文件服务器的功能有那些

51 文件服务器的配置在Windows Server 2003系统的文件系统中，引入了许多新的或改进特性，如DFS（分布式文件系统）、EFS（加密文件系统）、共享文件夹的卷影副本、远程文档共享、SAN技术支持等。具体参见本书的第1章相关内容。511 文件服务器的主要功能在企业网络中，为了有效地进行各项文件管理功能，通常是把一台运行Windows Server 2003系统的成员服务器配置成"文件服务器"（并非一定是域控制器）。文件服务器提供网络上的中心位置，可供存储文件并通过网络与用户共享文件。当用户需要重要文件（如项目计划）时，他们可以访问文件服务器上的文件，而不必在各自独立的计算机之间传送文件。如果网络用户需要对相同文件和可通过网络访问的应用程序访问权限，就要将该计算机配置为文件服务器。默认情况下，文件服务器角色安装有下列功能。1．文件服务器管理

文件服务器管理控制台为管理文件服务器提供集中的工具。使用文件服务器管理，可以创建和管理共享，设置配额限制，创建存储利用情况报告，将数据复制到文件服务器和从文件服务器中复制数据，管理存储区域网络（SAN），以及与UNIX和Macintosh系统共享文件。

2．存储报告

使用存储报告，可以分析服务器上的磁盘空间是如何使用的。例如，可以生成识别重复文件的按需或计划报告。然后删除这些复制文件以便回收磁盘空间。

3．配额和文件屏蔽

使用配额，可以限制卷或文件夹子树大小。可以将Windows配置为在达到配额限制时通知您。使用文件屏蔽，可以防止某些类型的文件被保存到文件夹或卷。文件屏蔽有助于确保用户不在服务器上保存某些可能导致用户违反知识产权法的非关键性数据和文件。

4．DFS管理

使用"DFS管理"管理单元，可以管理从分支机构中的服务器到集线器数据中心中的服务器的数据复制。这样，数据可以被集中备份，而不必在在分支机构备份数据。使用"DFS管理"管理单元，还可以对位于不同服务器上的共享文件夹进行分组并将其作为虚拟文件夹树（称为"名称空间"）提供给用户。名称空间可以提供很多好处，包括提高数据的可用性、分担负载和简化数据迁移。

Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

当将某个文件夹设置为共享后，可以通过操作系统的访问审核功能，让系统记录下访问这个共享文件 的相关信息。这个功能在Windows7以前的操作系统版本中就可以实现。此时的安全审核在共享级。共享 时一个文件服务器的入口点，以便允许用户访问文件服务器上的特定目录。注意，共享级别的安全审核 ，无法做到审计文件访问，即文件级别的安全审核访问。也就是说，现在只是针对一个单独的文件需要 设置审计文件访问，在FAT32等比较老的文件系统中无法实现，他们只能够针对整个文件加设置访问审计 ，而无法针对特定的文件。

一、在文件级别还是在共享级别设置安全审计

共享级别安全性只能够在文件夹上设置安全审计，所以其灵活性相对差一点。而文件级别的安全 审计，可以在特定的服务器上、目录或者文件上设置审计。故系统管理员的灵活性比较高，可以根据时 机需要，在合适的地方部署安全审计。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试 图访问特定的目录。在Windows网络中， 对一些关键网络资源的访问进行审计，是提高网络安全与企业 数据安全的比较通用的手法，可以通过安全审计来确定是否有人正试图访问受限制的信息。

在哪 个级别上设置安全审计比较有利呢这主要看用户的需要。如在一个文件夹中，有数以百计的文件。而其 实比较机密的可能就是五、六个文件。此时如果在文件夹级别上实现安全访问审计的话，那么在安全日 志中，其审核记录会很多。此时查看起来反而会非常的不方便，有时候反而有用的记录会被那些无用记 录所遮挡掉。为此，如果一个文件夹中文件或者子文件夹比较多，而有审计要求的文件又在少数，此时 显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合适。如此可以减少系 统管理员后续维护的工作量。相反，在共享文件中，有一个特定的文件夹专门用来放置一些机密文件， 此时就是在文件夹级别上实现安全审计更加的合理。可见在哪个级别上来实现安全审计策略，并没有一 个固定的标准。这主要看用户需求来定的。如果一定要说出一个具体的参考标准，那么可以根据如下这 个准则来选择，即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求，就在哪个级别上 设置安全访问审计。简单的说，就是同时满足两个条件。一是产生的审核记录最少，便于阅读;二是需要 满足用户安全方面的需求。往往则两个条件是相互矛盾的，系统管理员需要在他们之间取得一个均衡。

二、该选用什么样的安全审计策略

在审计文件访问策略中，可以根据需要选择多种安全 审计策略，即可以告诉操作系统，在发生哪些操作时将访问的信息记入到安全日志中，包括访问人员、 访问者的电脑、访问时间、进行了什么操作等等。如果将全部的访问操作都记录在日志中，那么日志的 容量会变得很大，反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时，往往需 要选择一些特定的事件，以减少安全访问日志的容量。为了达到这个目的，下面的一些建议各位系统管 理员可以参考一下。

一是最少访问操作原则。在Windows7种，将这个访问操作分为很细，如修改 权限、更改所有者等等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者 进行相关的设置，但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问 操作之后，就可以得到最少的审核记录。简单的说，“产生的审核记录最少而且可以涵盖用户的安 全需求”这个目标更容易实现。因为在实际工作中，往往只需要对特定的操作进行审计即可。如只 对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要对全部操作进行审计。如此产 生的审计记录就会少的多，同时用户的安全需求也得以实现。

二是失败操作优先选择。对于任何 的操作，系统都分为成功与失败两种情况。在大部分情况下，为了收集用户非法访问的信息，只需要让 系统记入失败事件即可。如某个用户，其只能够只读访问某个共享文件。此时管理员就可以给这个文件 设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作，如正常 访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议，一般情况下只要 启用失败事件即可。在其不能够满足需求的情况下，才考虑同时启用成功事件记录。此时一些合法用户 合法访问文件的信息也会被记录下来，此时需要注意的是，安全日志中的内容可能会成倍的增加。在 Windows7操作系统中可以通过刷选的方式来过滤日志的内容，如可以按“失败事件”，让系 统只列出那些失败的记录，以减少系统管理员的阅读量。

三、如何利用蜜糖策略收集非法访问者 的信息

在实际工作中，系统管理员还可以采用一些“蜜糖策略”来收集非法访问者 的信息。什么叫做蜜糖策略呢其实就是在网络上放点蜜糖，吸引一些想偷蜜的蜜蜂，并将他们的信息记 录下来。如可以在网络的共享文件上，设置一些看似比较重要的文件。然后在这些文件上设置审计访问 策略。如此，就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息，往往不能够作为 证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在 着一些“不安分子”，老是试图访问一些未经授权的文件，或者对某些文件进行越权操作， 如恶意更改或者删除文件等等。知己知彼，才能够购百战百胜。收集了这些信息之后，系统管理员才可 以采取对应的措施。如加强对这个用户的监控，或者检查一下这个用户的主机是否已经成为了别人的肉 鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者，以防止他们做出更 加严重的破坏。

四、注意：文件替换并不会影响原有的审计访问策略。

如上图中，有一 个叫做捕获的文件，笔者为其设置了文件级别的安全审计访问，没有在其文件夹“新建文件夹 ”上设置任何的安全审计访问策略。此时，笔者如果将某个相同的文件(文件名相同且没有设置任 何的安全审计访问策略)复制到这个文件夹中，把原先的文件覆盖掉。注意此时将这个没有设置任何的安 全审计访问策略。文件复制过去之后，因为同名会将原先的文件覆盖掉。但是，此时这个安全审计访问 策略的话就转移到新复制过去的那个文件上了。换句话说，现在新的文件有了原来覆盖掉的那个文件的 安全审计访问权限。这是一个很奇怪的现象，笔者也是在无意之中发现。不知道这是Windows7 操作系统 的一个漏洞呢，还是其故意这么设置的这有待微软操作系统的开发者来解释了。

除了服务器系统之外，windows7系统的安全性也是非常值得信任的，也正因为它极高的安全防护受到了很多用户的喜爱，拥有着一群广泛的体验用户，究竟是怎样的安全机制来保护着系统呢，让我们去认识一下windows7系统下强大的安全功能吧。

1、Kernel Patch：系统级的安全平台的一个亮点就是kernel patch，它可以阻止对进程列表等核心信息的恶意修改，这种安全保护这只有在操作系统能实现，其他杀毒软件是无法实现的。

2、进程权限控制：低级别的进程不能修改高级别的进程。

3、用户权限控制UAC：将用户从管理员权限级别移开，在缺省条件下用户不再一直使用管理员权限，虽然UAC一直被争议，在使用中笔者也常常感到繁琐，但用户权限控制确实是操作系统的发展趋势，因为用户一直使用管理员权限是非常危险的。

当然，Win7还是有了很大的改善，在Vista下，UAC管理范围很宽，很多应用都碰到UAC提示。而在Win7里，减少了需要UAC提示的操作，强调安全的同时更加注重用户体验

4、审计功能：Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

5、安全访问：一台机器上多个防火墙的配置。Win7里面可以同时配置存储多个防火墙配置，随着用户位置的变换，自动切换到不同的防火墙配置里。

6、DNSSec支持：增强了域名解析协议标准，老的DNS是有风险的，因此增加了对DNS增强版DNSSec的支持。

7、NAP网络权限保护：这个是在VISTA中就引入的功能，里继续继承了。可以对电脑进行健康检验。

8、DirectAccess安全无缝的同公司网络连接：远程用户通过***难以访问公司资源，IT面临对远程机器管理的挑战。win7系统的解决方案就是DirectAccess，提供了公司内外对公司资源的一致性访问体验。提高远程用户的效率。唯一的局限在于，只能在server2008系统中才能使用。

9、应用程序控制AppLocker：禁止非授权的应用程序在网络运行。对应用程序进行标准化管理，通过Group Policy进行管理。其中一个亮点是规则简单，可以基于厂商的信任认证，比如你把AAA公司设为黑名单，以后所有这个公司的软件产品和程序，都会被拒绝。

10、数据保护BitLocker：保护笔记本丢失后数据安全问题，同时也支持对U盘的加密和保护，优盘是病毒传播的重要途径之一，BitLocker可以对U盘进行加密处理，防止别人对你的优盘进行数据写入。这就阻隔的病毒侵入的风险。

Windows7系统的安全性防护是用户们有目共睹的，正因为有上述介绍的这些强大的安全功能做后盾，windows7系统的用户才可以这么放松，这么没烦恼地畅游网络，放心使用系统。

在局域网中，经常有文件服务器共享一些文件让局域网用户访问，但是经常出现共享文件被不小心或恶意删除的情况发生，而这个时候往往管理员也无法得知究竟是局域网那个用户做了这种操作。

那么我们能否找到一种合适的办法，来自动监控Windows Server 2008服务器系统中的共享内容变化情况，一旦发现共享内容被更改、删除时，然后就详细记录用户的这些操作行为，甚至对重要共享文件进行实时保护，禁止删除共享文件、防止共享文件删除的情况发生呢？

一、借助于Windows Server 2008服务器操作系统自带的共享文件审核功能

首先依次单击Windows Server 2008服务器系统桌面上的“开始”、“设置”、“控制面板”选项，打开对应系统的控制面板窗口，用鼠标双击其中的“管理工具”图标，进入管理工具列表界面；

其次用鼠标双击该界面中的“本地安全策略”图标，弹出对应系统的本地安全策略编辑界面，将鼠标定位于该界面左侧位置处的“本地策略”分支项目上，再从目标分支下面依次选中“审核策略”、“审核对象访问”选项，之后用鼠标右键单击该选项，并执行快捷菜单中的“属性”命令，弹出如图1所示的审核对象访问属性设置对话框；

将该对话框中的“成功”复选项选中，同时单击“确定”按钮，这样一来针对共享文件夹访问操作的审核功能就被启用成功了，日后我们通过网络或在本地修改、删除Windows Server 2008服务器系统中的共享内容时，对应系统的事件查看器程序就会将这些操作记录自动记忆保存下来。

二、借助于专门的服务器共享文件监控软件来实时审核共享文件访问记录

无论是Windows Server 2003还是Windows Server 2008服务器操作系统，他们提供的审核共享文件的功能都是只能记录访问共享文件者的所用本地账户，而无法记录访问者的IP地址、MAC地址甚至是主机名，这使得网管员无法识别访问者到底是谁，也无法对其行为进行事后的追溯，甚至也无法责任到人。因此，有效管理共享文件、设置共享文件访问就必须借助专门的监控共享文件的软件来实时记录共享文件访问情况，尤其是记录共享文件的打开、拷贝、修改、删除、重命名等访问情况，甚至对重要的共享文件实施保护，防止删除共享文件、防止恶意修改共享文件。

目前，国内一些专门的网络管理软件厂家推出了专业的共享文件审计软件。例如当前应用比较多的当属“大势至共享文件审计系统”，百度搜索“大势至共享文件审计系统”就可以找到很多下载站点，直接下载安装就可以了（当然最好还是去官网下载）。这个系统可以支持Windows Server 2003和Windows Server 2008等微软主流的服务器操作系统，甚至还可以在Windows XP、win7等操作系统上运行，可以详细记录共享文件的读取、修改、拷贝、删除、剪切和重命名等操作，而且还有一个非常重要的功能就是：共享文件防删除功能，通过对重要共享文件设置保护之后，局域网用户不小心或恶意删除共享文件的行为将会被制止，从而极大地保护共享文件的安全。如下图所示：

图：大势至共享文件监控系统记录共享文件访问情况

总之，通过操作系统的注册表、组策略，特别是windows自带的文件共享访问的功能以及详细的访问日志，可以在很大程度上定位共享文件被局域网用户访问的情况。不过，总体而言，通过专业的共享文件访问控制软件来限制共享文件访问是当前网络管理的趋势，也是相对更加简单快捷的方法。