核心思路是服务器权限双控 + 客户端策略加固,按 "免费原生→进阶→企业级" 分层落地,兼顾有效性与可维护性。
如果是企事业单位,可以部署专门的局域网共享管理软件。例如"大势至局域网共享文件管理系统",只需要讲本系统部署在单位内部文件服务器上,就可以设置共享文件访问权限,可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,并且可以禁止打印共享文件,禁止共享文件拖到本地磁盘,禁止下载共享文件等,并且可以详细记录共享文件访问日志。如下图:
图:大势至局域网共享文件管理系统
一、基础必做:Windows 共享 + NTFS 双权限(原生免费)
1. 共享权限配置(网络入口控制)
- 右键目标共享文件夹→属性 →共享 →高级共享,勾选 "共享此文件夹"
- 点击权限 ,删除默认
Everyone,仅添加需访问的用户 / 组 - 仅勾选读取,取消 "更改""完全控制",点击确定
2. NTFS 权限配置(核心防绕开)
- 切换到安全 选项卡→编辑,选中目标用户 / 组
- 仅保留允许权限:读取和执行 、列出文件夹内容 、读取
- 全部拒绝:写入 、修改 、删除 、完全控制(拒绝权限优先级高于允许)
- 点击高级 →禁用继承,选择 "从此对象中删除已继承权限",避免子目录继承高权限
3. Linux Samba 只读配置(跨平台通用)
编辑/etc/samba/smb.conf,添加 / 修改共享段:
ini
secure_share\] path = /data/secure # 共享目录路径 valid users = @team # 允许访问的用户/组 read only = yes # 只读锁定 writable = no # 禁止写入 delete readonly = no # 禁止删除只读文件 browseable = yes # 可浏览 guest ok = no # 禁用来宾访问 重启服务:`systemctl restart smb nmb` ### 二、进阶加固:客户端策略(禁复制 / 拖拽 / 另存) #### 1. Windows 组策略(专业 / 企业版,批量生效) 1. `Win+R`输入`gpedit.msc`(域环境用组策略管理 GPMC 批量下发) 2. 路径:**计算机配置** →**管理模板** →**Windows 组件** →**文件资源管理器** 3. 启用以下 2 项关键策略: * 防止从网络共享文件夹中复制文件(禁拖拽 / 复制) * 禁止将文件另存为到本地驱动器(禁另存) 1. 可选:隐藏 "下载" 菜单项、禁用剪贴板 / 截屏相关策略 2. 执行`gpupdate /force`刷新策略生效 #### 2. 注册表兜底(家庭版无组策略) 1. `Win+R`输入`regedit`,定位到: `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer` 2. 新建 DWORD 值: * `NoCopyFromNetworkShare`=1(禁从共享复制) * `NoSaveAsLocalDrive`=1(禁另存到本地) 1. 重启电脑生效 ### 三、企业级强控:专业方案(防截屏 / Office 另存) 表格 | 方案 | 适用场景 | 核心能力 | 成本 | |------------|-------------|---------------------------|---------------| | Office IRM | 仅 Office 文档 | 禁复制 / 打印 / 另存,加密内容,复制后乱码 | 免费(Office 授权) | | DRM/DLP 系统 | 全类型文件 | 细粒度管控(禁截屏 / 打印 / 外发)、动态权限 | 高(商业软件) | | 文档管理平台 | 集中存储访问 | 在线预览 + 权限绑定,禁止本地导出 | 中高(自研 / 商用) | | 终端管控 | 全终端防护 | 禁 USB 拷贝、禁截屏、审计文件操作 | 中高(商用软件) | **四、关键补充建议** 1. 最小权限原则:仅给必要用户只读权限,定期清理过期账号 2. 审计监控:启用文件访问审计,记录拷贝 / 访问行为,追溯责任 3. 文档加密:对高敏感文件用 EFS 或 DRM 加密,即使拷贝也无法打开 4. 终端加固:禁用 USB 存储设备,限制外网传输,阻断外发渠道 ### 五、常见问题排查 * 仍能拷贝:检查是否有`Users`/`Everyone`残留权限,或客户端未刷新组策略 * 无法访问共享:确认`Everyone`已删除,服务器防火墙未拦截 445 端口 * Linux 客户端无效:确保 Samba 配置正确,且客户端禁用 "离线文件" 功能