大势至局域网共享文件管理系统
技术白皮书
大势至(北京)软件工程有限公司
2016.12.2
1. 应用背景
当前,在企事业单位内部局域网中,常常在服务器上共享一些重要的文件供局域网用户使用,极大地方便了企业内部资源、信息、文件的交换和使用。但是,由于缺乏对局域网用户访问共享文件的管理和控制,使得员工访问共享文件的各种操作行为,如读取、修改、删除、剪切和重命名等无法有效管理和记录,从而一旦员工私自拷贝和窃取公司的商业机密也无法进行有效的查证和防范,同时如果员工不小心或有意删除共享文件的行为也无法进行有效的预防和保护,从而容易给企业带来巨大风险和重大损失。
而如果通过服务器配置不同用户,设定不同权限来限制员工访问共享文件的方式,由于操作极为复杂,在企业员工数量较多的情况下,工作量也极大,从而不利于有效管理共享文件、监控共享文件的使用,也无法有效保护单位的商业机密和信息安全。因此,企事业单位迫切需要一套专门的共享文件监控软件、局域网共享软件来记录局域网用户对共享文件的各种操作,同时有效防止员工有意或不小心删除共享文件而给企业带来的重大损失。
2. Windows服务器共享文件访问方式
2.1 使用服务器本地账户访问Windows服务器共享文件
通常情况下,需要将文件服务器接入局域网交换机,然后设置共享文件,同时创建本地账户,并为本地帐号设置共享文件的各自访问权限,局域网用户访问服务器共享文件时输入服务器本地账户,然后获得相应的共享文件访问权限。
2.2 基于Windows服务器AD域控制器访问共享文件
由于Windows域控制器在局域网用户电脑使用行为管理、共享文件访问权限控制方面的重要作用,使得当前很多企事业单位都组建了域环境,通过域控制器创建域帐号,并为域帐号设置共享文件访问权限的方式来实现对共享文件访问权限的控制。
虽然通过以上方法可以实现一定程度上的共享文件访问权限控制,但是由于不管是通过本地账户分配权限还是域控制器设置共享文件访问权限的方式,都存在一定的不足,甚至也无法有效保护共享文件的安全。
3. 大势至局域网共享文件管理系统的安装部署方式
大势至局域网共享管理系统(下载地址:http://www.grabsun.com/gongxiangwenjianshenji.html)的安装部署极为灵活简单,目前支持以下两种部署方式:
1、直接将大势至局域网共享文件管理系统部署在共享文件服务器上面。如下图所示:
目前,本系统支持WindowsXP以上所有主流的操作系统,并优先推荐用户在WindowsServer2003、2008、2012等服务器操作系统上安装部署。
2、通过串接、桥接的方式部署在共享文件服务器和交换机之间。如下图所示:
3.1 本系统如何实现共享文件访问权限控制
本系统基于NDIS核心层文件过滤驱动进行实现,并针对不同操作系统版本集成了Windows操作系统各个版本的NDIS版本,从而保证了系统的兼容性。具体处理流程如下:
其中,最上层是一个NDISProtocolDriver,它向上提供一个TransportDriverInterface(TDI),向下通过NDIS接口与下面的NDIS中间层的上边界交互,NDIS中间层的下边界通过NDIS接口与下层的NDIS交互。最后,由下层NDIS接口与物理网络设备NetCard交互。
同时,本系统对共享文件访问动作的识别基于NetBIOS协议来实现。为了识别用户对共享文件的各类动作(比如删除、重命名等),需要对会话层(sessionlayer)和表示层(presentationlayer)以及小部分应用层(applicationlayer)的协议进行全解析;由于NetBIOS协议存在上下文,因此在会话开始和结束的时候要对信息进行保存,会话进行过程中根据应用程序设置的规则对共享文件的路径和行为进行判定,如果不符合权限要求,修改网络包信息,使得SMB服务器拒绝访问,效果图如下:
另外,对于用户的其他动作(如另存为、打印、拷贝文件内容等),由于是在用户已经打开了共享文件的情况下进行的上述动作,此时共享文件已经缓存到本地磁盘,因此对用户访问共享文件某些权限的控制需要在用户电脑运行客户端(如果不运行将会阻止其读取共享文件),运行客户端后将会根据服务端配置的权限,阻止用户的各类行为;为了防止用户随意关闭软件,采用了双进程保护的策略(即使用户使用特殊技术手段结束进程,服务端发现客户端结束后,也会拒绝用户的进一步访问行为)。
3.2 本系统可以具体实现的共享文件访问控制功能
3.2.1本系统控制共享文件访问的功能列表
通过大势至局域网共享文件管理系统可以在操作系统本地账户访问权限、域控制器之外,提供了更加简便、快捷同时也极为精细的共享文件访问权限控制。具体可以实现如下共享文件访问控制功能:
1、设置操作权限。禁止删除、禁止修改、禁止复制、禁止剪切、禁止新建、禁止另存为、禁止读取、禁止打印等。
2、IP和MAC地址绑定认证。黑名单中的地址无法访问共享文件,如果修改了IP或MAC地址也将无法访问共享文件。
3、限制外来电脑或未经授权的电脑访问共享文件。必须加入到许可访问白名单中的电脑才可以访问共享文件。
4、设置访问许可。用户访问服务器共享文件时,设置其允许使用的工具和应用列表,列表可以批量导入和导出。
5、允许设置文件白名单,可以极大降低误拦截访问行为,并可以使得操作系统自动执行文件磁盘清理功能。
6、设置窗体黑名单。用户访问服务器共享文件时,禁止某些窗体打开或执行某些动作,列表可以批量导入和导出。
7、禁止用户在访问共享文件时,通过QQ传文件、FTP、邮箱、网盘、优盘、移动硬盘等方式发出去。
8、禁止在未打开共享文件的情况下复制(拖拽)、修改、剪切服务器共享文件,保护共享文件安全。
9、禁止打开共享文件后复制共享文件内容、另存为本地磁盘或打印共享文件。
10、添加用户和组。对不同的用户和不同的组设置不同的操作权限,可以批量导入和导出。
11、记录系统操作日志,包括时间、IP、MAC、用户、机器名、域、类型、状态、路径。
12、记录用户对服务器共享文件的访问情况,包括删除、修改、复制、剪切、重命名、新建、打印等。
13、记录访问者的用户名、计算机名、IP地址、MAC地址、时间、访问类型、状态、路径等。
14、日志导出功能。可以将监控日志导出为Excel格式,便于第三方审计,同时还可以设置自动删除日志功能。
15、自动备份共享文件,并可以根据需要进行有选择的还原,全面保护共享文件安全。
16、防删除功能。许可权限的用户一旦蓄意或误删除共享文件,可以及时恢复。
17、隐藏共享文件。用户在没有读取共享文件的权限时,可以设置隐藏共享文件。
3.2.1本系统控制共享文件访问的独特、领先优势
大势至局域网共享文件管理系统与操作系统、域控制器共享文件访问权限设置相比,可以实现如下几个重要方面的共享文件访问权限控制:
1、允许修改共享文件,但禁止删除共享文件,从而既方便了修改、更新共享文件,也阻止了故意或不小心删除共享文件的行为。
2、只让打开共享文件而禁止将共享文件另存为本地磁盘或打印共享文件,从而防止越权访问共享文件。
3、允许读取共享文件但禁止复制共享文件的内容或将共享文件复制到本地磁盘、拖拽到本地磁盘,从而防止了共享文件通过员工电脑泄露出去的风险。
4、在Windows本地账户或域控制器帐号验证之外,独家提供了二次用户校验功能,防止获得访问权限的用户电脑被其他人使用时可以通过缓存畅通无阻访问共享文件的行为,进一步保护了共享文件的安全。
5、本系统支持对共享文件的访问者基于IP+MAC地址+用户帐户的多重绑定认证机制,防止外来人员或本地用户随意修改IP和MAC地址或者使用特殊帐号访问共享文件的行为。
6、为了防止用户通过第三方工具软件(如邮件、网盘、聊天软件发送文件等)方式将共享文件发送出去的行为,系统集成了“访问许可”功能,使得只有加入到管理员许可使用的“白名单”列表中的工具软件才可以访问共享文件,从而防止通过第三方软件越权访问共享文件的行为。
7、本系统可以详细记录局域网用户访问共享文件的详细日志,可以具体记录访问者的访问时间、IP地址、MAC地址、主机名、登录帐号、访问动作、访问共享文件的具体路径和文件名等。
3.3 本系统如何进行共享文件访问权限控制
本系统的安装部署极为快捷,只需要将大势至局域网共享文件管理系统的主程序(SharedFileMonitorMain.exe)放到共享文件服务器上,然后双击程序即可弹出登录窗口,输入用户名(默认为admin)和密码(默认为123),即可看到程序的主界面,如下图所示:
图:输入密码即可登录
图:点击“启动保护”即可安装
图:安装成功
在安装成功后,系统会自动扫描到本地所有的共享文件和本地账户列表。需要注意的是:当您新共享了文件或创建了新的本地账户时,需要点击共享文件列表框上面的“刷新”按钮,即可扫描到新增加的共享文件和新创建的用户列表。