最新-档案的安全性管理-PPT精品课件

1、資料檔案的安全性管理1課程大綱介紹Windows檔案目錄的安全性保護機制設定與管理NTFS 使用權限設定與管理共用資料夾使用權限稽核檔案存取設定與管理加密檔案系統資料備份實務與建議2資料保護原則機密性(Confidentiality)避免未經授權的使用者有意或無意的揭露資料內涵。完整性(Integrity)避免非經授權的使用者或處理程序篡改資料。可用性(Availability)讓資料或資源保持可用狀況。企業資料或資源必需能夠即時、可靠而精確的提供給企業內部各個層級的使用需求。存取控制 (Access Control)限制資源存取的處理方式及程序，目的在保護系統資源不會被非經授權者存取或授權者

2、作不當的存取。3Windows檔案目錄的安全性保護機制NTFS 檔案系統的存取權限 (NTFS Permission)共用資源的使用權限 (Share folder permission)加密檔案系統 (Encrypting File System )資料備份 (Backup)4存取控制 (Access Control)為了確保資料的私密性、完整性與可用性，嚴謹的存取控制機制為首要條件存取控制是一種限制資源存取的處理方式及程序，其目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。Windows平台透過資源的安全性描述元(security descriptor )與使用者的存取權杖(A

3、ccess Token)來控制存取。5存取權杖(Access Token)當使用者登入驗證成功後，Local Security Authority (LSA)負責建立了使用者的安全性結構資料-存取權杖(Access Token)。存取權杖是一個資料結構，包含了使用者安全性識別碼 (SID)、使用者所屬之群組的安全性識別碼以及使用者特權限 (也稱為使用者權利) 清單。使用者 SID群組一 SID群組二 SID.特權一 特權二.存取權杖存取權杖6安全性描述元 (Security Descriptor)每個受保護物件會維護一個安全性相關資訊之資料結構。安全性描述元包括物件擁有者、物件存取者及存取方式

4、，以及稽核的存取類型之相關資訊。 安全性描述元標頭擁有者 SID群組 SIDDACLACEsSACLACEs7DACL 與 SACL Discretionary / System Access Control List判別存取控制清單 (DACL)物件的存取控制安全性結構資訊，包含允許或拒絕那些主體存取物件，以及存取的權限等級，內含多個ACE系統存取控制清單 (SACL)物件的安全性稽核結構資訊，包含所稽核 (Audit) 的對象 (安全性主體) ，以及所要稽核的動作8DACLACEsACE3 標頭存取遮罩使用者SID群組SID對此物件禁止存取對此物件允許存取對某一屬性或子物件禁止存取對某一屬

5、性或子物件允許存取ACE1ACE2ACE3ACE4DACL存取控制項目 (Access Control Entry；ACE) 9Windows檔案目錄的存取控制機制使用者登入成功使用者 SID群組一 SID群組二 SID.特權一 特權二.Access TokenDACL比對檢查網路資料檔案企圖存取拒 絕允 許10管控Windows資料存取的安全性原則控制檔案目錄的安全性描述元管理擁有者管理DACL管理SACL控制使用者的存取權杖管理群組成員管理使用者權利11檔案目錄的擁有權NTFS下的檔案目錄擁有者可以指派物件的使用權限對象與存取方式。 可以取得檔案所有權的人需具備：系統管理員 對正在請求中的

6、物件具有取得擁有權權限的任何人或群組 擁有還原檔案和目錄特殊權限的使用者 移轉擁有權 目前的擁有者可以將取得擁有權使用權限授予其它使用者，讓其能夠隨時取得擁有權。使用者必須實際取得所有權才能完成轉送系統管理員可以取得所有權 擁有還原檔案和目錄特殊權限的使用者可以連按兩下 其他使用者和群組，並選擇任何使用者或群組來指派擁有權。 12Windows 檔案目錄的存取控制1. NTFS 使用權限2. 共用資料夾使用權限 僅 NTFS 磁碟支援 預設權限為 Everyone 完全控制或users具讀取與執行 預設權限為Everyone 讀取 (Windows 2019)目錄權限檔案權限標準權限特殊權限標

7、準權限特殊權限套用對象：透過網路連線存取資源使用者主要功能：控制網路共用資源的存取13使用NTFS 存取權限 NTFS使用權限可針對目錄或個別檔案設定，權限對網路和本機使用者皆有效二種指定NTFS權限的方式標準使用權限(Standard Permission)一般性的存取控制等級適合大部份情況下的安全性權限指派之用特殊使用權限(Special Permission)更細分化的存取控制等級適用於需高度細分化權限等級的環境下使用標準使用權限其實不過是某些特殊使用權限的組合14標準目錄使用權限NTFS 目錄存取權限允許使用者執行下列操作讀取 (Read)查看目錄下的子目錄與檔案、檢視目錄與檔案的屬性

8、(Attributes)註一、檢視擁有者與使用權限。寫入 (Write)允許創造新檔案與子目錄、變更目錄屬性、檢視擁有者與使用權限。清單資料夾內容(List Folder Contents)允許查看目錄下的子目錄與檔案名稱讀取及執行 (Read & Execute)瀏覽目錄階層(Transverse Directory)、允許執行讀取(Read)和清單資料夾內容(List Folder Contents)二者所允許的權限修改(Modify)刪除目錄允許執行寫入(write)與讀取及執行(Read & Execute)二者所允許的權限完全控制 (Full Control)變更使用權限取得擁有權刪

9、除子目錄與檔案允許執行其它上列所有權限所允許執行的權限。 註一 屬性包含唯讀(Read-Only)、隱藏(Hidden)、保存檔案(Archive)、系統(System)註二 讀取與執行、修改、完全控制目錄存取權限具備依序累計特性15標準檔案使用權限NTFS 檔案存取權限等級允許使用者執行下列權限讀取 (Read)讀取檔案檢視檔案屬性，擁有權與使用權限寫入 (Write)覆寫變更檔案內容變更檔案屬性查看檔案擁有者與使用權限讀取與執行(Read & Execute)執行程式允許執行讀取權限所允許的權限修改 (Modify)變更與刪除檔案允許寫入與讀取與執行所允許的權限。完全控制 (Full Co

10、ntrol)變更使用權限取得擁有權允許執行其它上列所有權限所可以執行的權限。16特殊目錄使用權限特殊使用權限完全控制修改讀取及執行清單資料夾內容讀取寫入周遊資料夾/執行檔案XXXX列出資料夾/讀取資料XXXXX讀取屬性XXXXX讀取擴充屬性XXXXX建立檔案/寫入資料XXX建立資料夾/附加資料XXX寫入屬性 XXX寫入擴充屬性 XXX刪除子資料夾及檔案X刪除XX讀取權限XXXXXX變更使用權限X取得擁有權 X17特殊檔案使用權限特殊使用權限完全控制修改讀取及執行讀取寫入周遊資料夾/執行檔案XXX列出資料夾/讀取資料XXXX讀取屬性XXXX讀取擴充屬性XXXX建立檔案/寫入資料XXX建立資料夾/

11、附加資料XXX寫入屬性XXX寫入擴充屬性 XXX刪除子資料夾及檔案X刪除 (Delete)XX讀取使用權限XXXXX變更使用權限X取得擁有權 X18NTFS 存取權限使用規則 允許存取權限具備累積性(Cumulative) 當一個使用者及所隸屬的群組被設定成不同的允許權限時，則最後的有效權限應是所有權限的組合。拒絕存取(Deny)覆蓋其它允許存取權限，但明確的允許會覆蓋繼承性的拒絕預設存取權限具繼承性 (Inheritance ) 共用資料夾的存取權限與NTFS的存取權限設定不一致時 ，則以二者最嚴格限制(most restrictive permission)的存取權限為主19DACL使用者

12、存取物件DACLUser1Read / WriteGroup1Read父物件子物件User1Deny ReadGroup1WriteUser1Read / WriteGroup1ReadUser1WriteGroup1Read / Write繼承權限ACL 的繼承關係父物件上的權限設定，預設會繼承給子物件，因此可以減少目錄階層設定權限的次數如果子物件上另外設定的權限 (ACE)，與繼承自父物件的權限衝突，以子物件上的權限設定為主繼承關係允許取消20NTFS使用權限設定實務設定NTFS標準設定特殊使用權限設定或取消繼承效果檢視有效權限21設定檔案目錄的使用權限DEMO使用標準使 用權限使用特殊使

13、 用權限22DEMO設定ACL 的繼承23取消繼承關係DEMO目前已經繼承自上層的權限的處理方式：複製或移除24檢視有效權限利用有效權限索引標籤可檢查使用者的有效權限DEMO25拷貝或搬移目錄及檔案的權限問題動作所需的存取權限拷貝(Copy)對目的目錄需有寫入(Write)的權限，來源目錄至少要有讀取的權限搬移(Move)對目的目錄需有寫入(Write)的權限，而來源目錄需有修改(Modify)的權限動作目的與來源目錄為相同的Volume (例：C:AC:B)目的與來源目錄為不相同的Volume (例: C:A D:A)拷貝(copy)繼承(變成)目的目錄使用權限繼承(變成)目的目錄的使用權限

14、搬移(move)保留原來的權限繼承(變成)目的目錄的使用權限註一：當您拷貝或搬移檔案後，您將會成為擁有者(Create Owner)註二：當您將NTFS上的檔案或目錄搬移至FAT磁碟上，則將喪失所有的NTFS使用權限，因為FAT並不支援NTFS權限。26稽核檔案與目錄目的：隨時掌控使用者對重要檔案目錄的存取狀況步驟：啟用稽核物件存取項目設定檔案目錄的SACL定期或必要時檢視安全性記錄檔回應處理27稽核檔案存取 (設定SACL)DEMO1. 啟用稽核物件存取2. 設定檔案目錄的 SACL28檢視安全性記錄檔檔案存取事件為 Event ID 560、567、562560顯示存取的檔案567顯示存取

15、的動作 Vista的事件ID需加上4096，所以4656、4663、4658為Vista 檔案存取的ID29共用資料夾使用權限共用資料夾權限內容讀取 (Read)顯示資料夾名稱與檔案名稱顯示檔案屬性與資料內容執行程式檔進入子資料夾變更 (Change)創造資料夾與新增檔案刪除資料夾與檔案變更檔案內容變更檔案屬性執行讀取權限被允許的所有工作完全控制 (Full Control)變更使用權限 (只存在NTFS)取得擁有權(Take Ownership) (只應用在NTFS)執行變更權限被允許的所有工作檔案所在的目錄予以分享出來，才能讓網路使用者經由網路來加以存取為了確保網路資源存取的安全性，所以需

16、針定不同的對象設定適當的存取權限30共用資料夾存取權限的限制 共用資料夾所設定的權限只對網路連接資源的使用者才能生效，本機登入者(Log on locally) 並不會受共用資料夾所設定的權限所限制。共用資料夾的權限使用上缺乏彈性，並不適合單獨使用在高度安全性需求的環境下因應方法：建立一高安全性網路資料存取環境，需要共用資料夾權限與NTFS權限一併使用31共用資料夾權限的安全技術為確保安全，共用權限需和NTFS權限合用若基於安全性考量，可以隱藏重要共享資料夾目的：增加安全性，避免它人以瀏覽的方式看到共用目錄作法：共用資料夾名稱後加上 $ 符號若基於安全考量，可以隱藏伺服器，避免它人以瀏覽方式查

17、看指令：net config server /hidden:yes停用預設的隱藏共用資料資料夾（C$, D$, E$,ADMIN$.）取消這些管理性的共用資料夾作法：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters新增並設定二個資料型態為REG_DWORD的值設為 0：AutoShareServer (伺服器)AutoShareWks (工作站)有些應用程式會使用這些管理性共用資料夾，移除後可能導致程式無法正常運作Windows 9x/Me 的share level 共用資料夾易破解，建議少用Wind

18、ows XP預設的簡易權限應取消以恢復正常的NTFS使用權限32合用共用資料夾與NTFS使用權限二種存取權限合併使用時，最後的有效存取權限乃是選取最嚴格限制(most restrictive permission)的存取權限所謂最嚴格權限取二者均擁有的允許權限為其最後有效的權限。33共用資料夾與NTFS使用權限範例共用資料夾權限Users : 讀取與變更NTFS使用權限Users: 讀取與執行二種使用權限合併使用後，一般使用者僅具讀取與執行能力34最低權限賦予原則 (Least Privilege)資源存取控制的安全性原則設定權限時，必需依據使用者可以完成被指派的電腦作業所需的最少權限即可，絕

19、不能賦予超出的權限。最低權限賦予原則應同時應用於權限對象與權限等級例如：公司有一應用程程式目錄，希望提供給企業員工有讀取與執行能力，則預設NTFS權限與共用權限是否符合最低權限賦予原則 ？35檔案目錄使用權限最佳安全實務任何權限設定均應符合最低權限賦予原則變更不符合最低權限賦予原則的預設權限設定權限儘量以群組帳戶為對象，少用個別帳戶盡量少使用拒絕權限不要變更根目錄與系統目錄權限非有必要，不要針對Everyone群組設定拒絕權限。36加密型檔案系統(Encryption File System；EFS)提供NTFS 磁碟下的檔案目錄加密機制 確保機密性檔案儲存時的私密性具備了管理設定容易、不易被

20、攻擊破解的優點提供加密者存取透通性(Transparent)的優點適合使用移動設備的使用者採用憑證的PKI架構37使用EFS需要注意的事項唯有儲放在NTFS 5磁碟上的檔案或目錄可以加密已壓縮的檔案或目錄無法再予加密，亦即加密與壓縮為二個彼此互斥的屬性。即使使用者不具備解密的能力而無法讀取加密檔案內容，不過只要此使用者擁有檔案的刪除權限，還是能夠將已加密的檔案或目錄予以移除。企業如需廣泛使用EFS，最好佈署Enterprise CA38EFS 加密機制機密文件ABCD加 密加 密加 密Data Recovery Field (DRF) Data Decryption Field (DDF)/Z

21、n.-+=2DRA 公開金鑰使用者公開金鑰檔案加密金鑰(FEK)39EFS 解密 Data Decryption Field (DDF)解 密檔案加密金鑰(FEK)加密內容/Zn.-+=2解 密機密文件ABCD使用者私密金鑰40使用EFS 的運作流程假設環境: domain accounts, enterprise CA, Windows Server 2019, Windows XP產生EFS公開與私密金鑰發行憑證並將憑證與私密金鑰儲存在使用者設定檔產生FEK (file encryption key)利用EFS公開金鑰對FEK加密利用修復代理人公開金鑰對FEK 加密以公開金鑰請求EFS 憑

22、證41使用加密式檔案系統DEMO(1) 選取進階屬性按鈕(2) 核選加密屬性核選方塊(3) 檢視檔案加密屬性 使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密42檢視資料加密者及修復代理人DEMO43允許它人存取加密資料1. 開啟加密詳細資料對話方塊2. 選擇允許存取的使用者憑證DEMO44管理憑證與私密金鑰預設上使用自我簽署的憑證為了確保機密性資料的安全，您需要使用憑證工具來匯出憑證和私密金鑰，並將私密金鑰刪除。DEMO45命令列加解密工具 Cipher.exe46命令列加解密工具範例對目前的目錄進行加密Cipher /e /s c:data對目前的檔案進行加密Cipher /e /a c

23、:report.txt對目前被加密的資料夾進行解密Cipher /d /s c:data對目前的檔案進行解密Cipher /d /a c:report.txt列出目前磁碟機上所有的加密目錄與檔案Cipher /u /n47抹除已刪除資料-Cipher /w刪除機密性檔案時，通常只移除檔案系統的結構欄位，並不會真正移除資料磁區，所以已刪除的資料仍可能被還原。為了避免被刪除的重要私密性資料被有心人士還原，造成資料外洩，可使用cipher /w指令作法：寫入00寫入FF寫入隨機字元可能需執行一段長時間不可中斷。48EFS修復代理人修復代理人是一個被指派帳戶，允許利用其憑證與私密金鑰來對它人加密的資料

24、予以解密。修復代理人的預設機制與平台和網路角色有關：獨立Windows 2000 強制administrator為修復代理人獨立的Windows XP/2019無修復代理人加入網域的2000/XP/2019機器強制以網域管理員為修復代理人49獨立電腦上的資料修復代理人產生自我簽署的憑證及私密金鑰檔(CER與pfx檔)Cipher /r:myrecover一旦金鑰產生後，憑證應該匯入到本機原則，而私密金鑰也應該儲存在安全的位置。 2 將憑證匯入到本機原則 C:cipher /r:test請輸入密碼來保護您的 .PFX 檔案:請重新輸入密碼以確認:您的 .CER 檔案已經建立成功。您的 .PFX

25、檔案已經建立成功。1. 建立金鑰對與憑證50建立網域的EFS修復代理人建立企業CA將EFS修復代理程式範本中指派修復代理人擁有讀取和註冊權限指派的修復代理使用者申請EFS修復代理程式憑證並將其匯出為cer檔利用網域的GPO將上述的憑證新增至修復代理原則中51建立網域的EFS修復代理人實務申請EFS修復代理程式的憑證匯出憑證將憑證新增至修復代理原則中DEMO52EFS的安全度EFS的版本Windows 2000版本Windows XP+SP1與Windows Server 2019版本Vista版本加密的演算法128位元的DESX演算法 (預設)168位元的3DES演算法256位元的AES演算法 (XP SP1以後版本)私密金鑰的維護與管理方式53EFS使用較安全的加密演算法Windows XP/Windows Server 2019允許使用較安全的3DES取代預設的DESX加密演算法作法：啟用 FIPS 相容方法加密變更登錄資料庫下列的值新增一個資料類型為DWORD 的值HKLMSOFTWAREMicrosoftWindows NTCurrentVersionEFSAlgorithmIDDESX：0 x6603 (hex)3DES：0 x6603 (hex)AES：0 x6610 (hex) (只適用於 XP SP1 或 Windows Server 2019後的版本)重