資料檔案的安全性管理 羅英嘉 2007年4月.

Slides:



Advertisements
Similar presentations
Web Role 的每台虚机运行有 IIS ,用于处理 Web 请求 Worker Role 用于运行后台进程 Cloud Service 是什么? 支持多层架构的应用容器 由多个 Windows 虚拟机集群构成 集群有两种类型: Web 和 Worker Cloud Service 做什么 进行应用的自动化部署.
Advertisements

应用技术 陕西华辉科技有限公司.
泛舆情管理平台 ——助力媒体业务创新 新模式 新格局 创新盈利增长点 2/26/2017 1:59 AM 屈伟: 创始人,总裁
中国银行业前置端操作系统移植研究.
3/3/ :01 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
NAP – 高可靠性,高安全性兼备的新一代网络安全接入解决方案
请点击以下链接下载WinHEC的演讲材料
借助公有云实现游戏的弹性运营 Shaun Fang (方兴) Azure开发技术顾问
Windows Hyper-V与集群共享卷
Customer Service & Support
请点击以下链接下载WinHEC的演讲材料
1. 设定愿景,确定业务场景 Microsoft Corporation
广东省广州市花都区教育局教研室 汤少冰 优化评估方式, 促进中学英语的教与学 广东省广州市花都区教育局教研室 汤少冰
張書源 Microsoft MVP MCT 趨勢科技 技術經理 網酷科技 資深顧問 集英信誠 資深顧問
Office 2013 全新功能介紹 台灣微軟 Office 大使 楊承恩 Marcus Microsoft Office
講師姓名:黃信嘉、黃振宇 職稱:微軟技術支援副理 公司名稱:台灣微軟 課程代碼:WCL305
四川省集体林权流转平台 中国西部林权交易网
全国信息技术标准化技术委员会 (SAC/TC28)工作交流
Windows 10 混合现实 Mingfei Yan 高级项目经理
MBL 340 Tablet PC SDK:在您的应用程序中使用数字墨水
今天很高兴能够利用Web Cast和大家讲解嵌入式XP的新增功能。
什麼是電子軟體下載 Electronic Software Download (ESD).
OFC 302 InfoPath2007新特性及解决方案.
最新 Windows Server 徽标 要求和计划
Windows Mobile 轻松接轨GPS
Microsoft Office SharePoint Server 2007 事件追蹤與專案管理
SOLUTIONACCELERATORS Windows Vista Hardware Assessment 1
MSG 321 统一消息架构和PBX集成.
朝雲端專業DBA邁進: 深入剖析 Windows Azure SQL Database 完整資料庫管理、雲端報表建立、建置分散式雲端資料庫
利用最新Hyper-V Replica 功能達成Hyper-V 災難備援機制
Windows Server 2008 NAP整合802.1x網路安全控管
互聯網安全資訊 助您達至更安全的網上體驗.
服務啟用、導入流程、 郵件移轉步驟簡介 Microsoft Office 12/2/2018
MBL 325 开发跨平台的 Windows Mobile应用程序
MBL 327 Windows Mobile开发中的异构系统集成
Cameron Brodeur Program Manager US-Device & Storage PM
David Edfeldt Senior Program Manager Windows Logo Program
构建 Windows TV Tuner 产业 生态环境的重要观点
微软新一代云计算 面向企业的 Office 365 客户培训大纲
1/2/ :39 PM 讀經 以弗所書 4:31-32 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
1/2/ :38 PM 耶利米書 33:1-3 約翰福音 14:12-14 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names.
使徒行傳 21:17-23章「保羅的見證(一)」 引言 預言保羅為主的名受許多的苦難的實現
2/24/2019 5:40 AM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Exchange 2007 系統部署 -- 儲存預測與測試
教师课堂教学能力提升培训 ---“互联网+教育”考勤小测验 Plickers 洛阳理工学院
Microsoft SQL Server 2008 報表服務_設計
利用 ASP.NET MVC 提升您的 Web 應用程式


橫跨電腦、手機與軟體的全方位端點管控解決方案
请点击以下链接下载WinHEC的演讲材料
CON223 UDDI:服务的发现和搜索.
呂政周 精誠恆逸教育訓練處 資深講師 Windows PowerShell 呂政周 精誠恆逸教育訓練處 資深講師
使用WPF创建Windows应用和Web应用
水深之處 Launch Out into the Deep
4/30/2019 7:40 AM 約翰福音 15:9;17:20-23 加拉太書 6:1-2 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product.
DEV 343 VS2005超快速开发方案/EEP2006控件包.
5/4/2019 4:42 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
使徒行傳 24-26章 [ 保羅的見證(二)] 徒9:15 “  主 對 亞 拿 尼 亞 說 、 你 只 管 去 . 他 是 我 所 揀 選 的 器 皿 、 要 在 外 邦 人 和 君 王 並 以 色 列 人 面 前 、 宣 揚 我 的 名 。 ”]
TechEd /6/ :36 PM © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks.
Windows 徽标计划工具:综述与发展趋势
5/5/2019 7:06 PM 两跨框架梁截面配筋图的绘制 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may.
顧武雄 台灣微軟特約資深講師 Exchange 2007 管理工具活用秘訣 Entry Slide
百万亿次超级计算机诞生记 姓名 Xiangyu Ye 职务 微软中国技术中心资深HPC顾问 公司 微软中国
5/15/2019 姓名: 公司名称: 云赛空间BP模板 Now let’s take a look at who we are, what we’re doing and why we’re doing it in China... This is an image of a technology.
DEV 343 VS2005超快速开发方案/EEP2006控件包.
MGT 213 System Management Server的昨天,今天和明天
Bob Combs Lead Program Manager Microsoft Corporation
Ron Jacobs 高级技术专员 Microsoft
Windows Workflow Foundation CON 230
Presentation transcript:

資料檔案的安全性管理 羅英嘉 2007年4月

課程大綱 介紹Windows檔案目錄的安全性保護機制 設定與管理NTFS 使用權限 設定與管理共用資料夾使用權限 稽核檔案存取 設定與管理加密檔案系統 資料備份實務與建議

資料保護原則 機密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 避免未經授權的使用者有意或無意的揭露資料內涵。 完整性(Integrity) 避免非經授權的使用者或處理程序篡改資料。 可用性(Availability) 讓資料或資源保持可用狀況。 企業資料或資源必需能夠即時、可靠而精確的提供給企業內部各個層級的使用需求。 存取控制 (Access Control) 限制資源存取的處理方式及程序,目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。

Windows檔案目錄的安全性保護機制 NTFS 檔案系統的存取權限 (NTFS Permission) 共用資源的使用權限 (Share folder permission) 加密檔案系統 (Encrypting File System ) 資料備份 (Backup)

存取控制 (Access Control) 為了確保資料的私密性、完整性與可用性,嚴謹的存取控制機制為首要條件 存取控制是一種限制資源存取的處理方式及程序,其目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。 Windows平台透過資源的安全性描述元(security descriptor )與使用者的存取權杖(Access Token)來控制存取。

存取權杖(Access Token) 當使用者登入驗證成功後,Local Security Authority (LSA)負責建立了使用者的安全性結構資料-存取權杖(Access Token)。 存取權杖是一個資料結構,包含了使用者安全性識別碼 (SID)、使用者所屬之群組的安全性識別碼以及使用者特權限 (也稱為「使用者權利」) 清單。 使用者 SID 群組一 SID 群組二 SID …….. 存取權杖 存取權杖 特權一 特權二 ……..

安全性描述元 (Security Descriptor) 每個受保護物件會維護一個安全性相關資訊之資料結構。 安全性描述元包括物件擁有者、物件存取者及存取方式,以及稽核的存取類型之相關資訊。 標頭 擁有者 SID 群組 SID DACL ACEs SACL ACEs

DACL 與 SACL Discretionary / System Access Control List 物件的存取控制安全性結構資訊,包含允許或拒絕那些主體存取物件,以及存取的權限等級,內含多個ACE 系統存取控制清單 (SACL) 物件的安全性稽核結構資訊,包含所稽核 (Audit) 的對象 (安全性主體) ,以及所要稽核的動作

存取控制項目 (Access Control Entry;ACE) DACL 使用者SID 群組SID ACE1 ACE2 ACE3 ACE4 …………… 對此物件禁止存取 DACL ACEs 對此物件允許存取 對某一屬性或子物件禁止存取 對某一屬性或子物件允許存取 存取遮罩

Windows檔案目錄的存取控制機制 Access Token DACL 比對檢查 企圖存取 允 許 網路資料檔案 使用者登入成功 拒 絕 使用者 SID 群組一 SID 群組二 SID …….. 特權一 特權二 Access Token DACL 比對檢查 使用者登入成功 企圖存取 允 許 網路資料檔案 拒 絕

管控Windows資料存取的安全性原則 控制檔案目錄的安全性描述元 控制使用者的存取權杖 管理擁有者 管理DACL 管理SACL 管理群組成員 管理使用者權利

檔案目錄的擁有權 NTFS下的檔案目錄擁有者可以指派物件的使用權限對象與存取方式。 可以取得檔案所有權的人需具備: 移轉擁有權 系統管理員 對正在請求中的物件具有「取得擁有權」權限的任何人或群組 擁有「還原檔案和目錄」特殊權限的使用者 移轉擁有權 目前的擁有者可以將「取得擁有權」使用權限授予其它使用者,讓其能夠隨時取得擁有權。使用者必須實際取得所有權才能完成轉送 系統管理員可以取得所有權 擁有「還原檔案和目錄」特殊權限的使用者可以連按兩下 [其他使用者和群組],並選擇任何使用者或群組來指派擁有權。

Windows 檔案目錄的存取控制 標準權限 目錄權限 特殊權限 1. NTFS 使用權限 標準權限 檔案權限 特殊權限 ◎ 預設權限為 Everyone 完全控制或users具讀取與執行 檔案權限 特殊權限 套用對象:透過網路連線存取資源使用者 主要功能:控制網路共用資源的存取 2. 共用資料夾使用權限 ◎ 預設權限為Everyone 讀取 (Windows 2003)

使用NTFS 存取權限 NTFS使用權限可針對目錄或個別檔案設定,權限對網路和本機使用者皆有效 二種指定NTFS權限的方式 標準使用權限(Standard Permission) 一般性的存取控制等級 適合大部份情況下的安全性權限指派之用 特殊使用權限(Special Permission) 更細分化的存取控制等級 適用於需高度細分化權限等級的環境下使用 標準使用權限其實不過是某些特殊使用權限的組合

標準目錄使用權限 NTFS 目錄存取權限 允許使用者執行下列操作 查看目錄下的子目錄與檔案、 讀取 (Read) 查看目錄下的子目錄與檔案、 檢視目錄與檔案的屬性(Attributes)[註一]、 檢視擁有者與使用權限。 寫入 (Write) 允許創造新檔案與子目錄、 變更目錄屬性、 清單資料夾內容 (List Folder Contents) 允許查看目錄下的子目錄與檔案名稱 讀取及執行 (Read & Execute) 瀏覽目錄階層(Transverse Directory)、 允許執行讀取(Read)和清單資料夾內容(List Folder Contents)二者所允許的權限 修改(Modify) 刪除目錄 允許執行寫入(write)與讀取及執行(Read & Execute)二者所允許的權限 完全控制 (Full Control) 變更使用權限 取得擁有權 刪除子目錄與檔案 允許執行其它上列所有權限所允許執行的權限。 [註一] 屬性包含唯讀(Read-Only)、隱藏(Hidden)、保存檔案(Archive)、系統(System) [註二] 讀取與執行、修改、完全控制目錄存取權限具備依序累計特性

標準檔案使用權限 NTFS 檔案存取權限等級 允許使用者執行下列權限 讀取 (Read) 讀取檔案 檢視檔案屬性,擁有權與使用權限 寫入 (Write) 覆寫變更檔案內容 變更檔案屬性 查看檔案擁有者與使用權限 讀取與執行(Read & Execute) 執行程式 允許執行讀取權限所允許的權限 修改 (Modify) 變更與刪除檔案 允許「寫入」與「讀取與執行」所允許的權限。 完全控制 (Full Control) 變更使用權限 取得擁有權 允許執行其它上列所有權限所可以執行的權限。

特殊目錄使用權限 特殊使用權限 完全控制 修改 讀取及執行 清單資料夾內容 讀取 寫入 周遊資料夾/執行檔案 列出資料夾/讀取資料 讀取屬性 X 列出資料夾/讀取資料 讀取屬性 讀取擴充屬性 建立檔案/寫入資料 建立資料夾/附加資料 寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 讀取權限 變更使用權限 取得擁有權

特殊檔案使用權限 特殊使用權限 完全控制 修改 讀取及執行 讀取 寫入 周遊資料夾/執行檔案 X 列出資料夾/讀取資料 讀取屬性 讀取擴充屬性 建立檔案/寫入資料 建立資料夾/附加資料 寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 (Delete) 讀取使用權限 變更使用權限 取得擁有權

NTFS 存取權限使用規則 允許存取權限具備累積性(Cumulative) 當一個使用者及所隸屬的群組被設定成不同的允許權限時,則最後的有效權限應是所有權限的組合。 拒絕存取(Deny)覆蓋其它允許存取權限,但明確的允許會覆蓋繼承性的拒絕 預設存取權限具繼承性 (Inheritance ) 共用資料夾的存取權限與NTFS的存取權限設定不一致時 ,則以二者最嚴格限制(most restrictive permission)的存取權限為主

ACL 的繼承關係 父物件上的權限設定,預設會繼承給子物件,因此可以減少目錄階層設定權限的次數 如果子物件上另外設定的權限 (ACE),與繼承自父物件的權限衝突,以子物件上的權限設定為主 繼承關係允許取消 DACL User1 Read / Write Group1 Read User1 Read / Write 繼承權限 使用者 存取物件 父物件 Group1 Read 子物件 DACL User1 Write User1 Deny Read Group1 Read / Write Group1 Write

NTFS使用權限設定實務 設定NTFS標準 設定特殊使用權限 設定或取消繼承效果 檢視有效權限

設定檔案目錄的使用權限 DEMO 使用標準使 用權限 使用特殊使 用權限

設定ACL 的繼承 DEMO

取消繼承關係 DEMO 目前已經繼承自上層的權限的處理方式:複製或移除

檢視有效權限 利用『有效權限』索引標籤可檢查使用者的有效權限 DEMO

拷貝或搬移目錄及檔案的權限問題 動作 所需的存取權限 拷貝(Copy) 對目的目錄需有寫入(Write)的權限,來源目錄至少要有讀取的權限 搬移(Move) 對目的目錄需有寫入(Write)的權限,而來源目錄需有修改(Modify)的權限 動作 目的與來源目錄為相同的Volume (例:C:\AC:\B) 目的與來源目錄為不相同的Volume (例: C:\A D:\A) 拷貝(copy) 繼承(變成)目的目錄使用權限 繼承(變成)目的目錄的使用權限 搬移(move) 保留原來的權限 註一:當您拷貝或搬移檔案後,您將會成為擁有者(Create Owner) 註二:當您將NTFS上的檔案或目錄搬移至FAT磁碟上,則將喪失所有的NTFS使用權限,因為FAT並不支援NTFS權限。

稽核檔案與目錄 目的:隨時掌控使用者對重要檔案目錄的存取狀況 步驟: 啟用「稽核物件存取」項目 設定檔案目錄的SACL 定期或必要時檢視安全性記錄檔 回應處理

稽核檔案存取 (設定SACL) DEMO 1. 啟用「稽核物件存取」 2. 設定檔案目錄的 SACL

檢視安全性記錄檔 ※ Vista的事件ID需加上4096,所以4656、4663、4658為Vista 檔案存取的ID 檔案存取事件為 Event ID 560、567、562 560顯示存取的檔案 567顯示存取的動作 ※ Vista的事件ID需加上4096,所以4656、4663、4658為Vista 檔案存取的ID

共用資料夾使用權限 檔案所在的目錄予以分享出來,才能讓網路使用者經由網路來加以存取 共用資料夾使用權限  檔案所在的目錄予以分享出來,才能讓網路使用者經由網路來加以存取 為了確保網路資源存取的安全性,所以需針定不同的對象設定適當的存取權限 共用資料夾權限 內容 讀取 (Read) 顯示資料夾名稱與檔案名稱 顯示檔案屬性與資料內容 執行程式檔 進入子資料夾 變更 (Change) 創造資料夾與新增檔案 刪除資料夾與檔案 變更檔案內容 變更檔案屬性 執行讀取權限被允許的所有工作 完全控制 (Full Control) 變更使用權限 (只存在NTFS) 取得擁有權(Take Ownership) (只應用在NTFS) 執行變更權限被允許的所有工作

共用資料夾存取權限的限制 共用資料夾所設定的權限只對網路連接資源的使用者才能生效,本機登入者(Log on locally) 並不會受共用資料夾所設定的權限所限制。 共用資料夾的權限使用上缺乏彈性,並不適合單獨使用在高度安全性需求的環境下 因應方法: 建立一高安全性網路資料存取環境,需要共用資料夾權限與NTFS權限一併使用

共用資料夾權限的安全技術 為確保安全,共用權限需和NTFS權限合用 若基於安全性考量,可以隱藏重要共享資料夾 目的:增加安全性,避免它人以瀏覽的方式看到共用目錄 作法:共用資料夾名稱後加上 $ 符號 若基於安全考量,可以隱藏伺服器,避免它人以瀏覽方式查看 指令:net config server /hidden:yes 停用預設的隱藏共用資料資料夾(C$, D$, E$,ADMIN$…..) 取消這些管理性的共用資料夾作法:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\ 新增並設定二個資料型態為REG_DWORD的值設為 0: AutoShareServer (伺服器) AutoShareWks (工作站) 有些應用程式會使用這些管理性共用資料夾,移除後可能導致程式無法正常運作 Windows 9x/Me 的share level 共用資料夾易破解,建議少用 Windows XP預設的簡易權限應取消以恢復正常的NTFS使用權限

合用共用資料夾與NTFS使用權限 二種存取權限合併使用時,最後的有效存取權限乃是選取最嚴格限制(most restrictive permission)的存取權限 所謂最嚴格權限取二者均擁有的允許權限為其最後有效的權限。

共用資料夾與NTFS使用權限範例 共用資料夾權限 NTFS使用權限 Users : 讀取與變更 Users: 讀取與執行 二種使用權限合併使用後,一般使用者僅具讀取與執行能力

最低權限賦予原則 (Least Privilege) 資源存取控制的安全性原則 設定權限時,必需依據使用者可以完成被指派的電腦作業所需的最少權限即可,絕不能賦予超出的權限。 最低權限賦予原則應同時應用於權限對象與權限等級 例如:公司有一應用程程式目錄,希望提供給企業員工有讀取與執行能力,則預設NTFS權限與共用權限是否符合最低權限賦予原則 ?

檔案目錄使用權限最佳安全實務 任何權限設定均應符合最低權限賦予原則 變更不符合最低權限賦予原則的預設權限 設定權限儘量以群組帳戶為對象,少用個別帳戶 盡量少使用拒絕權限 不要變更根目錄與系統目錄權限 非有必要,不要針對Everyone群組設定拒絕權限。

加密型檔案系統 (Encryption File System;EFS) 提供NTFS 磁碟下的檔案目錄加密機制 確保機密性檔案儲存時的私密性 具備了管理設定容易、不易被攻擊破解的優點 提供加密者存取透通性(Transparent)的優點 適合使用移動設備的使用者 採用憑證的PKI架構

使用EFS需要注意的事項 唯有儲放在NTFS 5磁碟上的檔案或目錄可以加密 已壓縮的檔案或目錄無法再予加密,亦即加密與壓縮為二個彼此互斥的屬性。 即使使用者不具備解密的能力而無法讀取加密檔案內容,不過只要此使用者擁有檔案的刪除權限,還是能夠將已加密的檔案或目錄予以移除。 企業如需廣泛使用EFS,最好佈署Enterprise CA

EFS 加密機制 加 密 加 密 機密文件 加 密 ABCD 檔案加密金鑰(FEK) Data Recovery Field (DRF) DRA 公開金鑰 Data Decryption Field (DDF) 加 密 使用者公開金鑰 /Z\[n]..-+={2 加 密 機密文件 ABCD

EFS 解密 解 密 機密文件 ABCD 解 密 使用者私密金鑰 Data Decryption Field (DDF) 檔案加密金鑰(FEK) 機密文件 ABCD 加密內容 /Z\[n]..-+={2 解 密

假設環境: domain accounts, enterprise CA, Windows Server 2003, Windows XP 使用EFS 的運作流程 利用EFS公開金鑰對FEK加密 以公開金鑰請求EFS 憑證 利用修復代理人公開金鑰對FEK 加密 產生EFS公開與私密金鑰 發行憑證並將憑證與私密金鑰儲存在使用者設定檔 產生FEK (file encryption key) 假設環境: domain accounts, enterprise CA, Windows Server 2003, Windows XP

使用加密式檔案系統 DEMO ※ 使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密 (1) 選取進階屬性按鈕 (2) 核選加密屬性核選方塊 (3) 檢視檔案加密屬性 ※ 使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密

檢視資料加密者及修復代理人 DEMO

允許它人存取加密資料 1. 開啟加密詳細資料對話方塊 DEMO 2. 選擇允許存取的使用者憑證

管理憑證與私密金鑰 DEMO 預設上使用自我簽署的憑證 為了確保機密性資料的安全,您需要使用『憑證』工具來匯出憑證和私密金鑰,並將私密金鑰刪除。 DEMO

命令列加解密工具 – Cipher.exe

命令列加解密工具範例 對目前的目錄進行加密 對目前的檔案進行加密 對目前被加密的資料夾進行解密 對目前的檔案進行解密 Cipher /e /s c:\data 對目前的檔案進行加密 Cipher /e /a c:\report.txt 對目前被加密的資料夾進行解密 Cipher /d /s c:\data 對目前的檔案進行解密 Cipher /d /a c:\report.txt 列出目前磁碟機上所有的加密目錄與檔案 Cipher /u /n

抹除已刪除資料--Cipher /w 刪除機密性檔案時,通常只移除檔案系統的結構欄位,並不會真正移除資料磁區,所以已刪除的資料仍可能被還原。 作法: 寫入00 寫入FF 寫入隨機字元 可能需執行一段長時間 不可中斷。

EFS修復代理人 修復代理人是一個被指派帳戶,允許利用其憑證與私密金鑰來對它人加密的資料予以解密。 修復代理人的預設機制與平台和網路角色有關: 獨立Windows 2000 強制administrator為修復代理人 獨立的Windows XP/2003無修復代理人 加入網域的2000/XP/2003機器強制以網域管理員為修復代理人

獨立電腦上的資料修復代理人 產生自我簽署的憑證及私密金鑰檔(CER與pfx檔) Cipher /r:myrecover 一旦金鑰產生後,憑證應該匯入到本機原則,而私密金鑰也應該儲存在安全的位置。 2 將憑證匯入到本機原則 1. 建立金鑰對與憑證 C:\>cipher /r:test 請輸入密碼來保護您的 .PFX 檔案: 請重新輸入密碼以確認: 您的 .CER 檔案已經建立成功。 您的 .PFX 檔案已經建立成功。

建立網域的EFS修復代理人 建立企業CA 將『EFS修復代理程式』範本中指派修復代理人擁有「讀取」和「註冊」權限 指派的修復代理使用者申請EFS修復代理程式憑證並將其匯出為cer檔 利用網域的GPO將上述的憑證新增至修復代理原則中

建立網域的EFS修復代理人實務 DEMO 申請EFS修復代理程式的憑證 匯出憑證 將憑證新增至修復代理原則中

EFS的安全度 EFS的版本 加密的演算法 私密金鑰的維護與管理方式 Windows 2000版本 Windows XP+SP1與Windows Server 2003版本 Vista版本 加密的演算法 128位元的DESX演算法 (預設) 168位元的3DES演算法 256位元的AES演算法 (XP SP1以後版本) 私密金鑰的維護與管理方式

EFS使用較安全的加密演算法 Windows XP/Windows Server 2003允許使用較安全的3DES取代預設的DESX加密演算法 作法: 啟用 FIPS 相容方法加密 變更登錄資料庫下列的值 新增一個資料類型為DWORD 的值HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\AlgorithmID DESX:0x6603 (hex) 3DES:0x6603 (hex) AES:0x6610 (hex) (只適用於 XP SP1 或 Windows Server 2003後的版本) 重新開機

EFS 問題 只能應用於NTFS 5 EFS檔案傳輸過程中不會加密 (使用IPSec) 需維護EFS憑證,必要時需佈署PKI

使用EFS最佳實務 建立Active Directory環境 架設企業CA 透過憑證範本控制EFS使用權限 建立適當的修復代理人機制 憑證與私密金鑰的維護管理與教育訓練

資料備份涵義 將資訊複製至其它場合或位置,若原始資料遺失或毀損時,可以儘速的還原資料。 保護資料的最後一道防線 備份 資料毀損 還原 資 料 Data Data 資 料 P 148 資 料 資 料

資料備份的重要性 一種保護資料的必備技術 組織單位保護資料的最後一道防線 實施異地備份可防止重大災害發生 迅速恢復資料運作與服務 美工插圖美化版面

備份策略 (Backup Policy) “備份策略需要定義將那些資料、以什麼方式、每隔多久、於什麼時間、備份至那裡,備份後如何維護、保護及還原這些備份的資料“ 備份目的 需備份的資料 備份的時間與週期 備份的媒體與位置 備份的類型與方法 磁帶輪換方式 備份確認 還原方式 備 份 策 略

Windows 備份工具-ntbackup 簡易友善的精靈介面 整合排程作業 允許直接備份到檔案 支援「開啟檔案備份(Open File Backup) 系統自動修護精靈 (ASR)

使用Windows備份工具 DEMO 備份完成後,需檢查日誌或報告並測試確認是否正確無誤

Windows備份實務建議 將作業系統與資料區隔在不同的磁碟或分割區,以利備份和還原作業 選擇適當的備份媒體 選擇與整合適當的備份類型 資料量大小、備份視窗、效能、成本、方便性 選擇與整合適當的備份類型 正常+增量、正常+差異 備份後務必檢測是否已成功的備份 (記錄檔、還原測試)

問題與討論

© 2007 Microsoft Corporation. All rights reserved. © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.