當前，在企事業(yè)單位內部局域網(wǎng)中，常常在服務器上共享一些重要的文件供局域網(wǎng)用戶使用，極大地方便了企業(yè)內部資源、信息、文件的交換和使用。但是，由于缺乏對局域網(wǎng)用戶訪問共享文件的管理和控制，使得員工訪問共享文件的各種操作行為，如讀取、修改、刪除、剪切和重命名等無法有效管理和記錄，從而一旦員工私自拷貝和竊取公司的商業(yè)機密也無法進行有效的查證和防范，同時如果員工不小心或有意刪除共享文件的行為也無法進行有效的預防和保護，從而容易給企業(yè)帶來巨大風險和重大損失。

而如果通過服務器配置不同用戶，設定不同權限來限制員工訪問共享文件的方式，由于操作極為復雜，在企業(yè)員工數(shù)量較多的情況下，工作量也極大，從而不利于有效管理共享文件、監(jiān)控共享文件的使用，也無法有效保護單位的商業(yè)機密和信息安全。因此，企事業(yè)單位迫切需要一套專門的共享文件監(jiān)控軟件、局域網(wǎng)共享軟件來記錄局域網(wǎng)用戶對共享文件的各種操作，同時有效防止員工有意或不小心刪除共享文件而給企業(yè)帶來的重大損失。
 

2.  Windows服務器共享文件訪問方式

2.1  使用服務器本地賬戶訪問Windows服務器共享文件

通常情況下，需要將文件服務器接入局域網(wǎng)交換機，然后設置共享文件，同時創(chuàng)建本地賬戶，并為本地帳號設置共享文件的各自訪問權限，局域網(wǎng)用戶訪問服務器共享文件時輸入服務器本地賬戶，然后獲得相應的共享文件訪問權限。
 

2.2  基于Windows服務器AD域控制器訪問共享文件

由于Windows域控制器在局域網(wǎng)用戶電腦使用行為管理、共享文件訪問權限控制方面的重要作用，使得當前很多企事業(yè)單位都組建了域環(huán)境，通過域控制器創(chuàng)建域帳號，并為域帳號設置共享文件訪問權限的方式來實現(xiàn)對共享文件訪問權限的控制。
 

雖然通過以上方法可以實現(xiàn)一定程度上的共享文件訪問權限控制，但是由于不管是通過本地賬戶分配權限還是域控制器設置共享文件訪問權限的方式，都存在一定的不足，甚至也無法有效保護共享文件的安全。
 

3.  大勢至局域網(wǎng)共享文件管理系統(tǒng)的安裝部署方式

    大勢至局域網(wǎng)共享管理系統(tǒng)（點擊下載）的安裝部署極為靈活簡單，目前支持以下兩種部署方式：
 
    1、直接將大勢至局域網(wǎng)共享文件管理系統(tǒng)部署在共享文件服務器上面。如下圖所示：

    目前，本系統(tǒng)支持Windows XP以上所有主流的操作系統(tǒng)，并優(yōu)先推薦用戶在Windows Server 2003、2008、2012等服務器操作系統(tǒng)上安裝部署。
 
    2、通過串接、橋接的方式部署在共享文件服務器和交換機之間。如下圖所示：
 

3.1  本系統(tǒng)如何實現(xiàn)共享文件訪問權限控制

本系統(tǒng)基于NDIS核心層文件過濾驅動進行實現(xiàn)，并針對不同操作系統(tǒng)版本集成了Windows操作系統(tǒng)各個版本的NDIS版本，從而保證了系統(tǒng)的兼容性。具體處理流程如下：

其中，較上層是一個NDIS Protocol Driver，它向上提供一個Transport Driver Interface(TDI)，向下通過NDIS接口與下面的NDIS中間層的上邊界交互，NDIS中間層的下邊界通過NDIS接口與下層的NDIS交互。較后，由下層NDIS接口與物理網(wǎng)絡設備NetCard交互。

同時，本系統(tǒng)對共享文件訪問動作的識別基于NetBIOS協(xié)議來實現(xiàn)。為了識別用戶對共享文件的各類動作（比如刪除、重命名等），需要對會話層（session layer）和表示層（presentation layer）以及小部分應用層（application layer）的協(xié)議進行全解析；由于NetBIOS協(xié)議存在上下文，因此在會話開始和結束的時候要對信息進行保存，會話進行過程中根據(jù)應用程序設置的規(guī)則對共享文件的路徑和行為進行判定，如果不符合權限要求，修改網(wǎng)絡包信息，使得S器拒絕訪問，效果圖如下：

另外，對于用戶的其他動作（如另存為、打印、拷貝文件內容等），由于是在用戶已經(jīng)打開了共享文件的情況下進行的上述動作，此時共享文件已經(jīng)緩存到本地磁盤，因此對用戶訪問共享文件某些權限的控制需要在用戶電腦運行客戶端（如果不運行將會阻止其讀取共享文件），運行客戶端后將會根據(jù)服務端配置的權限，阻止用戶的各類行為；為了防止用戶隨意關閉軟件，采用了雙進程保護的策略（即使用戶使用特殊技術手段結束進程，服務端發(fā)現(xiàn)客戶端結束后，也會拒絕用戶的進一步訪問行為）。
 

3.2  本系統(tǒng)可以具體實現(xiàn)的共享文件訪問控制功能

 

3.2.1本系統(tǒng)控制共享文件訪問的功能列表

通過大勢至局域網(wǎng)共享文件管理系統(tǒng)可以在操作系統(tǒng)本地賬戶訪問權限、域控制器之外，提供了更加簡便、快捷同時也極為精細的共享文件訪問權限控制。具體可以實現(xiàn)如下共享文件訪問控制功能：

1、設置操作權限。禁止刪除、禁止修改、禁止復制、禁止剪切、禁止新建、禁止另存為、禁止讀取、禁止打印等。

2、IP和MAC地址綁定認證。黑名單中的地址無法訪問共享文件，如果修改了IP或MAC地址也將無法訪問共享文件。

3、限制外來電腦或未經(jīng)的電腦訪問共享文件。必須加入到許可訪問白名單中的電腦才可以訪問共享文件。

4、設置訪問許可。用戶訪問服務器共享文件時，設置其允許使用的工具和應用列表，列表可以批量導入和導出。

5、允許設置文件白名單，可以極大降低誤攔截訪問行為，并可以使得操作系統(tǒng)自動執(zhí)行文件磁盤清理功能。

6、設置窗體黑名單。用戶訪問服務器共享文件時，禁止某些窗體打開或執(zhí)行某些動作，列表可以批量導入和導出。

7、禁止用戶在訪問共享文件時，通過QQ傳文件、FTP、、網(wǎng)盤、優(yōu)盤、移動硬盤等方式發(fā)出去。

8、禁止在未打開共享文件的情況下復制（拖拽）、修改、剪切服務器共享文件，保護共享文件安全。

9、禁止打開共享文件后復制共享文件內容、另存為本地磁盤或打印共享文件。

10、添加用戶和組。對不同的用戶和不同的組設置不同的操作權限，可以批量導入和導出。

11、記錄系統(tǒng)操作日志，包括時間、IP、MAC、用戶、機器名、域、類型、狀態(tài)、路徑。

12、記錄用戶對服務器共享文件的訪問情況，包括刪除、修改、復制、剪切、重命名、新建、打印等。

13、記錄訪問者的用戶名、計算機名、IP地址、MAC地址、時間、訪問類型、狀態(tài)、路徑等。

14、日志導出功能?？梢詫⒈O(jiān)控日志導出為Excel格式，便于第三方審計，同時還可以設置自動刪除日志功能。

15、自動備份共享文件，并可以根據(jù)需要進行有選擇的還原，全面保護共享文件安全。

16、防刪除功能。許可權限的用戶一旦蓄意或誤刪除共享文件，可以及時恢復。

17、隱藏共享文件。用戶在沒有讀取共享文件的權*，可以設置隱藏共享文件。
 

3.2.1本系統(tǒng)控制共享文件訪問的*、優(yōu)勢

大勢至局域網(wǎng)共享文件管理系統(tǒng)與操作系統(tǒng)、域控制器共享文件訪問權限設置相比，可以實現(xiàn)如下幾個重要方面的共享文件訪問權限控制：

1、允許修改共享文件，但禁止刪除共享文件，從而既方便了修改、更新共享文件，也阻止了故意或不小心刪除共享文件的行為。

2、只讓打開共享文件而禁止將共享文件另存為本地磁盤或打印共享文件，從而防止越權訪問共享文件。

3、允許讀取共享文件但禁止復制共享文件的內容或將共享文件復制到本地磁盤、拖拽到本地磁盤，從而防止了共享文件通過員工電腦泄露出去的風險。

4、在Windows本地賬戶或域控制器帳號驗證之外，提供了二次用戶校驗功能，防止獲得訪問權限的用戶電腦被其他人使用時可以通過緩存暢通無阻訪問共享文件的行為，進一步保護了共享文件的安全。

5、本系統(tǒng)支持對共享文件的訪問者基于IP+MAC地址+用戶帳戶的多重綁定認證機制，防止外來人員或本地用戶隨意修改IP和MAC地址或者使用特殊帳號訪問共享文件的行為。

6、為了防止用戶通過第三方工具軟件（如郵件、網(wǎng)盤、軟件發(fā)送文件等）方式將共享文件發(fā)送出去的行為，系統(tǒng)集成了“訪問許可”功能，使得只有加入到管理員許可使用的“白名單”列表中的工具軟件才可以訪問共享文件，從而防止通過第三方軟件越權訪問共享文件的行為。

7、本系統(tǒng)可以詳細記錄局域網(wǎng)用戶訪問共享文件的詳細日志，可以具體記錄訪問者的訪問時間、IP地址、MAC地址、主機名、登錄帳號、訪問動作、訪問共享文件的具體路徑和文件名等。

 

3.3  本系統(tǒng)如何進行共享文件訪問權限控制

本系統(tǒng)的安裝部署極為快捷，只需要將大勢至局域網(wǎng)共享文件管理系統(tǒng)的主程序（SharedFileMonitorMain.exe）放到共享文件服務器上，然后雙擊程序即可彈出登錄窗口，輸入用戶名（默認為admin）和密碼（默認為123），即可看到程序的主界面，如下圖所示：

圖：輸入密碼即可登錄

圖：點擊“啟動保護”即可安裝

圖：安裝成功

在安裝成功后，系統(tǒng)會自動掃描到本地所有的共享文件和本地賬戶列表。需要注意的是：當您新共享了文件或創(chuàng)建了新的本地賬戶時，需要點擊共享文件列表框上面的“刷新”按鈕，即可掃描到新增加的共享文件和新創(chuàng)建的用戶列表。
 
同時，設置共享文件訪問權限的訪問也極為簡單：在右側共享文件列表框內選擇共享文件夾，然后左側用戶列表框內選擇要賦予訪問權限的用戶，然后在上面的用戶訪問權限列表里面勾選相應的權限，即可完成共享文件的訪問權限設置。

然后將大勢至局域網(wǎng)共享文件管理系統(tǒng)的客戶端（FileLockerMain.exe）放到共享文件目錄，在啟用了禁止復制文件、禁止復制文件內容、禁止另存為和禁止打印的功能的任意一個功能的情況下均需要首先雙擊共享目錄里面的客戶端方可訪問共享文件，否則將無法訪問共享文件。

值得注意的是：用戶雙擊客戶端（FileLockerMain.exe），將會自動后臺運行，管理員需要通過熱鍵alt+f3或alt+f5等喚出，輸入默認密碼（dsz）后方可看到客戶端界面，如下圖所示：
 

圖：客戶端界面

需要注意以下幾點：

1、客戶端密碼可以在主程序的“全局配置”里面進行修改；

2、你也可以在客戶端電腦運行FileLockerMain.exe，只不過需要手工輸入共享文件服務器的IP地址；

3、客戶端默認隱藏運行、開機自動運行，退出客戶端需要輸入密碼，無法通過結束進程的方式退出。

4、一旦退出客戶端，同時主程序在啟用了高級共享控制功能（即禁止復制文件、禁止復制文件內容、禁止打印共享文件、禁止另存為）的情況下，將實時拒絕用戶訪問共享文件，直至用戶重新打開客戶端，并成功連接到文件服務器的主程序。

 

4.  本系統(tǒng)功能模塊         

4.1  共享文件訪問權限控制模塊

 

4.1.1  細粒度共享文件訪問權限的控制

本系統(tǒng)的集成了對共享文件所有訪問操作行為的管控，同時操作日志會實時輸出到軟件界面，同時也會存儲到系統(tǒng)自身的數(shù)據(jù)庫中（支持MySql、SQL等主流的數(shù)據(jù)庫）。

系統(tǒng)不僅可以禁止讀取、修改、刪除、剪切、重命名、打印、拖拽、另存為、復制文件、復制文件內容等，而且還可以通過綁定認證、訪問許可、客戶端動作屏蔽、用戶身份二次識別校驗以及訪問日志實時查詢等，強化了對用戶訪問共享文件的控制，可以較大限度保護共享文件的安全。
 

圖：權限列表

4.1.2 訪問用戶自動識別模塊

系統(tǒng)會自動讀取本地所有的用戶帳戶，包括管理員帳戶、USER用戶、GUEST賬戶和域用戶。同時，系統(tǒng)也支持增加、減少、刪除、清空、導出等操作，便于隨時設置共享文件訪問權限的用戶。
 

圖：用戶列表

4.2  訪問用戶綁定認證模塊

啟用了“綁定認證”之后，局域網(wǎng)用戶必須加入綁定列表（白名單）方可訪問共享文件，否則將予以拒絕。添加方法非常簡單，點擊“綁定認證”，然后在下面的黑名單框內即可看到被攔截的用戶，只需要鼠標單擊選中，然后點擊“移至白名單”即可將其加入白名單，就實時允許其訪問共享文件了。
 

圖：添加綁定認證的用戶

4.3  訪問許可模塊

本模塊主要為了防止未經(jīng)的第三方工具軟件訪問共享文件，防止通過第三方軟件越權訪問共享文件。用戶可以隨時將許可的程序加入到訪問許可（通過添加程序進程名字的方式即可輕松添加，例如QQ.EXE）。如下圖所示：

 

圖：添加訪問許可的程序
 

4.3.1  客戶端（FileLockerMain.exe）協(xié)同控制列表

    本模塊主要是為了配合主程序實現(xiàn)對用戶訪問共享文件行為的進一步控制，通過客戶端（FileLockerMain.exe）可以禁止用戶打開共享文件后另存為本地磁盤、禁止復制共享文件（包括打開后復制里面的內容）、禁止打印共享文件等。同時，在主程序啟用二次用戶校驗的情況下，一旦訪問者停止訪問共享后再次訪問共享，必須在客戶端輸入管理員為其預設的用戶名和密碼才可以再次訪問共享文件，否則將拒絕其訪問。

4.3.2  訪問日志實時記錄和事后備查模塊

本系統(tǒng)可以詳細記錄局域網(wǎng)用戶訪問共享文件的詳細日志，可以具體記錄訪問者的訪問時間、IP地址、MAC地址、主機名、登錄帳號、訪問動作、訪問共享文件的具體路徑和文件名等。如下圖所示：
 

圖：實時輸出共享文件訪問日志

圖：可以查詢日志和導出日志

同時，本系統(tǒng)還會自動將日志存儲到MySql數(shù)據(jù)庫中（需另行安裝），便于用戶事后備查審計。
 

4.3.2.1. 大勢至局域網(wǎng)共享文件管理系統(tǒng)特點

大勢至局域網(wǎng)共享文件管理系統(tǒng)基于Windows操作系統(tǒng)NDIS核心層驅動建構，并通過對局域網(wǎng)文件傳輸基礎協(xié)議SMB、SMB2的深度解析來實現(xiàn)。其主要特點如下：

安裝部署極為快捷簡便：本系統(tǒng)基于免安裝的純綠色軟件形態(tài)構建，用戶只需要將本系統(tǒng)程序復制到共享文件服務器上，雙擊即可啟動。進入系統(tǒng)后，點擊“啟動保護”即可啟動保護，無需改變服務器配置，也不需要調整網(wǎng)絡結構。同時，系統(tǒng)會自動掃描到當前電腦共享文件列表和用戶列表，無需用戶單獨配置。

配置共享文件訪問權限非常簡單：系統(tǒng)基于可視化的圖形界面操作方式，用戶只需要在共享文件列表框內單擊選擇共享文件，左側用戶列表單擊選擇用戶（支持對用戶組設置權限），然后在“用戶權限”這里勾選相應的權限，就可以完成共享文件的訪問權限設置，操作極為簡單快捷。

用戶訪問共享文件的速度極快：由于系統(tǒng)基于NDIS核心層驅動進行過濾和傳輸，并通過底層的SMB、SMB2協(xié)議進行訪問操作行為識別，使得用戶訪問共享文件的速度極快，幾乎和未安裝本系統(tǒng)之前相同。

實現(xiàn)共享文件的安全防護：系統(tǒng)通過對用戶登錄賬戶、IP地址、MAC地址的識別，以及通過綁定認證、訪問許可、二次用戶校驗、客戶端協(xié)同控制、窗口黑名單等多重安全防護機制，可以為共享文件安全防護提供的安全防護，較大限度保護了共享文件的安全。

支持Windows本地賬戶策略和AD域控制器：系統(tǒng)可以與Windows本地賬戶權限控制和域控制器對域帳號的權限控制進行對接，不僅充分發(fā)揮了操作系統(tǒng)本地賬戶和域控制器在共享文件訪問控制權限訪問的基本作用，而且彌補了其不足，提供了疊加的、更加精細和嚴密的共享文件訪問權限控制，真正幫助用戶實現(xiàn)共享文件管理和安全防護的目的。

詳盡的共享文件訪問日志記錄：系統(tǒng)可以詳細記錄訪問時間、IP地址、MAC地址、登錄名、計算機名、訪問共享文件的動作、訪問的具體文件和路徑等等，而且還會實時輸出當前用戶訪問共享文件的日志情況，并且還可以將訪問日志存儲到數(shù)據(jù)庫中，便于用戶事后備查審計。