資料檔案的安全性管理课件

1、資料檔案的安全性管理课件,- 1 -,資料檔案的安全性管理,資料檔案的安全性管理课件,- 2 -,課程大綱,介紹Windows檔案目錄的安全性保護機制 設定與管理NTFS 使用權限 設定與管理共用資料夾使用權限 稽核檔案存取 設定與管理加密檔案系統 資料備份實務與建議,資料檔案的安全性管理课件,- 3 -,資料保護原則,機密性(Confidentiality) 避免未經授權的使用者有意或無意的揭露資料內涵。 完整性(Integrity) 避免非經授權的使用者或處理程序篡改資料。 可用性(Availability) 讓資料或資源保持可用狀況。 企業資料或資源必需能夠即時、可靠而精確的提供給企業內

2、部各個層級的使用需求。 存取控制 (Access Control) 限制資源存取的處理方式及程序，目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。,資料檔案的安全性管理课件,- 4 -,Windows檔案目錄的安全性保護機制,NTFS 檔案系統的存取權限 (NTFS Permission) 共用資源的使用權限 (Share folder permission) 加密檔案系統 (Encrypting ) 資料備份 (Backup),資料檔案的安全性管理课件,- 5 -,存取控制 (Access Control),為了確保資料的私密性、完整性與可用性，嚴謹的存取控制機制為首要條件 存取

3、控制是一種限制資源存取的處理方式及程序，其目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。 Windows平台透過資源的安全性描述元(security descriptor )與使用者的存取權杖(Access Token)來控制存取。,資料檔案的安全性管理课件,- 6 -,存取權杖(Access Token),當使用者登入驗證成功後，Local Security Authority (LSA)負責建立了使用者的安全性結構資料-存取權杖(Access Token)。 存取權杖是一個資料結構，包含了使用者安全性識別碼 (SID)、使用者所屬之群組的安全性識別碼以及使用者特權限 (也稱為

4、使用者權利) 清單。,使用者 SID,群組一 SID 群組二 SID .,特權一 特權二 .,存取權杖,存取權杖,資料檔案的安全性管理课件,- 7 -,安全性描述元 (Security Descriptor),每個受保護物件會維護一個安全性相關資訊之資料結構。 安全性描述元包括物件擁有者、物件存取者及存取方式，以及稽核的存取類型之相關資訊。,安全性描述元,標頭,擁有者 SID,群組 SID,DACL,ACEs,SACL,ACEs,資料檔案的安全性管理课件,- 8 -,DACL 與 SACL Discretionary / System Access Control List,判別存取控制清單

5、(DACL) 物件的存取控制安全性結構資訊，包含允許或拒絕那些主體存取物件，以及存取的權限等級，內含多個ACE 系統存取控制清單 (SACL) 物件的安全性稽核結構資訊，包含所稽核 (Audit) 的對象 (安全性主體) ，以及所要稽核的動作,資料檔案的安全性管理课件,- 9 -,ACE3 標頭,存取遮罩,使用者SID,群組SID,對此物件禁止存取,對此物件允許存取,對某一屬性或子物件禁止存取,對某一屬性或子物件允許存取,DACL,存取控制項目 (Access Control Entry；ACE),資料檔案的安全性管理课件,- 10 -,Windows檔案目錄的存取控制機制,使用者登入成功,D

6、ACL,比對檢查,網路資料檔案,企圖存取,拒 絕,允 許,資料檔案的安全性管理课件,- 11 -,管控Windows資料存取的安全性原則,控制檔案目錄的安全性描述元 管理擁有者 管理DACL 管理SACL 控制使用者的存取權杖 管理群組成員 管理使用者權利,資料檔案的安全性管理课件,- 12 -,檔案目錄的擁有權,NTFS下的檔案目錄擁有者可以指派物件的使用權限對象與存取方式。 可以取得檔案所有權的人需具備： 系統管理員 對正在請求中的物件具有取得擁有權權限的任何人或群組 擁有還原檔案和目錄特殊權限的使用者 移轉擁有權 目前的擁有者可以將取得擁有權使用權限授予其它使用者，讓其能夠隨時取得擁有權

7、。使用者必須實際取得所有權才能完成轉送 系統管理員可以取得所有權 擁有還原檔案和目錄特殊權限的使用者可以連按兩下 其他使用者和群組，並選擇任何使用者或群組來指派擁有權。,資料檔案的安全性管理课件,- 13 -,Windows 檔案目錄的存取控制,1. NTFS 使用權限,2. 共用資料夾使用權限, 僅 NTFS 磁碟支援 預設權限為 Everyone 完全控制或users具讀取與執行, 預設權限為Everyone 讀取 (Windows 2003),目錄權限,檔案權限,標準權限,特殊權限,標準權限,特殊權限,套用對象：透過網路連線存取資源使用者 主要功能：控制網路共用資源的存取,資料檔案的安全

8、性管理课件,- 14 -,使用NTFS 存取權限,NTFS使用權限可針對目錄或個別檔案設定，權限對網路和本機使用者皆有效 二種指定NTFS權限的方式 標準使用權限(Standard Permission) 一般性的存取控制等級 適合大部份情況下的安全性權限指派之用 特殊使用權限(Special Permission) 更細分化的存取控制等級 適用於需高度細分化權限等級的環境下使用 標準使用權限其實不過是某些特殊使用權限的組合,資料檔案的安全性管理课件,- 15 -,標準目錄使用權限,資料檔案的安全性管理课件,- 16 -,標準檔案使用權限,資料檔案的安全性管理课件,- 17 -,特殊目錄使用權

9、限,資料檔案的安全性管理课件,- 18 -,特殊檔案使用權限,資料檔案的安全性管理课件,- 19 -,NTFS 存取權限使用規則,允許存取權限具備累積性(Cumulative) 當一個使用者及所隸屬的群組被設定成不同的允許權限時，則最後的有效權限應是所有權限的組合。 拒絕存取(Deny)覆蓋其它允許存取權限，但明確的允許會覆蓋繼承性的拒絕 預設存取權限具繼承性 (Inheritance ) 共用資料夾的存取權限與NTFS的存取權限設定不一致時 ，則以二者最嚴格限制(most restrictive permission)的存取權限為主,資料檔案的安全性管理课件,- 20 -,DACL,使用者存

10、取物件,ACL 的繼承關係,父物件上的權限設定，預設會繼承給子物件，因此可以減少目錄階層設定權限的次數 如果子物件上另外設定的權限 (ACE)，與繼承自父物件的權限衝突，以子物件上的權限設定為主 繼承關係允許取消,資料檔案的安全性管理课件,- 21 -,NTFS使用權限設定實務,設定NTFS標準 設定特殊使用權限 設定或取消繼承效果 檢視有效權限,資料檔案的安全性管理课件,- 22 -,設定檔案目錄的使用權限,DEMO,使用標準使 用權限,使用特殊使 用權限,資料檔案的安全性管理课件,- 23 -,DEMO,設定ACL 的繼承,資料檔案的安全性管理课件,- 24 -,取消繼承關係,DEMO,目

11、前已經繼承自上層的權限的處理方式：複製或移除,資料檔案的安全性管理课件,- 25 -,檢視有效權限,利用有效權限索引標籤可檢查使用者的有效權限,DEMO,資料檔案的安全性管理课件,- 26 -,拷貝或搬移目錄及檔案的權限問題,資料檔案的安全性管理课件,- 27 -,稽核檔案與目錄,目的：隨時掌控使用者對重要檔案目錄的存取狀況 步驟： 啟用稽核物件存取項目 設定檔案目錄的SACL 定期或必要時檢視安全性記錄檔 回應處理,資料檔案的安全性管理课件,- 28 -,稽核檔案存取 (設定SACL),DEMO,1. 啟用稽核物件存取,2. 設定檔案目錄的 SACL,資料檔案的安全性管理课件,- 29 -,

12、檢視安全性記錄檔,檔案存取事件為 Event ID 560、567、562,560顯示存取的檔案,567顯示存取的動作, Vista的事件ID需加上4096，所以4656、4663、4658為Vista 檔案存取的ID,資料檔案的安全性管理课件,- 30 -,共用資料夾使用權限,檔案所在的目錄予以分享出來，才能讓網路使用者經由網路來加以存取 為了確保網路資源存取的安全性，所以需針定不同的對象設定適當的存取權限,資料檔案的安全性管理课件,- 31 -,共用資料夾存取權限的限制,共用資料夾所設定的權限只對網路連接資源的使用者才能生效，本機登入者(Log on locally) 並不會受共用資料夾所

13、設定的權限所限制。 共用資料夾的權限使用上缺乏彈性，並不適合單獨使用在高度安全性需求的環境下 因應方法： 建立一高安全性網路資料存取環境，需要共用資料夾權限與NTFS權限一併使用,資料檔案的安全性管理课件,- 32 -,共用資料夾權限的安全技術,為確保安全，共用權限需和NTFS權限合用 若基於安全性考量，可以隱藏重要共享資料夾 目的：增加安全性，避免它人以瀏覽的方式看到共用目錄 作法：共用資料夾名稱後加上 $ 符號 若基於安全考量，可以隱藏伺服器，避免它人以瀏覽方式查看 指令：net config server /hidden:yes 停用預設的隱藏共用資料資料夾（C$, D$, E$,ADM

14、IN$.） 取消這些管理性的共用資料夾作法：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters 新增並設定二個資料型態為REG_DWORD的值設為 0： AutoShareServer (伺服器) AutoShareWks (工作站) 有些應用程式會使用這些管理性共用資料夾，移除後可能導致程式無法正常運作 Windows 9x/Me 的share level 共用資料夾易破解，建議少用 Windows XP預設的簡易權限應取消以恢復正常的NTFS使用權限,資料檔案的安全性管理课件,- 33 -,合用共用

15、資料夾與NTFS使用權限,二種存取權限合併使用時，最後的有效存取權限乃是選取最嚴格限制(most restrictive permission)的存取權限 所謂最嚴格權限取二者均擁有的允許權限為其最後有效的權限。,資料檔案的安全性管理课件,- 34 -,共用資料夾與NTFS使用權限範例,共用資料夾權限 Users : 讀取與變更,NTFS使用權限 Users: 讀取與執行,二種使用權限合併使用後，一般使用者僅具讀取與執行能力,資料檔案的安全性管理课件,- 35 -,最低權限賦予原則 (Least Privilege),資源存取控制的安全性原則 設定權限時，必需依據使用者可以完成被指派的電腦作業

16、所需的最少權限即可，絕不能賦予超出的權限。 最低權限賦予原則應同時應用於權限對象與權限等級 例如：公司有一應用程程式目錄，希望提供給企業員工有讀取與執行能力，則預設NTFS權限與共用權限是否符合最低權限賦予原則 ？,資料檔案的安全性管理课件,- 36 -,檔案目錄使用權限最佳安全實務,任何權限設定均應符合最低權限賦予原則 變更不符合最低權限賦予原則的預設權限 設定權限儘量以群組帳戶為對象，少用個別帳戶 盡量少使用拒絕權限 不要變更根目錄與系統目錄權限 非有必要，不要針對Everyone群組設定拒絕權限。,資料檔案的安全性管理课件,- 37 -,加密型檔案系統(Encryption File S

17、ystem；EFS),提供NTFS 磁碟下的檔案目錄加密機制 確保機密性檔案儲存時的私密性 具備了管理設定容易、不易被攻擊破解的優點 提供加密者存取透通性(Transparent)的優點 適合使用移動設備的使用者 採用憑證的PKI架構,資料檔案的安全性管理课件,- 38 -,使用EFS需要注意的事項,唯有儲放在NTFS 5磁碟上的檔案或目錄可以加密 已壓縮的檔案或目錄無法再予加密，亦即加密與壓縮為二個彼此互斥的屬性。 即使使用者不具備解密的能力而無法讀取加密檔案內容，不過只要此使用者擁有檔案的刪除權限，還是能夠將已加密的檔案或目錄予以移除。 企業如需廣泛使用EFS，最好佈署Enterprise

18、 CA,資料檔案的安全性管理课件,- 39 -,EFS 加密機制,機密文件 ABCD,加 密,加 密,加 密,Data Recovery Field (DRF),Data Decryption Field (DDF),/Zn.-+=2,DRA 公開金鑰,使用者公開金鑰,檔案加密金鑰(FEK),資料檔案的安全性管理课件,- 40 -,EFS 解密,Data Decryption Field (DDF),解 密,檔案加密金鑰(FEK),加密內容 /Zn.-+=2,解 密,機密文件 ABCD,使用者私密金鑰,資料檔案的安全性管理课件,- 41 -,使用EFS 的運作流程,假設環境: domain a

19、ccounts, enterprise CA, Windows Server 2003, Windows XP,產生EFS公開與私密金鑰,發行憑證並將憑證與私密金鑰儲存在使用者設定檔,產生FEK ( key),利用EFS公開金鑰對FEK加密,利用修復代理人公開金鑰對FEK 加密,以公開金鑰請求EFS 憑證,資料檔案的安全性管理课件,- 42 -,使用加密式檔案系統,DEMO,(1) 選取進階屬性按鈕,(2) 核選加密屬性核選方塊,(3) 檢視檔案加密屬性, 使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密,資料檔案的安全性管理课件,- 43 -,檢視資料加密者及修復代理人,DEMO,資料檔案

20、的安全性管理课件,- 44 -,允許它人存取加密資料,1. 開啟加密詳細資料對話方塊,2. 選擇允許存取的使用者憑證,DEMO,資料檔案的安全性管理课件,- 45 -,管理憑證與私密金鑰,預設上使用自我簽署的憑證 為了確保機密性資料的安全，您需要使用憑證工具來匯出憑證和私密金鑰，並將私密金鑰刪除。,DEMO,資料檔案的安全性管理课件,- 46 -,命令列加解密工具 Cipher.exe,資料檔案的安全性管理课件,- 47 -,命令列加解密工具範例,對目前的目錄進行加密 Cipher /e /s c:data 對目前的檔案進行加密 Cipher /e /a c:report.txt 對目前被加密

21、的資料夾進行解密 Cipher /d /s c:data 對目前的檔案進行解密 Cipher /d /a c:report.txt 列出目前磁碟機上所有的加密目錄與檔案 Cipher /u /n,資料檔案的安全性管理课件,- 48 -,抹除已刪除資料-Cipher /w,刪除機密性檔案時，通常只移除檔案系統的結構欄位，並不會真正移除資料磁區，所以已刪除的資料仍可能被還原。 為了避免被刪除的重要私密性資料被有心人士還原，造成資料外洩，可使用cipher /w指令 作法： 寫入00 寫入FF 寫入隨機字元 可能需執行一段長時間 不可中斷。,資料檔案的安全性管理课件,- 49 -,EFS修復代理人,

22、修復代理人是一個被指派帳戶，允許利用其憑證與私密金鑰來對它人加密的資料予以解密。 修復代理人的預設機制與平台和網路角色有關： 獨立Windows 2000 強制administrator為修復代理人 獨立的Windows XP/2003無修復代理人 加入網域的2000/XP/2003機器強制以網域管理員為修復代理人,資料檔案的安全性管理课件,- 50 -,獨立電腦上的資料修復代理人,產生自我簽署的憑證及私密金鑰檔(CER與pfx檔) Cipher /r:myrecover 一旦金鑰產生後，憑證應該匯入到本機原則，而私密金鑰也應該儲存在安全的位置。,2 將憑證匯入到本機原則,C:cipher /

23、r:test 請輸入密碼來保護您的 .PFX 檔案: 請重新輸入密碼以確認: 您的 .CER 檔案已經建立成功。 您的 .PFX 檔案已經建立成功。,1. 建立金鑰對與憑證,資料檔案的安全性管理课件,- 51 -,建立網域的EFS修復代理人,建立企業CA 將EFS修復代理程式範本中指派修復代理人擁有讀取和註冊權限 指派的修復代理使用者申請EFS修復代理程式憑證並將其匯出為cer檔 利用網域的GPO將上述的憑證新增至修復代理原則中,資料檔案的安全性管理课件,- 52 -,建立網域的EFS修復代理人實務,申請EFS修復代理程式的憑證,匯出憑證,將憑證新增至修復代理原則中,DEMO,資料檔案的安全性

24、管理课件,- 53 -,EFS的安全度,EFS的版本 Windows 2000版本 Windows XP+SP1與Windows Server 2003版本 Vista版本 加密的演算法 128位元的DESX演算法 (預設) 168位元的3DES演算法 256位元的AES演算法 (XP SP1以後版本) 私密金鑰的維護與管理方式,資料檔案的安全性管理课件,- 54 -,EFS使用較安全的加密演算法,Windows XP/Windows Server 2003允許使用較安全的3DES取代預設的DESX加密演算法 作法： 啟用 FIPS 相容方法加密 變更登錄資料庫下列的值 新增一個資料類型為DW

25、ORD 的值HKLMSOFTWAREMicrosoftWindows NTCurrentVersionEFSAlgorithmID DESX：0 x6603 (hex) 3DES：0 x6603 (hex) AES：0 x6610 (hex) (只適用於 XP SP1 或 Windows Server 2003後的版本) 重新開機,資料檔案的安全性管理课件,- 55 -,EFS 問題,只能應用於NTFS 5 EFS檔案傳輸過程中不會加密 (使用IPSec) 需維護EFS憑證，必要時需佈署PKI,資料檔案的安全性管理课件,- 56 -,使用EFS最佳實務,建立Active Directory環境 架設企業CA 透過憑證範本控制EFS使用權限 建立適當的修復代理人機制 憑證與私密金鑰的維護管理與教育訓練,資料檔案的安全性管理课件,- 57 -,資料備