最新-檔案的安全性管理-PPT精品課件

1、資料檔案的安全性管理1課程大綱介紹Windows檔案目錄的安全性保護機制設定與管理NTFS 使用權(quán)限設定與管理共用資料夾使用權(quán)限稽核檔案存取設定與管理加密檔案系統(tǒng)資料備份實務與建議2資料保護原則機密性(Confidentiality)避免未經(jīng)授權(quán)的使用者有意或無意的揭露資料內(nèi)涵。完整性(Integrity)避免非經(jīng)授權(quán)的使用者或處理程序篡改資料?？捎眯?Availability)讓資料或資源保持可用狀況。企業(yè)資料或資源必需能夠即時、可靠而精確的提供給企業(yè)內(nèi)部各個層級的使用需求。存取控制 (Access Control)限制資源存取的處理方式及程序，目的在保護系統(tǒng)資源不會被非經(jīng)授權(quán)者存取或授權(quán)者

2、作不當?shù)拇嫒　?Windows檔案目錄的安全性保護機制NTFS 檔案系統(tǒng)的存取權(quán)限 (NTFS Permission)共用資源的使用權(quán)限 (Share folder permission)加密檔案系統(tǒng) (Encrypting File System )資料備份 (Backup)4存取控制 (Access Control)為了確保資料的私密性、完整性與可用性，嚴謹?shù)拇嫒】刂茩C制為首要條件存取控制是一種限制資源存取的處理方式及程序，其目的在保護系統(tǒng)資源不會被非經(jīng)授權(quán)者存取或授權(quán)者作不當?shù)拇嫒?。Windows平臺透過資源的安全性描述元(security descriptor )與使用者的存取權(quán)杖(A

3、ccess Token)來控制存取。5存取權(quán)杖(Access Token)當使用者登入驗證成功後，Local Security Authority (LSA)負責建立了使用者的安全性結(jié)構(gòu)資料-存取權(quán)杖(Access Token)。存取權(quán)杖是一個資料結(jié)構(gòu)，包含了使用者安全性識別碼 (SID)、使用者所屬之群組的安全性識別碼以及使用者特權(quán)限 (也稱為使用者權(quán)利) 清單。使用者 SID群組一 SID群組二 SID.特權(quán)一 特權(quán)二.存取權(quán)杖存取權(quán)杖6安全性描述元 (Security Descriptor)每個受保護物件會維護一個安全性相關資訊之資料結(jié)構(gòu)。安全性描述元包括物件擁有者、物件存取者及存取方式

4、，以及稽核的存取類型之相關資訊。 安全性描述元標頭擁有者 SID群組 SIDDACLACEsSACLACEs7DACL 與 SACL Discretionary / System Access Control List判別存取控制清單 (DACL)物件的存取控制安全性結(jié)構(gòu)資訊，包含允許或拒絕那些主體存取物件，以及存取的權(quán)限等級，內(nèi)含多個ACE系統(tǒng)存取控制清單 (SACL)物件的安全性稽核結(jié)構(gòu)資訊，包含所稽核 (Audit) 的對象 (安全性主體) ，以及所要稽核的動作8DACLACEsACE3 標頭存取遮罩使用者SID群組SID對此物件禁止存取對此物件允許存取對某一屬性或子物件禁止存取對某一屬

5、性或子物件允許存取ACE1ACE2ACE3ACE4DACL存取控制項目 (Access Control Entry；ACE) 9Windows檔案目錄的存取控制機制使用者登入成功使用者 SID群組一 SID群組二 SID.特權(quán)一 特權(quán)二.Access TokenDACL比對檢查網(wǎng)路資料檔案企圖存取拒 絕允 許10管控Windows資料存取的安全性原則控制檔案目錄的安全性描述元管理擁有者管理DACL管理SACL控制使用者的存取權(quán)杖管理群組成員管理使用者權(quán)利11檔案目錄的擁有權(quán)NTFS下的檔案目錄擁有者可以指派物件的使用權(quán)限對象與存取方式。 可以取得檔案所有權(quán)的人需具備：系統(tǒng)管理員 對正在請求中的

6、物件具有取得擁有權(quán)權(quán)限的任何人或群組 擁有還原檔案和目錄特殊權(quán)限的使用者 移轉(zhuǎn)擁有權(quán) 目前的擁有者可以將取得擁有權(quán)使用權(quán)限授予其它使用者，讓其能夠隨時取得擁有權(quán)。使用者必須實際取得所有權(quán)才能完成轉(zhuǎn)送系統(tǒng)管理員可以取得所有權(quán) 擁有還原檔案和目錄特殊權(quán)限的使用者可以連按兩下 其他使用者和群組，並選擇任何使用者或群組來指派擁有權(quán)。 12Windows 檔案目錄的存取控制1. NTFS 使用權(quán)限2. 共用資料夾使用權(quán)限 僅 NTFS 磁碟支援 預設權(quán)限為 Everyone 完全控制或users具讀取與執(zhí)行 預設權(quán)限為Everyone 讀取 (Windows 2019)目錄權(quán)限檔案權(quán)限標準權(quán)限特殊權(quán)限標

7、準權(quán)限特殊權(quán)限套用對象：透過網(wǎng)路連線存取資源使用者主要功能：控制網(wǎng)路共用資源的存取13使用NTFS 存取權(quán)限 NTFS使用權(quán)限可針對目錄或個別檔案設定，權(quán)限對網(wǎng)路和本機使用者皆有效二種指定NTFS權(quán)限的方式標準使用權(quán)限(Standard Permission)一般性的存取控制等級適合大部份情況下的安全性權(quán)限指派之用特殊使用權(quán)限(Special Permission)更細分化的存取控制等級適用於需高度細分化權(quán)限等級的環(huán)境下使用標準使用權(quán)限其實不過是某些特殊使用權(quán)限的組合14標準目錄使用權(quán)限NTFS 目錄存取權(quán)限允許使用者執(zhí)行下列操作讀取 (Read)查看目錄下的子目錄與檔案、檢視目錄與檔案的屬性

8、(Attributes)註一、檢視擁有者與使用權(quán)限。寫入 (Write)允許創(chuàng)造新檔案與子目錄、變更目錄屬性、檢視擁有者與使用權(quán)限。清單資料夾內(nèi)容(List Folder Contents)允許查看目錄下的子目錄與檔案名稱讀取及執(zhí)行 (Read & Execute)瀏覽目錄階層(Transverse Directory)、允許執(zhí)行讀取(Read)和清單資料夾內(nèi)容(List Folder Contents)二者所允許的權(quán)限修改(Modify)刪除目錄允許執(zhí)行寫入(write)與讀取及執(zhí)行(Read & Execute)二者所允許的權(quán)限完全控制 (Full Control)變更使用權(quán)限取得擁有權(quán)刪

9、除子目錄與檔案允許執(zhí)行其它上列所有權(quán)限所允許執(zhí)行的權(quán)限。 註一 屬性包含唯讀(Read-Only)、隱藏(Hidden)、保存檔案(Archive)、系統(tǒng)(System)註二 讀取與執(zhí)行、修改、完全控制目錄存取權(quán)限具備依序累計特性15標準檔案使用權(quán)限NTFS 檔案存取權(quán)限等級允許使用者執(zhí)行下列權(quán)限讀取 (Read)讀取檔案檢視檔案屬性，擁有權(quán)與使用權(quán)限寫入 (Write)覆寫變更檔案內(nèi)容變更檔案屬性查看檔案擁有者與使用權(quán)限讀取與執(zhí)行(Read & Execute)執(zhí)行程式允許執(zhí)行讀取權(quán)限所允許的權(quán)限修改 (Modify)變更與刪除檔案允許寫入與讀取與執(zhí)行所允許的權(quán)限。完全控制 (Full Co

10、ntrol)變更使用權(quán)限取得擁有權(quán)允許執(zhí)行其它上列所有權(quán)限所可以執(zhí)行的權(quán)限。16特殊目錄使用權(quán)限特殊使用權(quán)限完全控制修改讀取及執(zhí)行清單資料夾內(nèi)容讀取寫入周遊資料夾/執(zhí)行檔案XXXX列出資料夾/讀取資料XXXXX讀取屬性XXXXX讀取擴充屬性XXXXX建立檔案/寫入資料XXX建立資料夾/附加資料XXX寫入屬性 XXX寫入擴充屬性 XXX刪除子資料夾及檔案X刪除XX讀取權(quán)限XXXXXX變更使用權(quán)限X取得擁有權(quán) X17特殊檔案使用權(quán)限特殊使用權(quán)限完全控制修改讀取及執(zhí)行讀取寫入周遊資料夾/執(zhí)行檔案XXX列出資料夾/讀取資料XXXX讀取屬性XXXX讀取擴充屬性XXXX建立檔案/寫入資料XXX建立資料夾/

11、附加資料XXX寫入屬性XXX寫入擴充屬性 XXX刪除子資料夾及檔案X刪除 (Delete)XX讀取使用權(quán)限XXXXX變更使用權(quán)限X取得擁有權(quán) X18NTFS 存取權(quán)限使用規(guī)則 允許存取權(quán)限具備累積性(Cumulative) 當一個使用者及所隸屬的群組被設定成不同的允許權(quán)限時，則最後的有效權(quán)限應是所有權(quán)限的組合。拒絕存取(Deny)覆蓋其它允許存取權(quán)限，但明確的允許會覆蓋繼承性的拒絕預設存取權(quán)限具繼承性 (Inheritance ) 共用資料夾的存取權(quán)限與NTFS的存取權(quán)限設定不一致時 ，則以二者最嚴格限制(most restrictive permission)的存取權(quán)限為主19DACL使用者

12、存取物件DACLUser1Read / WriteGroup1Read父物件子物件User1Deny ReadGroup1WriteUser1Read / WriteGroup1ReadUser1WriteGroup1Read / Write繼承權(quán)限ACL 的繼承關係父物件上的權(quán)限設定，預設會繼承給子物件，因此可以減少目錄階層設定權(quán)限的次數(shù)如果子物件上另外設定的權(quán)限 (ACE)，與繼承自父物件的權(quán)限衝突，以子物件上的權(quán)限設定為主繼承關係允許取消20NTFS使用權(quán)限設定實務設定NTFS標準設定特殊使用權(quán)限設定或取消繼承效果檢視有效權(quán)限21設定檔案目錄的使用權(quán)限D(zhuǎn)EMO使用標準使 用權(quán)限使用特殊使

13、 用權(quán)限22DEMO設定ACL 的繼承23取消繼承關係DEMO目前已經(jīng)繼承自上層的權(quán)限的處理方式：複製或移除24檢視有效權(quán)限利用有效權(quán)限索引標籤可檢查使用者的有效權(quán)限D(zhuǎn)EMO25拷貝或搬移目錄及檔案的權(quán)限問題動作所需的存取權(quán)限拷貝(Copy)對目的目錄需有寫入(Write)的權(quán)限，來源目錄至少要有讀取的權(quán)限搬移(Move)對目的目錄需有寫入(Write)的權(quán)限，而來源目錄需有修改(Modify)的權(quán)限動作目的與來源目錄為相同的Volume (例：C:AC:B)目的與來源目錄為不相同的Volume (例: C:A D:A)拷貝(copy)繼承(變成)目的目錄使用權(quán)限繼承(變成)目的目錄的使用權(quán)限

14、搬移(move)保留原來的權(quán)限繼承(變成)目的目錄的使用權(quán)限註一：當您拷貝或搬移檔案後，您將會成為擁有者(Create Owner)註二：當您將NTFS上的檔案或目錄搬移至FAT磁碟上，則將喪失所有的NTFS使用權(quán)限，因為FAT並不支援NTFS權(quán)限。26稽核檔案與目錄目的：隨時掌控使用者對重要檔案目錄的存取狀況步驟：啟用稽核物件存取項目設定檔案目錄的SACL定期或必要時檢視安全性記錄檔回應處理27稽核檔案存取 (設定SACL)DEMO1. 啟用稽核物件存取2. 設定檔案目錄的 SACL28檢視安全性記錄檔檔案存取事件為 Event ID 560、567、562560顯示存取的檔案567顯示存取

15、的動作 Vista的事件ID需加上4096，所以4656、4663、4658為Vista 檔案存取的ID29共用資料夾使用權(quán)限共用資料夾權(quán)限內(nèi)容讀取 (Read)顯示資料夾名稱與檔案名稱顯示檔案屬性與資料內(nèi)容執(zhí)行程式檔進入子資料夾變更 (Change)創(chuàng)造資料夾與新增檔案刪除資料夾與檔案變更檔案內(nèi)容變更檔案屬性執(zhí)行讀取權(quán)限被允許的所有工作完全控制 (Full Control)變更使用權(quán)限 (只存在NTFS)取得擁有權(quán)(Take Ownership) (只應用在NTFS)執(zhí)行變更權(quán)限被允許的所有工作檔案所在的目錄予以分享出來，才能讓網(wǎng)路使用者經(jīng)由網(wǎng)路來加以存取為了確保網(wǎng)路資源存取的安全性，所以需

16、針定不同的對象設定適當?shù)拇嫒?quán)限30共用資料夾存取權(quán)限的限制 共用資料夾所設定的權(quán)限只對網(wǎng)路連接資源的使用者才能生效，本機登入者(Log on locally) 並不會受共用資料夾所設定的權(quán)限所限制。共用資料夾的權(quán)限使用上缺乏彈性，並不適合單獨使用在高度安全性需求的環(huán)境下因應方法：建立一高安全性網(wǎng)路資料存取環(huán)境，需要共用資料夾權(quán)限與NTFS權(quán)限一併使用31共用資料夾權(quán)限的安全技術(shù)為確保安全，共用權(quán)限需和NTFS權(quán)限合用若基於安全性考量，可以隱藏重要共享資料夾目的：增加安全性，避免它人以瀏覽的方式看到共用目錄作法：共用資料夾名稱後加上 $ 符號若基於安全考量，可以隱藏伺服器，避免它人以瀏覽方式查

17、看指令：net config server /hidden:yes停用預設的隱藏共用資料資料夾（C$, D$, E$,ADMIN$.）取消這些管理性的共用資料夾作法：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters新增並設定二個資料型態(tài)為REG_DWORD的值設為 0：AutoShareServer (伺服器)AutoShareWks (工作站)有些應用程式會使用這些管理性共用資料夾，移除後可能導致程式無法正常運作Windows 9x/Me 的share level 共用資料夾易破解，建議少用Wind

18、ows XP預設的簡易權(quán)限應取消以恢復正常的NTFS使用權(quán)限32合用共用資料夾與NTFS使用權(quán)限二種存取權(quán)限合併使用時，最後的有效存取權(quán)限乃是選取最嚴格限制(most restrictive permission)的存取權(quán)限所謂最嚴格權(quán)限取二者均擁有的允許權(quán)限為其最後有效的權(quán)限。33共用資料夾與NTFS使用權(quán)限範例共用資料夾權(quán)限Users : 讀取與變更NTFS使用權(quán)限Users: 讀取與執(zhí)行二種使用權(quán)限合併使用後，一般使用者僅具讀取與執(zhí)行能力34最低權(quán)限賦予原則 (Least Privilege)資源存取控制的安全性原則設定權(quán)限時，必需依據(jù)使用者可以完成被指派的電腦作業(yè)所需的最少權(quán)限即可，絕

19、不能賦予超出的權(quán)限。最低權(quán)限賦予原則應同時應用於權(quán)限對象與權(quán)限等級例如：公司有一應用程程式目錄，希望提供給企業(yè)員工有讀取與執(zhí)行能力，則預設NTFS權(quán)限與共用權(quán)限是否符合最低權(quán)限賦予原則 ？35檔案目錄使用權(quán)限最佳安全實務任何權(quán)限設定均應符合最低權(quán)限賦予原則變更不符合最低權(quán)限賦予原則的預設權(quán)限設定權(quán)限儘量以群組帳戶為對象，少用個別帳戶盡量少使用拒絕權(quán)限不要變更根目錄與系統(tǒng)目錄權(quán)限非有必要，不要針對Everyone群組設定拒絕權(quán)限。36加密型檔案系統(tǒng)(Encryption File System；EFS)提供NTFS 磁碟下的檔案目錄加密機制 確保機密性檔案儲存時的私密性具備了管理設定容易、不易被

20、攻擊破解的優(yōu)點提供加密者存取透通性(Transparent)的優(yōu)點適合使用移動設備的使用者採用憑證的PKI架構(gòu)37使用EFS需要注意的事項唯有儲放在NTFS 5磁碟上的檔案或目錄可以加密已壓縮的檔案或目錄無法再予加密，亦即加密與壓縮為二個彼此互斥的屬性。即使使用者不具備解密的能力而無法讀取加密檔案內(nèi)容，不過只要此使用者擁有檔案的刪除權(quán)限，還是能夠?qū)⒁鸭用艿臋n案或目錄予以移除。企業(yè)如需廣泛使用EFS，最好佈署Enterprise CA38EFS 加密機制機密文件ABCD加 密加 密加 密Data Recovery Field (DRF) Data Decryption Field (DDF)/Z

21、n.-+=2DRA 公開金鑰使用者公開金鑰檔案加密金鑰(FEK)39EFS 解密 Data Decryption Field (DDF)解 密檔案加密金鑰(FEK)加密內(nèi)容/Zn.-+=2解 密機密文件ABCD使用者私密金鑰40使用EFS 的運作流程假設環(huán)境: domain accounts, enterprise CA, Windows Server 2019, Windows XP產(chǎn)生EFS公開與私密金鑰發(fā)行憑證並將憑證與私密金鑰儲存在使用者設定檔產(chǎn)生FEK (file encryption key)利用EFS公開金鑰對FEK加密利用修復代理人公開金鑰對FEK 加密以公開金鑰請求EFS 憑

22、證41使用加密式檔案系統(tǒng)DEMO(1) 選取進階屬性按鈕(2) 核選加密屬性核選方塊(3) 檢視檔案加密屬性 使用者對於檔案與目錄需有讀取與寫入的權(quán)限才能夠加密42檢視資料加密者及修復代理人DEMO43允許它人存取加密資料1. 開啟加密詳細資料對話方塊2. 選擇允許存取的使用者憑證DEMO44管理憑證與私密金鑰預設上使用自我簽署的憑證為了確保機密性資料的安全，您需要使用憑證工具來匯出憑證和私密金鑰，並將私密金鑰刪除。DEMO45命令列加解密工具 Cipher.exe46命令列加解密工具範例對目前的目錄進行加密Cipher /e /s c:data對目前的檔案進行加密Cipher /e /a c

23、:report.txt對目前被加密的資料夾進行解密Cipher /d /s c:data對目前的檔案進行解密Cipher /d /a c:report.txt列出目前磁碟機上所有的加密目錄與檔案Cipher /u /n47抹除已刪除資料-Cipher /w刪除機密性檔案時，通常只移除檔案系統(tǒng)的結(jié)構(gòu)欄位，並不會真正移除資料磁區(qū)，所以已刪除的資料仍可能被還原。為了避免被刪除的重要私密性資料被有心人士還原，造成資料外洩，可使用cipher /w指令作法：寫入00寫入FF寫入隨機字元可能需執(zhí)行一段長時間不可中斷。48EFS修復代理人修復代理人是一個被指派帳戶，允許利用其憑證與私密金鑰來對它人加密的資料

24、予以解密。修復代理人的預設機制與平臺和網(wǎng)路角色有關：獨立Windows 2000 強制administrator為修復代理人獨立的Windows XP/2019無修復代理人加入網(wǎng)域的2000/XP/2019機器強制以網(wǎng)域管理員為修復代理人49獨立電腦上的資料修復代理人產(chǎn)生自我簽署的憑證及私密金鑰檔(CER與pfx檔)Cipher /r:myrecover一旦金鑰產(chǎn)生後，憑證應該匯入到本機原則，而私密金鑰也應該儲存在安全的位置。 2 將憑證匯入到本機原則 C:cipher /r:test請輸入密碼來保護您的 .PFX 檔案:請重新輸入密碼以確認:您的 .CER 檔案已經(jīng)建立成功。您的 .PFX

25、檔案已經(jīng)建立成功。1. 建立金鑰對與憑證50建立網(wǎng)域的EFS修復代理人建立企業(yè)CA將EFS修復代理程式範本中指派修復代理人擁有讀取和註冊權(quán)限指派的修復代理使用者申請EFS修復代理程式憑證並將其匯出為cer檔利用網(wǎng)域的GPO將上述的憑證新增至修復代理原則中51建立網(wǎng)域的EFS修復代理人實務申請EFS修復代理程式的憑證匯出憑證將憑證新增至修復代理原則中DEMO52EFS的安全度EFS的版本W(wǎng)indows 2000版本W(wǎng)indows XP+SP1與Windows Server 2019版本Vista版本加密的演算法128位元的DESX演算法 (預設)168位元的3DES演算法256位元的AES演算法 (XP SP1以後版本)私密金鑰的維護與管理方式53EFS使用較安全的加密演算法Windows XP/Windows Server 2019允許使用較安全的3DES取代預設的DESX加密演算法作法：啟用 FIPS 相容方法加密變更登錄資料庫下列的值新增一個資料類型為DWORD 的值HKLMSOFTWAREMicrosoftWindows NTCurrentVersionEFSAlgorithmIDDESX：0 x6603 (hex)3DES：0 x6603 (hex)AES：0 x6610 (hex) (只適用於 XP SP1 或 Windows Server 2019後的版本)重