Server 2012 文件伺服器安全 - 僅通過軟體訪問文件?
我剛剛設置了一個 server 2012 essentials R2 盒子作為我的小型企業的測試平台。它在 Essentials R2 主機上作為 VM 執行 Essentials R2。我已將其設置為 DC 和 DHCP 伺服器並加入了客戶端。
我的下一個任務是將它用作文件伺服器,但我不太確定如何設置它。所有客戶端與文件伺服器的互動都將通過客戶端軟體進行。因此,除了通過軟體之外,我不希望對文件進行任何訪問。
我查看了 ntfs 權限,並且有一個名為“列出文件夾/讀取數據”的權限,但是我不確定這是否能滿足我的要求。
是否可以授予對文件的訪問權限,但不允許通過 Windows 資源管理器/命令行進行訪問?
這取決於應用程序如何與文件和使用者進行互動。
根本問題是:“有沒有辦法使用與使用者登錄會話不同的安全主體來訪問文件”?如果答案是“否”,那麼你不能限制它。
更務實:
如果應用程序是遠端(在客戶端電腦上執行的應用程序通過 SMB 共享訪問文件)或本地(例如通過終端服務)使用的傳統桌面應用程序,那麼不,您通常不能使用權限限制對文件的訪問因為該程序使用使用者的身份來訪問它。
如果應用程序是 n 層應用程序(例如,Web 應用程序),那麼您通常可以對數據文件訪問設置額外限制:您限制使用者的權限並允許安全主體所需的任何級別的訪問權限將被使用(通常通過將特定的服務服務帳戶分配給相關程序來完成)。但是請注意,n 層應用程序可能會模擬使用者訪問令牌。在這種情況下,您應該確保您要保護的文件實際上根本無法通過 SMB 獲得(例如,通過將它們放置在無法從任何 SMB 共享可用的 SMB 共享中訪問的驅動器或文件夾中)使用者)。
請注意,無論上面的答案是什麼,如果應用程序支持 UNC 路徑,您可以通過將文件隱藏在隱藏的網路共享下來降低使用者訪問文件的可能性。隱藏共享所需要做的就是在其名稱末尾添加一個美元符號 ($)。它不會阻止除了不太懂技術的使用者之外的任何人在需要時訪問該文件,但它可能會防止事故發生。