你要实现两个核心安全目标服务器本地禁止U盘、移动硬盘等外部存储设备接入共享文件仅允许单位内网电脑访问拒绝外网/非内网IP访问下面分Windows服务器和Linux服务器给出完整、可直接操作的方案。当然对一些企事业单位来说如果没有专门的网络管理人员可以考虑部署一些专门的共享文件管理软件。例如“大势至局域网共享文件管理系统”只需要在公司内部文件服务器上安装之后就可以设置共享文件访问权限可以进行IP和MAC地址绑定可以只让公司电脑访问共享文件禁止外部电脑访问共享文件同时还可以只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件并可以禁止打印共享文件、禁止共享文件截屏等全面保护服务器共享文件的安全。同时还可以详细记录共享文件访问日志便于事后备查和审计。如下图图大势至局域网共享文件管理系统一、Windows服务器禁止外部设备U盘/移动硬盘1.组策略推荐企业域/批量管理WinR →运行gpedit.msc本地组策略进入计算机配置→管理模板→系统→可移动存储访问启用所有可移动存储类拒绝所有权限完全禁用或可移动磁盘拒绝读取权限/拒绝写入权限精细控制可选阻止安装新USB设备计算机配置→管理模板→系统→设备安装→设备安装限制启用禁止安装可移动磁盘2.注册表仅禁USB存储、保留键鼠WinR →regedit定位plaintextHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR修改Start4禁用3 自动、4 禁用3. BIOS/UEFI硬件级禁用最安全开机按Del / F2 / F10进BIOS找到USB Configuration → USB Mass Storage Support Disabled优点系统层面无法绕过缺点会影响所有USB设备键鼠也可能被禁二、Windows共享仅允许单位内网电脑访问1.防火墙限制SMB445端口仅内网IP可访问文件共享用SMB协议TCP 445方法A图形界面控制面板→ Windows Defender防火墙→高级设置入站规则→新建规则规则类型端口TCP →特定本地端口445允许连接只勾选域、专用不勾选公用作用域→远程IP地址下列IP地址→添加你单位内网网段如192.168.1.0/24命名Allow_SMB_Only_LAN禁用系统原有“文件和打印机共享SMB-In”规则方法BPowerShell一键powershell#仅允许内网192.168.1.0/24访问445New-NetFirewallRule -DisplayName Allow_SMB_LAN -Direction Inbound -Protocol TCP -LocalPort 445 -RemoteAddress 192.168.1.0/24 -Action Allow#禁用默认SMB规则Disable-NetFirewallRule -DisplayName 文件和打印机共享(SMB-In)2.共享权限 NTFS权限双重控制文件夹→属性→共享→高级共享→权限删除Everyone只加Domain Users /本地授权用户组安全NTFS权限同样只保留内网用户/组移除Everyone3.企业级加固可选启用SMB加密powershellSet-SmbServerConfiguration -EncryptData $true防火墙/出口路由禁止外网入站445端口Microsoft Learn启用网络准入NAC / 802.1X非单位设备连内网也无法通信三、Linux服务器禁止USB外部设备1.黑名单USB存储模块推荐bash运行echo blacklist usb_storage /etc/modprobe.d/blacklist-usb-storage.confupdate-initramfs -ureboot2. USBGuard精细管控bash运行apt install usbguardusbguard generate-policy /etc/usbguard/rules.confsystemctl enable --now usbguard四、Linux共享NFS/SMB仅内网IP访问1. NFS共享Linux常用编辑/etc/exportsplaintext/data/share 192.168.1.0/24(rw,sync,no_root_squash,no_subtree_check)bash运行exportfs -asystemctl restart nfs-server2. SambaSMBWindows访问Linux编辑/etc/samba/smb.confini[share]path /data/sharevalid users staffhosts allow 192.168.1.0/24 #仅允许内网hosts deny allbash运行systemctl restart smbd3.防火墙firewalldbash运行#仅允许内网访问NFS/SMBfirewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.0/24 service namenfs acceptfirewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.0/24 service namesamba acceptfirewall-cmd --reload五、最终效果企业标准✅U盘/移动硬盘插入服务器无法识别、无法读写✅外网/非内网IP访问共享连接超时/拒绝访问✅仅单位内网IP192.168.x.x可正常访问✅配合域账号 NTFS权限实现“谁能看、谁能改”
服务器共享禁止外部设备访问、共享文件禁止非单位内部电脑访问?
你要实现两个核心安全目标服务器本地禁止U盘、移动硬盘等外部存储设备接入共享文件仅允许单位内网电脑访问拒绝外网/非内网IP访问下面分Windows服务器和Linux服务器给出完整、可直接操作的方案。当然对一些企事业单位来说如果没有专门的网络管理人员可以考虑部署一些专门的共享文件管理软件。例如“大势至局域网共享文件管理系统”只需要在公司内部文件服务器上安装之后就可以设置共享文件访问权限可以进行IP和MAC地址绑定可以只让公司电脑访问共享文件禁止外部电脑访问共享文件同时还可以只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件并可以禁止打印共享文件、禁止共享文件截屏等全面保护服务器共享文件的安全。同时还可以详细记录共享文件访问日志便于事后备查和审计。如下图图大势至局域网共享文件管理系统一、Windows服务器禁止外部设备U盘/移动硬盘1.组策略推荐企业域/批量管理WinR →运行gpedit.msc本地组策略进入计算机配置→管理模板→系统→可移动存储访问启用所有可移动存储类拒绝所有权限完全禁用或可移动磁盘拒绝读取权限/拒绝写入权限精细控制可选阻止安装新USB设备计算机配置→管理模板→系统→设备安装→设备安装限制启用禁止安装可移动磁盘2.注册表仅禁USB存储、保留键鼠WinR →regedit定位plaintextHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR修改Start4禁用3 自动、4 禁用3. BIOS/UEFI硬件级禁用最安全开机按Del / F2 / F10进BIOS找到USB Configuration → USB Mass Storage Support Disabled优点系统层面无法绕过缺点会影响所有USB设备键鼠也可能被禁二、Windows共享仅允许单位内网电脑访问1.防火墙限制SMB445端口仅内网IP可访问文件共享用SMB协议TCP 445方法A图形界面控制面板→ Windows Defender防火墙→高级设置入站规则→新建规则规则类型端口TCP →特定本地端口445允许连接只勾选域、专用不勾选公用作用域→远程IP地址下列IP地址→添加你单位内网网段如192.168.1.0/24命名Allow_SMB_Only_LAN禁用系统原有“文件和打印机共享SMB-In”规则方法BPowerShell一键powershell#仅允许内网192.168.1.0/24访问445New-NetFirewallRule -DisplayName Allow_SMB_LAN -Direction Inbound -Protocol TCP -LocalPort 445 -RemoteAddress 192.168.1.0/24 -Action Allow#禁用默认SMB规则Disable-NetFirewallRule -DisplayName 文件和打印机共享(SMB-In)2.共享权限 NTFS权限双重控制文件夹→属性→共享→高级共享→权限删除Everyone只加Domain Users /本地授权用户组安全NTFS权限同样只保留内网用户/组移除Everyone3.企业级加固可选启用SMB加密powershellSet-SmbServerConfiguration -EncryptData $true防火墙/出口路由禁止外网入站445端口Microsoft Learn启用网络准入NAC / 802.1X非单位设备连内网也无法通信三、Linux服务器禁止USB外部设备1.黑名单USB存储模块推荐bash运行echo blacklist usb_storage /etc/modprobe.d/blacklist-usb-storage.confupdate-initramfs -ureboot2. USBGuard精细管控bash运行apt install usbguardusbguard generate-policy /etc/usbguard/rules.confsystemctl enable --now usbguard四、Linux共享NFS/SMB仅内网IP访问1. NFS共享Linux常用编辑/etc/exportsplaintext/data/share 192.168.1.0/24(rw,sync,no_root_squash,no_subtree_check)bash运行exportfs -asystemctl restart nfs-server2. SambaSMBWindows访问Linux编辑/etc/samba/smb.confini[share]path /data/sharevalid users staffhosts allow 192.168.1.0/24 #仅允许内网hosts deny allbash运行systemctl restart smbd3.防火墙firewalldbash运行#仅允许内网访问NFS/SMBfirewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.0/24 service namenfs acceptfirewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.0/24 service namesamba acceptfirewall-cmd --reload五、最终效果企业标准✅U盘/移动硬盘插入服务器无法识别、无法读写✅外网/非内网IP访问共享连接超时/拒绝访问✅仅单位内网IP192.168.x.x可正常访问✅配合域账号 NTFS权限实现“谁能看、谁能改”
