1、-1 1-資料檔案的安全性管理-2 2-課程大綱 介紹Windows檔案目錄的安全性保護機制 設定與管理NTFS 使用權限 設定與管理共用資料夾使用權限 稽核檔案存取 設定與管理加密檔案系統 資料備份實務與建議-3 3-資料保護原則 機密性(Confidentiality)避免未經授權的使用者有意或無意的揭露資料內涵。完整性(Integrity)避免非經授權的使用者或處理程序篡改資料。可用性(Availability)讓資料或資源保持可用狀況。企業資料或資源必需能夠即時、可靠而精確的提供給企業內部各個層級的使用需求。存取控制(Access Control)限制資源存取的處理方式及程序,目的在保
2、護系統資源不會被非經授權者存取或授權者作不當的存取。-4 4-Windows檔案目錄的安全性保護機制 NTFS 檔案系統的存取權限(NTFS Permission)共用資源的使用權限(Share folder permission)加密檔案系統(Encrypting File System)資料備份(Backup)-5 5-存取控制(Access Control)為了確保資料的私密性、完整性與可用性,嚴謹的存取控制機制為首要條件 存取控制是一種限制資源存取的處理方式及程序,其目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。Windows平台透過資源的安全性描述元(security
3、descriptor)與使用者的存取權杖(Access Token)來控制存取。-6 6-存取權杖(Access Token)當使用者登入驗證成功後,Local Security Authority(LSA)負責建立了使用者的安全性結構資料-存取權杖(Access Token)。存取權杖是一個資料結構,包含了使用者安全性識別碼(SID)、使用者所屬之群組的安全性識別碼以及使用者特權限(也稱為使用者權利)清單。使用者 SID群組一 SID群組二 SID.特權一 特權二.存取權杖存取權杖-7 7-安全性描述元(Security Descriptor)每個受保護物件會維護一個安全性相關資訊之資料結構
4、。安全性描述元包括物件擁有者、物件存取者及存取方式,以及稽核的存取類型之相關資訊。安全性描述元標頭擁有者 SID群組 SIDDACLACEsSACLACEs-8 8-DACL 與 SACL Discretionary/System Access Control List 判別存取控制清單(DACL)物件的存取控制安全性結構資訊,包含允許或拒絕那些主體存取物件,以及存取的權限等級,內含多個ACE 系統存取控制清單(SACL)物件的安全性稽核結構資訊,包含所稽核(Audit)的對象(安全性主體),以及所要稽核的動作-9 9-ACE1ACE2ACE3ACE4DACL存取控制項目(Access Con
5、trol Entry;ACE)-1010-Windows檔案目錄的存取控制機制使用者登入成功使用者 SID群組一 SID群組二 SID.特權一 特權二.Access TokenDACL比對檢查比對檢查網路資料檔案企圖存取企圖存取拒拒 絕絕允允 許許-1111-管控Windows資料存取的安全性原則 控制檔案目錄的安全性描述元 管理擁有者 管理DACL 管理SACL 控制使用者的存取權杖 管理群組成員 管理使用者權利-1212-檔案目錄的擁有權 NTFS下的檔案目錄擁有者可以指派物件的使用權限對象與存取方式。可以取得檔案所有權的人需具備:系統管理員 對正在請求中的物件具有取得擁有權權限的任何人或
6、群組 擁有還原檔案和目錄特殊權限的使用者 移轉擁有權 目前的擁有者可以將取得擁有權使用權限授予其它使用者,讓其能夠隨時取得擁有權。使用者必須實際取得所有權才能完成轉送 系統管理員可以取得所有權 擁有還原檔案和目錄特殊權限的使用者可以連按兩下 其他使用者和群組,並選擇任何使用者或群組來指派擁有權。-1313-Windows 檔案目錄的存取控制1.NTFS 1.NTFS 使用權限使用權限2.2.共用資料夾使用權限共用資料夾使用權限 僅 NTFS 磁碟支援 預設權限為 Everyone 完全控制或users具讀取與執行 預設權限為Everyone 讀取(Windows 2019)目錄權限檔案權限標準
7、權限特殊權限標準權限特殊權限套用對象:透過網路連線存取資源使用者主要功能:控制網路共用資源的存取-1414-使用NTFS 存取權限 NTFS使用權限可針對目錄或個別檔案設定,權限對網路和本機使用者皆有效 二種指定NTFS權限的方式 標準使用權限(Standard Permission)一般性的存取控制等級 適合大部份情況下的安全性權限指派之用 特殊使用權限(Special Permission)更細分化的存取控制等級 適用於需高度細分化權限等級的環境下使用 標準使用權限其實不過是某些特殊使用權限的組合-1515-標準目錄使用權限NTFS NTFS 目錄存取權限目錄存取權限允許使用者執行下列操作
8、允許使用者執行下列操作讀取讀取 (Read)(Read)查看目錄下的子目錄與檔案、檢視目錄與檔案的屬性(Attributes)註一註一、檢視擁有者與使用權限。寫入寫入 (Write)(Write)允許創造新檔案與子目錄、變更目錄屬性、檢視擁有者與使用權限。清單資料夾內容清單資料夾內容(List Folder Contents)(List Folder Contents)允許查看目錄下的子目錄與檔案名稱讀取及執行讀取及執行 (Read&(Read&Execute)Execute)瀏覽目錄階層(Transverse Directory)、允許執行讀取(Read)和清單資料夾內容(List Fold
9、er Contents)二者所允許的權限修改修改(Modify)(Modify)刪除目錄允許執行寫入(write)與讀取及執行(Read&Execute)二者所允許的權限完全控制完全控制 (Full Control)(Full Control)變更使用權限取得擁有權刪除子目錄與檔案允許執行其它上列所有權限所允許執行的權限。註一 屬性包含唯讀(Read-Only)、隱藏(Hidden)、保存檔案(Archive)、系統(System)註二 讀取與執行、修改、完全控制目錄存取權限具備依序累計特性-1616-標準檔案使用權限NTFS NTFS 檔案存取權限等級檔案存取權限等級允許使用者執行下列權限允
10、許使用者執行下列權限讀取(Read)讀取檔案檢視檔案屬性,擁有權與使用權限寫入(Write)覆寫變更檔案內容變更檔案屬性查看檔案擁有者與使用權限讀取與執行(Read&Execute)執行程式允許執行讀取權限所允許的權限修改(Modify)變更與刪除檔案允許寫入與讀取與執行所允許的權限。完全控制(Full Control)變更使用權限取得擁有權允許執行其它上列所有權限所可以執行的權限。-1717-特殊目錄使用權限特殊使用權限特殊使用權限完全控制修改讀取及執行清單資料夾內容讀取寫入周遊資料夾/執行檔案XXXX列出資料夾/讀取資料XXXXX讀取屬性XXXXX讀取擴充屬性XXXXX建立檔案/寫入資料X
11、XX建立資料夾/附加資料XXX寫入屬性 XXX寫入擴充屬性 XXX刪除子資料夾及檔案X刪除XX讀取權限XXXXXX變更使用權限X取得擁有權 X-1818-特殊檔案使用權限特殊使用權限特殊使用權限完全控制完全控制修改修改讀取及執讀取及執行行讀取讀取寫入寫入周遊資料夾/執行檔案XXX列出資料夾/讀取資料XXXX讀取屬性XXXX讀取擴充屬性XXXX建立檔案/寫入資料XXX建立資料夾/附加資料XXX寫入屬性XXX寫入擴充屬性 XXX刪除子資料夾及檔案X刪除(Delete)XX讀取使用權限XXXXX變更使用權限X取得擁有權 X-1919-NTFS 存取權限使用規則 允許存取權限具備累積性(Cumulat
12、ive)當一個使用者及所隸屬的群組被設定成不同的允許權限時,則最後的有效權限應是所有權限的組合。拒絕存取(Deny)覆蓋其它允許存取權限,但明確的允許會覆蓋繼承性的拒絕 預設存取權限具繼承性(Inheritance)共用資料夾的存取權限與NTFS的存取權限設定不一致時,則以二者最嚴格限制(most restrictive permission)的存取權限為主-2020-ACL 的繼承關係 父物件上的權限設定,預設會繼承給子物件,因此可以減少目錄階層設定權限的次數 如果子物件上另外設定的權限(ACE),與繼承自父物件的權限衝突,以子物件上的權限設定為主 繼承關係允許取消-2121-NTFS使用權
13、限設定實務 設定NTFS標準 設定特殊使用權限 設定或取消繼承效果 檢視有效權限-2222-設定檔案目錄的使用權限使用標準使 用權限使用特殊使 用權限-2323-設定ACL 的繼承-2424-取消繼承關係目前已經繼承自上層的權限的處理方式:複製或移除-2525-檢視有效權限 利用有效權限索引標籤可檢查使用者的有效權限-2626-拷貝或搬移目錄及檔案的權限問題動作動作所需的存取權限所需的存取權限拷貝(Copy)對目的目錄需有寫入(Write)的權限,來源目錄至少要有讀取的權限搬移(Move)對目的目錄需有寫入(Write)的權限,而來源目錄需有修改(Modify)的權限動作目的與來源目錄為相同的
14、Volume(例:C:AC:B)目的與來源目錄為不相同的Volume(例:C:A D:A)拷貝(copy)繼承(變成)目的目錄使用權限繼承(變成)目的目錄的使用權限搬移(move)保留原來的權限繼承(變成)目的目錄的使用權限註一:當您拷貝或搬移檔案後,您將會成為擁有者(Create Owner)註二:當您將NTFS上的檔案或目錄搬移至FAT磁碟上,則將喪失所有的NTFS使用權限,因為FAT並不支援NTFS權限。-2727-稽核檔案與目錄 目的:隨時掌控使用者對重要檔案目錄的存取狀況 步驟:啟用稽核物件存取項目 設定檔案目錄的SACL 定期或必要時檢視安全性記錄檔 回應處理-2828-稽核檔案存
15、取(設定SACL)1.啟用稽核物件存取2.設定檔案目錄的 SACL-2929-檢視安全性記錄檔-3030-共用資料夾使用權限共用資料夾權限共用資料夾權限內容內容讀取(Read)顯示資料夾名稱與檔案名稱顯示檔案屬性與資料內容執行程式檔進入子資料夾變更(Change)創造資料夾與新增檔案刪除資料夾與檔案變更檔案內容變更檔案屬性執行讀取權限被允許的所有工作完全控制(Full Control)變更使用權限(只存在NTFS)取得擁有權(Take Ownership)(只應用在NTFS)執行變更權限被允許的所有工作-3131-共用資料夾存取權限的限制 共用資料夾所設定的權限只對網路連接資源的使用者才能生效
16、,本機登入者(Log on locally)並不會受共用資料夾所設定的權限所限制。共用資料夾的權限使用上缺乏彈性,並不適合單獨使用在高度安全性需求的環境下 因應方法:建立一高安全性網路資料存取環境,需要共用資料夾權限與NTFS權限一併使用-3232-共用資料夾權限的安全技術 為確保安全,共用權限需和NTFS權限合用 若基於安全性考量,可以隱藏重要共享資料夾 目的:增加安全性,避免它人以瀏覽的方式看到共用目錄 作法:共用資料夾名稱後加上$符號 若基於安全考量,可以隱藏伺服器,避免它人以瀏覽方式查看 指令:net config server/hidden:yes 停用預設的隱藏共用資料資料夾(C$
17、,D$,E$,ADMIN$.)取消這些管理性的共用資料夾作法:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters 新增並設定二個資料型態為REG_DWORD的值設為 0:AutoShareServer (伺服器)AutoShareWks (工作站)有些應用程式會使用這些管理性共用資料夾,移除後可能導致程式無法正常運作Windows 9x/Me 的share level 共用資料夾易破解,建議少用Windows XP預設的簡易權限應取消以恢復正常的NTFS使用權限-3333-合用共用資料夾與NTFS使用權
18、限 二種存取權限合併使用時,最後的有效存取權限乃是選取最嚴格限制(most restrictive permission)的存取權限 所謂最嚴格權限取二者均擁有的允許權限為其最後有效的權限。-3434-共用資料夾與NTFS使用權限範例-3535-最低權限賦予原則(Least Privilege)資源存取控制的安全性原則 設定權限時,必需依據使用者可以完成被指派的電腦作業所需的最少權限即可,絕不能賦予超出的權限。最低權限賦予原則應同時應用於權限對象與權限等級 例如:公司有一應用程程式目錄,希望提供給企業員工有讀取與執行能力,則預設NTFS權限與共用權限是否符合最低權限賦予原則?-3636-檔案目
19、錄使用權限最佳安全實務 任何權限設定均應符合最低權限賦予原則 變更不符合最低權限賦予原則的預設權限 設定權限儘量以群組帳戶為對象,少用個別帳戶 盡量少使用拒絕權限 不要變更根目錄與系統目錄權限 非有必要,不要針對Everyone群組設定拒絕權限。-3737-加密型檔案系統(Encryption File System;EFS)提供NTFS 磁碟下的檔案目錄加密機制 確保機密性檔案儲存時的私密性 具備了管理設定容易、不易被攻擊破解的優點 提供加密者存取透通性(Transparent)的優點 適合使用移動設備的使用者 採用憑證的PKI架構-3838-使用EFS需要注意的事項 唯有儲放在NTFS 5
20、磁碟上的檔案或目錄可以加密 已壓縮的檔案或目錄無法再予加密,亦即加密與壓縮為二個彼此互斥的屬性。即使使用者不具備解密的能力而無法讀取加密檔案內容,不過只要此使用者擁有檔案的刪除權限,還是能夠將已加密的檔案或目錄予以移除。企業如需廣泛使用EFS,最好佈署Enterprise CA-3939-EFS 加密機制機密文件ABCD-4040-EFS 解密機密文件ABCD使用者私密金鑰-4141-使用EFS 的運作流程假設環境假設環境:domain accounts,enterprise CA,Windows Server 2019,Windows XP以公開金鑰請以公開金鑰請求求EFS 憑證憑證-424
21、2-使用加密式檔案系統 使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密-4343-檢視資料加密者及修復代理人-4444-允許它人存取加密資料1.開啟加密詳細資料對話方塊2.選擇允許存取的使用者憑證-4545-管理憑證與私密金鑰 預設上使用自我簽署的憑證 為了確保機密性資料的安全,您需要使用憑證工具來匯出憑證和私密金鑰,並將私密金鑰刪除。-4646-命令列加解密工具 Cipher.exe-4747-命令列加解密工具範例 對目前的目錄進行加密 Cipher/e/s c:data 對目前的檔案進行加密 Cipher/e/a c:report.txt 對目前被加密的資料夾進行解密 Cipher/d
22、/s c:data 對目前的檔案進行解密 Cipher/d/a c:report.txt 列出目前磁碟機上所有的加密目錄與檔案 Cipher/u/n-4848-抹除已刪除資料-Cipher/w 刪除機密性檔案時,通常只移除檔案系統的結構欄位,並不會真正移除資料磁區,所以已刪除的資料仍可能被還原。為了避免被刪除的重要私密性資料被有心人士還原,造成資料外洩,可使用cipher/w指令 作法:寫入00 寫入FF 寫入隨機字元 可能需執行一段長時間 不可中斷。-4949-EFS修復代理人 修復代理人是一個被指派帳戶,允許利用其憑證與私密金鑰來對它人加密的資料予以解密。修復代理人的預設機制與平台和網路角
23、色有關:獨立Windows 2000 強制administrator為修復代理人 獨立的Windows XP/2019無修復代理人 加入網域的2000/XP/2019機器強制以網域管理員為修復代理人-5050-獨立電腦上的資料修復代理人 產生自我簽署的憑證及私密金鑰檔(CER與pfx檔)Cipher/r:myrecover 一旦金鑰產生後,憑證應該匯入到本機原則,而私密金鑰也應該儲存在安全的位置。2 將憑證匯入到本機原則 C:cipher/r:test請輸入密碼來保護您的.PFX 檔案:請重新輸入密碼以確認:您的.CER 檔案已經建立成功。您的.PFX 檔案已經建立成功。1.建立金鑰對與憑證-
24、5151-建立網域的EFS修復代理人 建立企業CA 將EFS修復代理程式範本中指派修復代理人擁有讀取和註冊權限 指派的修復代理使用者申請EFS修復代理程式憑證並將其匯出為cer檔 利用網域的GPO將上述的憑證新增至修復代理原則中-5252-建立網域的EFS修復代理人實務申請EFS修復代理程式的憑證匯出憑證將憑證新增至修復代理原則中-5353-EFS的安全度 EFS的版本 Windows 2000版本 Windows XP+SP1與Windows Server 2019版本 Vista版本 加密的演算法 128位元的DESX演算法(預設)168位元的3DES演算法 256位元的AES演算法(XP
25、 SP1以後版本)私密金鑰的維護與管理方式-5454-EFS使用較安全的加密演算法Windows XP/Windows Server 2019允許使用較安全的3DES取代預設的DESX加密演算法作法:啟用 FIPS 相容方法加密變更登錄資料庫下列的值新增一個資料類型為DWORD 的值HKLMSOFTWAREMicrosoftWindows NTCurrentVersionEFSAlgorithmIDDESX:0 x6603(hex)3DES:0 x6603(hex)AES:0 x6610(hex)(只適用於 XP SP1 或 Windows Server 2019後的版本)1.重新開機-555
26、5-EFS 問題 只能應用於NTFS 5 EFS檔案傳輸過程中不會加密(使用IPSec)需維護EFS憑證,必要時需佈署PKI-5656-使用EFS最佳實務 建立Active Directory環境 架設企業CA 透過憑證範本控制EFS使用權限 建立適當的修復代理人機制 憑證與私密金鑰的維護管理與教育訓練-5757-資料備份涵義 將資訊複製至其它場合或位置,若原始資料遺失或毀損時,可以儘速的還原資料。保護資料的最後一道防線DataData備份備份資資 料料資資 料料DataData資資 料料資料毀損資料毀損還原還原資資 料料資資 料料-5858-資料備份的重要性 一種保護資料的必備技術 組織單位
27、保護資料的最後一道防線 實施異地備份可防止重大災害發生 迅速恢復資料運作與服務-5959-備份策略(Backup Policy)“備份策略需要定義將那些資料、以什麼方式、每隔多久、於什麼時間、備份至那裡,備份後如何維護、保護及還原這些備份的資料“備份目的備份目的需備份的資料需備份的資料備份的時間與週期備份的時間與週期備份的媒體與位置備份的媒體與位置備份的類型與方法備份的類型與方法磁帶輪換方式磁帶輪換方式備份確認備份確認還原方式還原方式備備 份份 策策 略略-6060-Windows 備份工具-ntbackup 簡易友善的精靈介面 整合排程作業 允許直接備份到檔案 支援開啟檔案備份(Open F
28、ile Backup)系統自動修護精靈(ASR)-6161-使用Windows備份工具 備份完成後,需檢查日誌或報告並測試確認是否正確無誤-6262-Windows備份實務建議 將作業系統與資料區隔在不同的磁碟或分割區,以利備份和還原作業 選擇適當的備份媒體 資料量大小、備份視窗、效能、成本、方便性 選擇與整合適當的備份類型 正常+增量、正常+差異 備份後務必檢測是否已成功的備份(記錄檔、還原測試)-6363-2019 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.
