資料檔案的安全性管理 羅英嘉 2007年4月
課程大綱 介紹Windows檔案目錄的安全性保護機制 設定與管理NTFS 使用權限 設定與管理共用資料夾使用權限 稽核檔案存取 設定與管理加密檔案系統 資料備份實務與建議
資料保護原則 機密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 避免未經授權的使用者有意或無意的揭露資料內涵。 完整性(Integrity) 避免非經授權的使用者或處理程序篡改資料。 可用性(Availability) 讓資料或資源保持可用狀況。 企業資料或資源必需能夠即時、可靠而精確的提供給企業內部各個層級的使用需求。 存取控制 (Access Control) 限制資源存取的處理方式及程序,目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。
Windows檔案目錄的安全性保護機制 NTFS 檔案系統的存取權限 (NTFS Permission) 共用資源的使用權限 (Share folder permission) 加密檔案系統 (Encrypting File System ) 資料備份 (Backup)
存取控制 (Access Control) 為了確保資料的私密性、完整性與可用性,嚴謹的存取控制機制為首要條件 存取控制是一種限制資源存取的處理方式及程序,其目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。 Windows平台透過資源的安全性描述元(security descriptor )與使用者的存取權杖(Access Token)來控制存取。
存取權杖(Access Token) 當使用者登入驗證成功後,Local Security Authority (LSA)負責建立了使用者的安全性結構資料-存取權杖(Access Token)。 存取權杖是一個資料結構,包含了使用者安全性識別碼 (SID)、使用者所屬之群組的安全性識別碼以及使用者特權限 (也稱為「使用者權利」) 清單。 使用者 SID 群組一 SID 群組二 SID …….. 存取權杖 存取權杖 特權一 特權二 ……..
安全性描述元 (Security Descriptor) 每個受保護物件會維護一個安全性相關資訊之資料結構。 安全性描述元包括物件擁有者、物件存取者及存取方式,以及稽核的存取類型之相關資訊。 標頭 擁有者 SID 群組 SID DACL ACEs SACL ACEs
DACL 與 SACL Discretionary / System Access Control List 物件的存取控制安全性結構資訊,包含允許或拒絕那些主體存取物件,以及存取的權限等級,內含多個ACE 系統存取控制清單 (SACL) 物件的安全性稽核結構資訊,包含所稽核 (Audit) 的對象 (安全性主體) ,以及所要稽核的動作
存取控制項目 (Access Control Entry;ACE) DACL 使用者SID 群組SID ACE1 ACE2 ACE3 ACE4 …………… 對此物件禁止存取 DACL ACEs 對此物件允許存取 對某一屬性或子物件禁止存取 對某一屬性或子物件允許存取 存取遮罩
Windows檔案目錄的存取控制機制 Access Token DACL 比對檢查 企圖存取 允 許 網路資料檔案 使用者登入成功 拒 絕 使用者 SID 群組一 SID 群組二 SID …….. 特權一 特權二 Access Token DACL 比對檢查 使用者登入成功 企圖存取 允 許 網路資料檔案 拒 絕
管控Windows資料存取的安全性原則 控制檔案目錄的安全性描述元 控制使用者的存取權杖 管理擁有者 管理DACL 管理SACL 管理群組成員 管理使用者權利
檔案目錄的擁有權 NTFS下的檔案目錄擁有者可以指派物件的使用權限對象與存取方式。 可以取得檔案所有權的人需具備: 移轉擁有權 系統管理員 對正在請求中的物件具有「取得擁有權」權限的任何人或群組 擁有「還原檔案和目錄」特殊權限的使用者 移轉擁有權 目前的擁有者可以將「取得擁有權」使用權限授予其它使用者,讓其能夠隨時取得擁有權。使用者必須實際取得所有權才能完成轉送 系統管理員可以取得所有權 擁有「還原檔案和目錄」特殊權限的使用者可以連按兩下 [其他使用者和群組],並選擇任何使用者或群組來指派擁有權。
Windows 檔案目錄的存取控制 標準權限 目錄權限 特殊權限 1. NTFS 使用權限 標準權限 檔案權限 特殊權限 ◎ 預設權限為 Everyone 完全控制或users具讀取與執行 檔案權限 特殊權限 套用對象:透過網路連線存取資源使用者 主要功能:控制網路共用資源的存取 2. 共用資料夾使用權限 ◎ 預設權限為Everyone 讀取 (Windows 2003)
使用NTFS 存取權限 NTFS使用權限可針對目錄或個別檔案設定,權限對網路和本機使用者皆有效 二種指定NTFS權限的方式 標準使用權限(Standard Permission) 一般性的存取控制等級 適合大部份情況下的安全性權限指派之用 特殊使用權限(Special Permission) 更細分化的存取控制等級 適用於需高度細分化權限等級的環境下使用 標準使用權限其實不過是某些特殊使用權限的組合
標準目錄使用權限 NTFS 目錄存取權限 允許使用者執行下列操作 查看目錄下的子目錄與檔案、 讀取 (Read) 查看目錄下的子目錄與檔案、 檢視目錄與檔案的屬性(Attributes)[註一]、 檢視擁有者與使用權限。 寫入 (Write) 允許創造新檔案與子目錄、 變更目錄屬性、 清單資料夾內容 (List Folder Contents) 允許查看目錄下的子目錄與檔案名稱 讀取及執行 (Read & Execute) 瀏覽目錄階層(Transverse Directory)、 允許執行讀取(Read)和清單資料夾內容(List Folder Contents)二者所允許的權限 修改(Modify) 刪除目錄 允許執行寫入(write)與讀取及執行(Read & Execute)二者所允許的權限 完全控制 (Full Control) 變更使用權限 取得擁有權 刪除子目錄與檔案 允許執行其它上列所有權限所允許執行的權限。 [註一] 屬性包含唯讀(Read-Only)、隱藏(Hidden)、保存檔案(Archive)、系統(System) [註二] 讀取與執行、修改、完全控制目錄存取權限具備依序累計特性
標準檔案使用權限 NTFS 檔案存取權限等級 允許使用者執行下列權限 讀取 (Read) 讀取檔案 檢視檔案屬性,擁有權與使用權限 寫入 (Write) 覆寫變更檔案內容 變更檔案屬性 查看檔案擁有者與使用權限 讀取與執行(Read & Execute) 執行程式 允許執行讀取權限所允許的權限 修改 (Modify) 變更與刪除檔案 允許「寫入」與「讀取與執行」所允許的權限。 完全控制 (Full Control) 變更使用權限 取得擁有權 允許執行其它上列所有權限所可以執行的權限。
特殊目錄使用權限 特殊使用權限 完全控制 修改 讀取及執行 清單資料夾內容 讀取 寫入 周遊資料夾/執行檔案 列出資料夾/讀取資料 讀取屬性 X 列出資料夾/讀取資料 讀取屬性 讀取擴充屬性 建立檔案/寫入資料 建立資料夾/附加資料 寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 讀取權限 變更使用權限 取得擁有權
特殊檔案使用權限 特殊使用權限 完全控制 修改 讀取及執行 讀取 寫入 周遊資料夾/執行檔案 X 列出資料夾/讀取資料 讀取屬性 讀取擴充屬性 建立檔案/寫入資料 建立資料夾/附加資料 寫入屬性 寫入擴充屬性 刪除子資料夾及檔案 刪除 (Delete) 讀取使用權限 變更使用權限 取得擁有權
NTFS 存取權限使用規則 允許存取權限具備累積性(Cumulative) 當一個使用者及所隸屬的群組被設定成不同的允許權限時,則最後的有效權限應是所有權限的組合。 拒絕存取(Deny)覆蓋其它允許存取權限,但明確的允許會覆蓋繼承性的拒絕 預設存取權限具繼承性 (Inheritance ) 共用資料夾的存取權限與NTFS的存取權限設定不一致時 ,則以二者最嚴格限制(most restrictive permission)的存取權限為主
ACL 的繼承關係 父物件上的權限設定,預設會繼承給子物件,因此可以減少目錄階層設定權限的次數 如果子物件上另外設定的權限 (ACE),與繼承自父物件的權限衝突,以子物件上的權限設定為主 繼承關係允許取消 DACL User1 Read / Write Group1 Read User1 Read / Write 繼承權限 使用者 存取物件 父物件 Group1 Read 子物件 DACL User1 Write User1 Deny Read Group1 Read / Write Group1 Write
NTFS使用權限設定實務 設定NTFS標準 設定特殊使用權限 設定或取消繼承效果 檢視有效權限
設定檔案目錄的使用權限 DEMO 使用標準使 用權限 使用特殊使 用權限
設定ACL 的繼承 DEMO
取消繼承關係 DEMO 目前已經繼承自上層的權限的處理方式:複製或移除
檢視有效權限 利用『有效權限』索引標籤可檢查使用者的有效權限 DEMO
拷貝或搬移目錄及檔案的權限問題 動作 所需的存取權限 拷貝(Copy) 對目的目錄需有寫入(Write)的權限,來源目錄至少要有讀取的權限 搬移(Move) 對目的目錄需有寫入(Write)的權限,而來源目錄需有修改(Modify)的權限 動作 目的與來源目錄為相同的Volume (例:C:\AC:\B) 目的與來源目錄為不相同的Volume (例: C:\A D:\A) 拷貝(copy) 繼承(變成)目的目錄使用權限 繼承(變成)目的目錄的使用權限 搬移(move) 保留原來的權限 註一:當您拷貝或搬移檔案後,您將會成為擁有者(Create Owner) 註二:當您將NTFS上的檔案或目錄搬移至FAT磁碟上,則將喪失所有的NTFS使用權限,因為FAT並不支援NTFS權限。
稽核檔案與目錄 目的:隨時掌控使用者對重要檔案目錄的存取狀況 步驟: 啟用「稽核物件存取」項目 設定檔案目錄的SACL 定期或必要時檢視安全性記錄檔 回應處理
稽核檔案存取 (設定SACL) DEMO 1. 啟用「稽核物件存取」 2. 設定檔案目錄的 SACL
檢視安全性記錄檔 ※ Vista的事件ID需加上4096,所以4656、4663、4658為Vista 檔案存取的ID 檔案存取事件為 Event ID 560、567、562 560顯示存取的檔案 567顯示存取的動作 ※ Vista的事件ID需加上4096,所以4656、4663、4658為Vista 檔案存取的ID
共用資料夾使用權限 檔案所在的目錄予以分享出來,才能讓網路使用者經由網路來加以存取 共用資料夾使用權限 檔案所在的目錄予以分享出來,才能讓網路使用者經由網路來加以存取 為了確保網路資源存取的安全性,所以需針定不同的對象設定適當的存取權限 共用資料夾權限 內容 讀取 (Read) 顯示資料夾名稱與檔案名稱 顯示檔案屬性與資料內容 執行程式檔 進入子資料夾 變更 (Change) 創造資料夾與新增檔案 刪除資料夾與檔案 變更檔案內容 變更檔案屬性 執行讀取權限被允許的所有工作 完全控制 (Full Control) 變更使用權限 (只存在NTFS) 取得擁有權(Take Ownership) (只應用在NTFS) 執行變更權限被允許的所有工作
共用資料夾存取權限的限制 共用資料夾所設定的權限只對網路連接資源的使用者才能生效,本機登入者(Log on locally) 並不會受共用資料夾所設定的權限所限制。 共用資料夾的權限使用上缺乏彈性,並不適合單獨使用在高度安全性需求的環境下 因應方法: 建立一高安全性網路資料存取環境,需要共用資料夾權限與NTFS權限一併使用
共用資料夾權限的安全技術 為確保安全,共用權限需和NTFS權限合用 若基於安全性考量,可以隱藏重要共享資料夾 目的:增加安全性,避免它人以瀏覽的方式看到共用目錄 作法:共用資料夾名稱後加上 $ 符號 若基於安全考量,可以隱藏伺服器,避免它人以瀏覽方式查看 指令:net config server /hidden:yes 停用預設的隱藏共用資料資料夾(C$, D$, E$,ADMIN$…..) 取消這些管理性的共用資料夾作法:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\ 新增並設定二個資料型態為REG_DWORD的值設為 0: AutoShareServer (伺服器) AutoShareWks (工作站) 有些應用程式會使用這些管理性共用資料夾,移除後可能導致程式無法正常運作 Windows 9x/Me 的share level 共用資料夾易破解,建議少用 Windows XP預設的簡易權限應取消以恢復正常的NTFS使用權限
合用共用資料夾與NTFS使用權限 二種存取權限合併使用時,最後的有效存取權限乃是選取最嚴格限制(most restrictive permission)的存取權限 所謂最嚴格權限取二者均擁有的允許權限為其最後有效的權限。
共用資料夾與NTFS使用權限範例 共用資料夾權限 NTFS使用權限 Users : 讀取與變更 Users: 讀取與執行 二種使用權限合併使用後,一般使用者僅具讀取與執行能力
最低權限賦予原則 (Least Privilege) 資源存取控制的安全性原則 設定權限時,必需依據使用者可以完成被指派的電腦作業所需的最少權限即可,絕不能賦予超出的權限。 最低權限賦予原則應同時應用於權限對象與權限等級 例如:公司有一應用程程式目錄,希望提供給企業員工有讀取與執行能力,則預設NTFS權限與共用權限是否符合最低權限賦予原則 ?
檔案目錄使用權限最佳安全實務 任何權限設定均應符合最低權限賦予原則 變更不符合最低權限賦予原則的預設權限 設定權限儘量以群組帳戶為對象,少用個別帳戶 盡量少使用拒絕權限 不要變更根目錄與系統目錄權限 非有必要,不要針對Everyone群組設定拒絕權限。
加密型檔案系統 (Encryption File System;EFS) 提供NTFS 磁碟下的檔案目錄加密機制 確保機密性檔案儲存時的私密性 具備了管理設定容易、不易被攻擊破解的優點 提供加密者存取透通性(Transparent)的優點 適合使用移動設備的使用者 採用憑證的PKI架構
使用EFS需要注意的事項 唯有儲放在NTFS 5磁碟上的檔案或目錄可以加密 已壓縮的檔案或目錄無法再予加密,亦即加密與壓縮為二個彼此互斥的屬性。 即使使用者不具備解密的能力而無法讀取加密檔案內容,不過只要此使用者擁有檔案的刪除權限,還是能夠將已加密的檔案或目錄予以移除。 企業如需廣泛使用EFS,最好佈署Enterprise CA
EFS 加密機制 加 密 加 密 機密文件 加 密 ABCD 檔案加密金鑰(FEK) Data Recovery Field (DRF) DRA 公開金鑰 Data Decryption Field (DDF) 加 密 使用者公開金鑰 /Z\[n]..-+={2 加 密 機密文件 ABCD
EFS 解密 解 密 機密文件 ABCD 解 密 使用者私密金鑰 Data Decryption Field (DDF) 檔案加密金鑰(FEK) 機密文件 ABCD 加密內容 /Z\[n]..-+={2 解 密
假設環境: domain accounts, enterprise CA, Windows Server 2003, Windows XP 使用EFS 的運作流程 利用EFS公開金鑰對FEK加密 以公開金鑰請求EFS 憑證 利用修復代理人公開金鑰對FEK 加密 產生EFS公開與私密金鑰 發行憑證並將憑證與私密金鑰儲存在使用者設定檔 產生FEK (file encryption key) 假設環境: domain accounts, enterprise CA, Windows Server 2003, Windows XP
使用加密式檔案系統 DEMO ※ 使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密 (1) 選取進階屬性按鈕 (2) 核選加密屬性核選方塊 (3) 檢視檔案加密屬性 ※ 使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密
檢視資料加密者及修復代理人 DEMO
允許它人存取加密資料 1. 開啟加密詳細資料對話方塊 DEMO 2. 選擇允許存取的使用者憑證
管理憑證與私密金鑰 DEMO 預設上使用自我簽署的憑證 為了確保機密性資料的安全,您需要使用『憑證』工具來匯出憑證和私密金鑰,並將私密金鑰刪除。 DEMO
命令列加解密工具 – Cipher.exe
命令列加解密工具範例 對目前的目錄進行加密 對目前的檔案進行加密 對目前被加密的資料夾進行解密 對目前的檔案進行解密 Cipher /e /s c:\data 對目前的檔案進行加密 Cipher /e /a c:\report.txt 對目前被加密的資料夾進行解密 Cipher /d /s c:\data 對目前的檔案進行解密 Cipher /d /a c:\report.txt 列出目前磁碟機上所有的加密目錄與檔案 Cipher /u /n
抹除已刪除資料--Cipher /w 刪除機密性檔案時,通常只移除檔案系統的結構欄位,並不會真正移除資料磁區,所以已刪除的資料仍可能被還原。 作法: 寫入00 寫入FF 寫入隨機字元 可能需執行一段長時間 不可中斷。
EFS修復代理人 修復代理人是一個被指派帳戶,允許利用其憑證與私密金鑰來對它人加密的資料予以解密。 修復代理人的預設機制與平台和網路角色有關: 獨立Windows 2000 強制administrator為修復代理人 獨立的Windows XP/2003無修復代理人 加入網域的2000/XP/2003機器強制以網域管理員為修復代理人
獨立電腦上的資料修復代理人 產生自我簽署的憑證及私密金鑰檔(CER與pfx檔) Cipher /r:myrecover 一旦金鑰產生後,憑證應該匯入到本機原則,而私密金鑰也應該儲存在安全的位置。 2 將憑證匯入到本機原則 1. 建立金鑰對與憑證 C:\>cipher /r:test 請輸入密碼來保護您的 .PFX 檔案: 請重新輸入密碼以確認: 您的 .CER 檔案已經建立成功。 您的 .PFX 檔案已經建立成功。
建立網域的EFS修復代理人 建立企業CA 將『EFS修復代理程式』範本中指派修復代理人擁有「讀取」和「註冊」權限 指派的修復代理使用者申請EFS修復代理程式憑證並將其匯出為cer檔 利用網域的GPO將上述的憑證新增至修復代理原則中
建立網域的EFS修復代理人實務 DEMO 申請EFS修復代理程式的憑證 匯出憑證 將憑證新增至修復代理原則中
EFS的安全度 EFS的版本 加密的演算法 私密金鑰的維護與管理方式 Windows 2000版本 Windows XP+SP1與Windows Server 2003版本 Vista版本 加密的演算法 128位元的DESX演算法 (預設) 168位元的3DES演算法 256位元的AES演算法 (XP SP1以後版本) 私密金鑰的維護與管理方式
EFS使用較安全的加密演算法 Windows XP/Windows Server 2003允許使用較安全的3DES取代預設的DESX加密演算法 作法: 啟用 FIPS 相容方法加密 變更登錄資料庫下列的值 新增一個資料類型為DWORD 的值HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\AlgorithmID DESX:0x6603 (hex) 3DES:0x6603 (hex) AES:0x6610 (hex) (只適用於 XP SP1 或 Windows Server 2003後的版本) 重新開機
EFS 問題 只能應用於NTFS 5 EFS檔案傳輸過程中不會加密 (使用IPSec) 需維護EFS憑證,必要時需佈署PKI
使用EFS最佳實務 建立Active Directory環境 架設企業CA 透過憑證範本控制EFS使用權限 建立適當的修復代理人機制 憑證與私密金鑰的維護管理與教育訓練
資料備份涵義 將資訊複製至其它場合或位置,若原始資料遺失或毀損時,可以儘速的還原資料。 保護資料的最後一道防線 備份 資料毀損 還原 資 料 Data Data 資 料 P 148 資 料 資 料
資料備份的重要性 一種保護資料的必備技術 組織單位保護資料的最後一道防線 實施異地備份可防止重大災害發生 迅速恢復資料運作與服務 美工插圖美化版面
備份策略 (Backup Policy) “備份策略需要定義將那些資料、以什麼方式、每隔多久、於什麼時間、備份至那裡,備份後如何維護、保護及還原這些備份的資料“ 備份目的 需備份的資料 備份的時間與週期 備份的媒體與位置 備份的類型與方法 磁帶輪換方式 備份確認 還原方式 備 份 策 略
Windows 備份工具-ntbackup 簡易友善的精靈介面 整合排程作業 允許直接備份到檔案 支援「開啟檔案備份(Open File Backup) 系統自動修護精靈 (ASR)
使用Windows備份工具 DEMO 備份完成後,需檢查日誌或報告並測試確認是否正確無誤
Windows備份實務建議 將作業系統與資料區隔在不同的磁碟或分割區,以利備份和還原作業 選擇適當的備份媒體 選擇與整合適當的備份類型 資料量大小、備份視窗、效能、成本、方便性 選擇與整合適當的備份類型 正常+增量、正常+差異 備份後務必檢測是否已成功的備份 (記錄檔、還原測試)
問題與討論
© 2007 Microsoft Corporation. All rights reserved. © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.