要实现共享文件只能在线查看、禁止下载到本地、禁止另存为、禁止复制 / 拖拽 ,需要从权限基础、系统策略、文档级管控、终端 / 网关拦截四层组合加固。下面按 "免费原生→进阶策略→企业级强控" 给出可落地方案。
一、基础:Windows 共享权限(只读,防下载 / 另存)
1. 共享权限 + NTFS 权限双控(必做)
- 共享权限 :右键文件夹 → 共享 → 高级共享 → 权限 → 仅给用户 / 组 读取
- NTFS 权限(关键) :属性 → 安全 → 编辑 → 仅勾选:
- 读取和执行
- 列出文件夹内容
- 读取
- 取消所有写入、修改、删除、完全控制
- 高级安全设置:禁用继承 → 转换为显式权限,避免子文件 / 子目录继承高权限
效果:
- 可打开、查看、在线编辑(若允许)
- 无法另存为本地、无法下载、无法复制到本地
- 剪切 = 复制 + 删除,也会被拦截
二、进阶:组策略(禁止复制 / 拖拽 / 另存,免费)
1. 单机 / 工作组环境(本地组策略)
- Win+R →
gpedit.msc - 计算机配置 → 管理模板 → Windows 组件 → 文件资源管理器
- 启用:
- 防止从网络共享文件夹中复制文件(禁止拖拽 / 复制共享文件到本地)
- 禁止将文件另存为到本地驱动器(彻底禁止另存为)
- 可选:隐藏 "下载" 选项、禁用剪贴板 / 截屏相关策略
- 执行
gpupdate /force刷新
2. 域环境(批量管控所有客户端)
- 域控打开 组策略管理(GPMC)
- 新建 / 编辑策略 → 链接到目标 OU(用户 / 计算机)
- 配置同上策略,批量下发
三、文档级强控:DRM/IRM(防内容复制、防截屏)
1. Microsoft Purview(AIP/IRM,Office 原生)
- 对 Word/Excel/PPT/PDF 设置:
- 禁止复制、禁止剪切、禁止粘贴
- 禁止打印、禁止截屏、禁止另存为
- 水印、过期、仅指定人可打开
- 即使文件被 "强行保存" 到本地,权限依然生效,无法打开 / 复制
2. PDF 权限(Adobe / 福昕)
- 用 Acrobat Pro / 福昕高级 PDF 给文件加权限密码:
- 禁用:复制内容、打印、编辑、另存为
- 仅允许在线查看
3. 企业文档管理系统(DMS/EDMS)
- SharePoint/OneDrive 企业版、坚果云企业版、金山文档
- 设置:仅在线预览、禁止下载、禁止复制、禁止打印
- 本地无缓存,从源头防泄露
四、企业级终极方案(防绕过、全链路管控)
1. 终端管控软件(大势至 / 安企神 / 域智盾)
- 服务器端安装管理端,客户端安装代理
- 对共享文件夹设置:
-
禁止下载、禁止另存为、禁止复制 / 拖拽
-
禁止剪贴板、禁止打印、禁止截屏
-
区分内部 / 外部,仅允许内部查看
目前,国内使用最多的当属"大势至局域网共享文件管理系统"(dashizhi.com),只需要部署在共享文件服务器上,就可以设置共享文件访问权限、记录共享文件访问日志。并且,独家可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件等,有效保护了共享文件的安全。如下图:
-
-
图:大势至局域网共享文件管理系统
-
2. 远程桌面 / VDI(数据不落地)
- 用户通过 RDS 远程桌面 或 VDI 虚拟桌面 访问共享文件
- 所有操作在服务器端完成,本地无文件、无法下载 / 复制
3. NAS 专用设置(群晖 / 威联通)
- 群晖 DSM:控制面板 → 共享文件夹 → 编辑 → 高级权限 → 禁用文件下载
- 威联通:共享文件夹 → 权限 → 勾选 "禁止下载 / 另存为"
4. 网关 / 防火墙拦截
- 应用识别:阻断 SMB 共享的 "下载 / 复制" 协议
- URL 过滤:禁止访问网盘、云盘、在线存储,防止二次外发
五、组合加固(企业推荐)
- 权限基础:共享 + NTFS 只读,禁止写入 / 删除
- 系统策略:组策略禁止复制 / 拖拽 / 另存为
- 文档管控:DRM/IRM 禁止内容复制、截屏、打印
- 终端拦截:管控软件禁止下载、剪贴板、截屏
- 审计溯源:开启文件访问 / 操作日志,记录谁、何时、做了什么
六、选型建议
- 个人 / 小团队:Windows 权限 + 组策略(免费)
- 中小企业(10--100 人):终端管控软件 + 组策略
- 中大型企业:DRM + 终端管控 + VDI / 远程桌面 + 审计