使用secWall端口加密控制Server2016的文件共享服务
万华数据
环境:
文件服务器:Windows Server 2016/2012/2008
客户端:所有支持的系统
目标:
通过在服务器端设置secWall端口加密,让没有正常登录加密系统的客户端用户不能访问文件共享。
实现方法:
♦ 服务器设置端口加密
Server服务是使用系统共享的服务宿主管理器启动的,默认不是独立的进程。为了不影响这个公共宿主进程内的其它服务,我们需要将这个服务配置成独立的进程。执行命令如下(LanmanServer为文件共享服务的名称)。
C:\> sc config LanmanServer type= own
命令成功后将计算机重启,这样Server服务就有了独立的进程。
在文件服务器上安装加密客户端,给服务器开设一个独立的加密用户server,在server的高级设置中设置端口加密。文件共享使用的端口为139和445。
♦客户端设置文件共享安全区域
在安全策略中将文件服务器的共享文件夹添加到文件系统安全区域,设置好后,客户端上传到共享的加密文件会自动解密,从共享中保存到本地的文件会自动落地加密。
♦ 设置文件服务器无人值守模式
文件服务器无人值守时可以配置加密软件在后台自动以server加密账户登录,并且配置server服务依赖于secWall的客户端服务。
添加自动登录的账户 C:\> reg add HKLM\Software\Mawaadata\secWall\MWCCSvc /v DefaultUserName /t REG_SZ /d server
C:\> reg add HKLM\Software\Mawaadata\secWall\MWCCSvc /v DefaultPassword /t REG_SZ /d q1w2e3r4
这里q1w2e3r4是server账户的密码
这样文件服务器在启动后不需要登录进入桌面即可实现加密账户对共享服务的加密控制。
设置server服务依赖于MWCCSvc服务 C:\>sc config server depend= mwccsvc
这个设置确保文件和打印共享服务启动时应用了最新的服务器策略
至此,用户secWall端口加密控制文件共享服务的方案就完成了。
分享到: