所有的公司组织都依靠文件服务器在用户之间共享信息。但是在默认情况下,不论文件夹的许可权限是什么情况,Windows服务器都将会向最终用户显示任何一个已共享的文件夹。
为确保那些不具有查看权限的非授权用户无法访问共享文件,Windows系统管理员通常必须去执行特殊技巧来防止这些用户查看比如像合伙人或者客户名称这样的非授权信息。
关于文件夹的一个例子是,建立一个用户能够查看信息但不允许去访问主目录的文件夹。一个主目录包含一个用户的文件和程序。对主目录的访问一般情况下需要指派给特定用户。主目录将用户文件放到一个位置,并且方便管理员去备份用户文件和删除用户帐号。主目录变成了一个存储用户创建的文件的默认目录,用户的命令和所用的应用没有一个指定的工作目录。
许多管理员选择使用一个临时账户去自动生成使用%username%名的主目录。当你管理一些用户帐户,并且每一个账户都有他自己的主目录的时候,这是一种比较简单的方法。只需要使用模板创建一个新帐号,并且主目录创建为“automagically”。这个操作将会自动地将新的主目录的完全控制权限指派给用户(创建主目录:在主目录路径中通过%用户名%创建主目录)。
IT系统管理员也可用一些其他的方法用来隐藏共享内容。其中一个例子是隐藏共享,这里在那些共享名末尾添加$符号来对共享内容进行隐藏。另一个办法是使用定制脚本来重置用户设置来指定共享文件夹。但是这些方法有一个问题就是它们并不是十分安全的。如果一个用户知道隐藏共享名,他们能够直接使用它,并且不管IT系统管理员是如何隐藏它的。
用户们都没有什么不同,大多数人天生好奇。一旦一个用户获得了对部分隐藏内容的察看权限,他们将会试着去查看那些他们并没有被授权的文件夹。结果就是:最好的情况是弹出一个错误信息提示框(如下图);糟糕的情况就是一个违规的访问操作将会导致安全许可权限的不恰当使用。
现在最大的问题是:怎样去平衡正常安全的访问和规避那些来自好奇者对隐藏的非授权信息的非法访问?问题解决的办法就是通过使用Access-based Enumeration(ABE)。
Access-based Enumeration
Access-based Enumeration是一项包含在WS03 SP1中的特性功能,它能够增强共享文件的安全性。基于用户的访问权限,ABE过滤共享文件夹的可见性。它能够防止文件夹或者其他的共享资源泄露给那些没有访问权限的用户。通过使用ABE,IT系统管理员能够确保用户只能查看他们具有访问权限的文件夹和文件,而那些他们不具有访问权限的文件夹和文件都不会在他们的文件和文件夹列表中被显示出来。(获得ABE :Windows Server 2003 Access-based Enumeration安装文件点此获得here.)
尽管ABE是包含在WS03 SP1中的工具软件,但是它并没有被默认添加到安装包中。这样的话,用户需要去下载合适的ABE引擎。每一个引擎适合不同的Windows安装文件或者MSI文件类型。有三种类型可用:用于32位系统的x86,用于64位系统的x64,以及用于Itanium系统的ia64。
一旦你下载了适合的ABE,就运行MSI,按照提示内容安装。如果有文件共享需求,ABE就可以被安装在文件服务器。如果你运行了交互地MSI,你将会看到将ABE应用在所有存在的共享文件上的提示,如下图。
你也可以在你的文件服务器上进行配置。因为它是一个MSI,你能够通过活动目录的组策略软件安装进行配置。但是如果你希望在安装过程中自动安装ABE,那么你需要将默认设置改为能够使用这项功能。
如果你不能访问转换安装工具,你只能进行简单的配置,并且接下来还要进行配置。Access-based enumeration同时提供图形交互界面和命令行工具两种方式来应用于共享资源。最简便的方法可能是安装完成后,使用命令行abecmd工具运行脚本。下面的表格给出了可能被使用到的命令行。
|
参数
|
描述
|
|
/enable
|
将ABE应用于指定的共享资源或者所有的共享资源
|
|
/disable
|
取消将将ABE应用于指定的共享资源或者所有的共享资源
|
|
/server
|
在一台远程服务器上,应用操作(使用或取消ABE)
|
|
/all
|
为所有的共享资源应用操作(使用或取消ABE)
|
|
<ShareName>
|
确定将要应用或者取消ABE 应用的共享资源
|
使用图形交互界面,只需要右键点击共享文件夹,并选择属性。一个名为ABE的新标签将会出现在属性标签中,如下图示。
在这个共享文件夹中钩选能够使用access-based enumeration选项。通过使用ABE,具有权限的用户才能够看见文件夹,如下图示。#p#分页标题#e#
确认你的 NTFS 许可权限
你能够确保用于备份的服务账号总是具有访问共享文件夹的正确权限;如果不是这样的话,你的备份操作可能会失败。再一项是确保你具有所有共享文件夹的管理权限;否则,你对ABE的操作就会被拒绝。
解决你的文件共享问题
最好的解决方法是:最重要的事不要给用户显示未授权信息。使用ABE会接触并解决这个问题。你需要做的是在有需要时,在每一台文件服务器上使用配置工具进行ABE配置,另外一个简单的方法是保证你的网络环境安全。
