本方案可以在Windows 11下完美執行。
以下是詳細的步驟,以確保在Windows 11環境中實現檔案伺服器的配置和外部裝置的訪問限制:
1. 設定檔案伺服器
安裝檔案伺服器角色
- 開啟“設定”,選擇“應用” -> “可選功能” -> “新增功能”。
- 安裝“SMB 1.0/CIFS 檔案共享支援”以及“SMB 直通”功能。
建立共享資料夾
- 建立資料夾(如
C:\SharedFolder),右鍵點選資料夾,選擇“屬性”。 - 選擇“共享”選項卡,點選“高階共享”。
- 勾選“共享此資料夾”,設定共享名稱。
2. 配置NTFS許可權和共享許可權
- 在“安全”選項卡中,點選“編輯”,新增需要訪問該資料夾的使用者或組,並設定適當的許可權(如讀取、寫入、修改等)。
- 確保只有區域網內的使用者具有訪問許可權。
3. 使用組策略限制外部裝置訪問
開啟組策略管理控制檯
- 按
Win + R,輸入gpedit.msc並回車。
配置可移動儲存訪問限制
- 導航到“計算機配置” -> “管理模板” -> “系統” -> “可移動儲存訪問”。
- 啟用“所有可移動儲存類:拒絕所有許可權”。
4. 配置網路防火牆和訪問控制
開啟Windows防火牆
- 在“開始”選單中搜尋“Windows Defender 防火牆”,開啟“高階安全Windows防火牆”。
建立入站規則
- 選擇“入站規則”,點選“新建規則”。
- 選擇“埠”,點選“下一步”。
- 輸入檔案共享使用的埠號(如TCP 445),點選“下一步”。
- 選擇“允許連線”,點選“下一步”。
- 選擇僅允許在域內或專用網路上連線,點選“下一步”。
- 輸入規則名稱,點選“完成”。
5. 使用資料加密和許可權管理
使用Windows EFS(加密檔案系統)
- 右鍵點選要加密的資料夾,選擇“屬性”。
- 在“常規”選項卡中,點選“高階”。
- 勾選“加密內容以便保護資料”,點選“確定”。
配置許可權管理策略
- 使用Active Directory Rights Management Services (AD RMS)配置檔案許可權策略。
- 確保只有在域內的使用者和裝置可以解密和訪問檔案。
6. 審計和日誌記錄
配置檔案審計
- 右鍵點選需要監控的資料夾,選擇“屬性”。
- 進入“安全”選項卡,點選“高階”。
- 選擇“審計”,新增使用者或組,設定要監控的操作(如讀取、寫入)。
啟用稽核策略
- 開啟組策略管理,導航到“計算機配置” -> “Windows 設定” -> “安全設定” -> “本地策略” -> “稽核策略”。
- 啟用“稽核物件訪問”,選擇“成功”和“失敗”。
測試配置
- 測試訪問限制:
- 在受保護的裝置上測試訪問限制,確保未經授權的應用程式無法訪問受保護的資料。
- 測試透過USB複製檔案,確認在未經授權的裝置上無法訪問這些檔案。
透過上述步驟,可以確保在Windows 11環境中配置檔案伺服器,並限制檔案傳播到區域網外,確保檔案訪問的安全性和可控性。