要共享数据的各种访问操作行为都会被监控记忆。

第三，查看数据访问痕迹。经过上述设置操作之后，我们就能随时查看哪些用户在何时访问了重要共享数据。依次单击“开始”、“设置”、“控制面板”命令，逐一双击控制面板窗口中的“管理工具”、“事件查看器”图标，进入事件查看器窗口，将鼠标定位到该窗口左侧安全性节点上，就能找到审核事件。用鼠标右键单击某个事件选项，单击右键菜单中“属性”命令，就能了解到相关事件的详细信息了。