要在區域網中配置檔案伺服器,確保檔案只能在區域網內傳播,並且無法複製到區域網外,可以透過以下步驟實現:
1. 設定檔案伺服器
安裝檔案伺服器角色
- 開啟伺服器管理器,選擇“新增角色和功能”。
- 選擇“檔案和儲存服務”,然後選擇“檔案伺服器”。
建立共享資料夾
- 在伺服器上建立一個資料夾(如
C:\SharedFolder)。 - 右鍵點選資料夾,選擇“屬性”。
- 選擇“共享”選項卡,點選“高階共享”。
- 勾選“共享此資料夾”,設定共享名稱。
2. 配置NTFS許可權和共享許可權
- 在“安全”選項卡中,點選“編輯”,新增需要訪問該資料夾的使用者或組,並設定適當的許可權(如讀取、寫入、修改等)。
- 確保只有區域網內的使用者具有訪問許可權。
3. 使用組策略限制外部裝置訪問
透過組策略限制使用USB等外部裝置:
-
開啟組策略管理控制檯:
- 按
Win + R,輸入gpedit.msc並回車。
- 按
-
配置可移動儲存訪問限制:
- 導航到“計算機配置” -> “管理模板” -> “系統” -> “可移動儲存訪問”。
- 啟用“所有可移動儲存類:拒絕所有許可權”。
4. 配置網路防火牆和訪問控制
配置防火牆規則,確保檔案共享只能在區域網內進行:
-
開啟Windows防火牆:
- 在伺服器管理器中選擇“工具” -> “高階安全Windows防火牆”。
-
建立入站規則:
- 選擇“入站規則”,點選“新建規則”。
- 選擇“埠”,點選“下一步”。
- 輸入檔案共享使用的埠號(如TCP 445),點選“下一步”。
- 選擇“允許連線”,點選“下一步”。
- 選擇僅允許在域內或專用網路上連線,點選“下一步”。
- 輸入規則名稱,點選“完成”。
5. 使用資料加密和許可權管理
使用加密和許可權管理確保檔案在被複製到外部時無法訪問:
-
使用Windows EFS(加密檔案系統):
- 右鍵點選要加密的資料夾,選擇“屬性”。
- 在“常規”選項卡中,點選“高階”。
- 勾選“加密內容以便保護資料”,點選“確定”。
-
配置許可權管理策略:
- 使用Active Directory Rights Management Services (AD RMS)配置檔案許可權策略。
- 確保只有在域內的使用者和裝置可以解密和訪問檔案。
6. 審計和日誌記錄
啟用檔案訪問審計和日誌記錄,監控檔案訪問和複製行為:
-
配置檔案審計:
- 右鍵點選需要監控的資料夾,選擇“屬性”。
- 進入“安全”選項卡,點選“高階”。
- 選擇“審計”,新增使用者或組,設定要監控的操作(如讀取、寫入)。
-
啟用稽核策略:
- 開啟組策略管理,導航到“計算機配置” -> “Windows 設定” -> “安全設定” -> “本地策略” -> “稽核策略”。
- 啟用“稽核物件訪問”,選擇“成功”和“失敗”。
透過上述步驟,可以有效地在區域網內配置檔案伺服器,限制檔案傳播到區域網外,並確保檔案訪問的安全性和可控性。