管理授權中的資料安全性與資料可用性

Dd548166.community-sm(zh-tw,TechNet.10).gif 本頁索引

   本文的重點
   第一部份:資料安全性與資料可用性的目標
   第二部份:資料可用性
   第三部份:資料安全性
   其他資訊來源  

作者: Kenneth Pfeil

撰稿者: David Swartzendruber

Microsoft Solutions Framework

企業安全的最佳實例

附註 本白皮書是一系列文件之一。〈Best Practices for Enterprise Security〉
(http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.mspx)
包含此系列所有文章的完整清單。另請參閱〈Security Entities Building Block Architecture〉
(http://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.mspx)。
 

本文的重點

本文是講述在管理授權中有關資料安全性與資料可用性的要點概觀。 想要達到絕對安全的環境是不實際的想法;因為沒有任何環境是無法侵入的。 確實,您的環境愈複雜,就愈難有效率地維護它的安全。 以其他白皮書呈現的基本原則,加上本文中包含的資料,您就可以建立一個更安全的環境。

每一套安全性計劃都依賴許多的因數,包括原則、預算、人員、技術及組織的實務面。 這些要素中,每一個都和成本相關 (包括財務和無形的價值),因此在實施之前,務必要審慎思考。 在管理授權中,整個企業內容易出錯的地方極多。 因此特別的注意和謹慎不僅是必要,同時也是安全運算環境的先決要件。

在本專題中會交互使用「企業環境」和「管理授權」,因為這兩者的基本原則相同。 本專題中包含四個部份:

  • 資料安全性與資料可用性的特定目標。 此章節概述在企業環境運算中的各種職責目標。
  • 資料可用性。 在企業中使資料維持可用的定義及建議。
  • 資料安全性。 在企業運算環境中維護資料安全的定義及特定方法。同時也簡介防火牆、入侵偵測、數位鑑定,包括辨識/修復入侵的特定步驟,以及如何取得和保存此證據,作進一步的分析及 (或) 起訴之用。
  • 系統管理案例與最佳法則。 各種用來確保資料可用性及資料安全性的實際最佳法則。

本專題包含的安全性資訊來自 Microsoft® Consulting Services 最佳法則及理論;著名的管理標準機構及著名的私人單位 (如 ICSA、CSI、ISSA、SANS、ISC2 及 IETF) 已確立的技術與建議。

第一部份:資料安全性與資料可用性的目標

給使用者

使用者在企業環境中的職責是建立所見之安全性法則的基礎。 俗話說,一條鏈條的強度只是與其最弱的環扣一樣強。 一般的使用者根本沒有安全性的觀念。 甚至認為安全性是其他人的工作。 但是事實上卻完全相反;安全性是每一個人的事。 如果某位使用者的密碼已經數個月未變更,或者和其帳戶名稱相同, 從較高專用權的觀念來看,入侵並控制整個環境會變成駭客的明顯攻擊機會。 時間對駭客是有利的。即使組織內有設立一些原則來防止這種情況發生,但是仍有可能會發生。 記得,使用者也需要回家休息。 如果他們在家工作的話,企業的環境就會變得更大。

給 IT/系統人員

對某些人來說,IT/系統人員具有負責實施安全性原則的艱難工作, 以及執行本文稍後說明的工作。對其他人而言,它可能是系統管理員角色的延伸。 這可能和您的組織以及貴公司定義的預算與工作功能範圍等都不一樣。

給系統管理員

系統管理員的工作與職責繁多,無法在此一一列出。 他們的部分工作包括在此提到的項目,有些人的職責則更延伸到包括在企業、網域、站台或組織層級中, 所有會呼叫、閃爍以及發出嗶聲的所有事情之顧問、教練以及護衛者的角色。 這些職責的特定層次在公司對公司,或甚至是組織對組織之間都不同。

第二部份:資料可用性

何謂資料可用性?

字典中將可用性定義成「存在並且隨時可用;可以取得」。 因此您可能會假設「資料可用性」是指可以隨時存取和取得您的資料。 但是在企業環境中並沒有這麼容易。 還有許多因素需要考慮到:

  • 裝置與媒體網路連線之間的可用頻寬
  • 高可用性及其本身的安全性和可存取性機制
  • 要提供使用之資料的優先順序與類型
  • 修復角色與職責
  • 檔案系統類型與存取層級
  • 儲存/擷取裝置或媒體的類型,包括硬體與軟體
  • 負責實體與受影響實體之間的服務等級協定
  • 受影響機制的營運成本
  • 嚴重損壞復原/事業回復計劃 (BRP) (BRP 會在本文稍後討論)。

這些事項需要詳盡的規劃。在評估如何提供資料供使用時,每一個可能的因素和案例都必須審慎評估。 極力建議您採用「誰、什麼、何時、如何及為何」方法。

企業的考量

企業環境中的資料可用性要比第一次考慮的還複雜。 企業中的每一個系統都必須有路徑對應、決定其重要性,並針對每一種可能的案例提出故障維護機制。 透過先勾勒出藍圖及定義系統角色及其重要性,您就能解決可細分為下列項目的小問題:

  • 組織角色與原則
  • 提供使用的資料
  • 服務成本 (以及向誰收費)
  • 可能的攻擊,以及對服務或商業造成的總損失估計
  • 要針對可用性實施的特殊技術

拒絕服務

這是什麼?

「拒絕服務 (Denial of Service, DoS)」是一種透過故意的 (SYN Flooding) 或無意的 (意外耗用使用者磁碟) 方式,不讓合法使用者或處理程序使用資源的行為。 DoS 攻擊的方式有許多種,其發生機率愈來愈頻繁。 想想分散式 DoS 攻擊的高公開性,對多個主要網際網路站台的影響有多大。 雖然這不是最新的攻擊方式,但駭客屢出新招,並利用分散式電腦運算技術來複製及擴大殺傷力。 若合併指令檔的驅動特性,加上這些工具的廣泛可用性, 一般的電腦使用者只要使用有限的資源,就能製造大量的破壞能力。

減少曝光

如何減少曝光?這裡有一些小秘訣:

  • 利用在 RFC 2267 ( ftp://ftp.isi.edu/in-notes/rfc2267.txt ) 中討論的 IP 外出與進入篩選規則,的確是一個很好的開始。 ICSA (http://www.icsa.net/) 的基本模式顯示出,只要有 30 % 的網際網路路由器及組織防火牆套用這些規則, 就能減少大約一百倍由單一攻擊者帶來的這種威脅。
  • 如果您沒有應變小組或原則可以因應這類事件,請即刻建立。 儘早確立及因應,是減少曝露的重要因素。
  • 為曝露的系統建構底線負荷量與資料流量模式。 若明顯地超過這些模式的範圍,就應該觸發早期的警告系統。 目前,大部分的企業「入侵偵測系統」都有具備這項功能。

登錄設定

下表指出應在 Windows® NT 與 Windows 2000 系統上適用的設定建議;以下網站提供更多詳細資訊:http://www.microsoft.com/technet/archive/security/prodtech/windows/iis/dosrv.mspx

建議套用在 Windows NT 與 Windows 2000 系統的設定

SynAttackProtect
機碼: Tcpip\Parameters
值類型: REG_DWORD
有效範圍: 0、1、2
0 (沒有 synattack 保護)
1 (如果符合 TcpMaxHalfOpen 及 TcpMaxHalfOpenRetried 設定, 縮減重新傳輸重試及延遲建立 RCE (路徑快取登錄))
2 (除了第 1 項之外,再加上向 Winsock 提出延遲指示)
預設值: 0 (False)
建議: 2
說明:Synattack 保護牽涉到減少 SYN-ACKS 的重新傳輸量,這會使資源維持在已配置狀態的時間縮短。 會延遲路徑快取登錄資源的配置,直到建立連線以後。 如果 synattackprotect = 2,則送到 AFD 的連線指標會延遲到完成三方交握時。 同時請注意,唯有在超出 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 的設定時,保護機制採取的動作才會發生。
TcpMaxHalfOpen
機碼: Tcpip\Parameters
值類型: REG_DWORD—Number
有效範圍: 100–0xFFFF
預設: 100 (Professional, Server)、500 (Advanced Server)
建議:預設
說明:此參數控制容許處於 SYN-RCVD 狀態的連線數目,超出此數目時,SYN-ATTACK 保護就會開始運作。 如果 SynAttackProtect 設為 1,請確定此值是低於您要保護的連接埠之 AFD 監聽積存 (Backlog) (如需詳細資訊,請參閱「積存參數」)。如需詳細資訊,請參閱 SynAttackProtect 參數。
TcpMaxHalfOpenRetried
機碼: Tcpip\Parameters
值類型: REG_DWORD—Number
有效範圍: 80–0xFFFF
預設: 80 (Professional, Server)、400 (Advanced Server)
建議:預設
說明:此參數控制處於 SYN-RCVD 狀態的連線數目, 其中至少要送出一次 SYN 的重新傳輸,SYN-ATTACK 保護才會開始運作。如需詳細資訊,請參閱 SynAttackProtect 參數。
EnablePMTUDiscovery
機碼: Tcpip\Parameters
有效範圍: REG_DWORD—Boolean
有效範圍: 0、1 (False、True)
預設: 1 (True)
建議: 0
說明:當此參數設為 1 (True) 時, TCP 會嘗試探索到遠端主電腦路徑的「傳輸單元最大值」(MTU 或最大封包大小)。 透過探查出路徑 MTU,並將 TCP 區段限制在此大小之內, TCP 就能在以不同 MTU 連接網路的路徑上,消除路由的片段。 片段會大大地影響 TCP 的輸送量和網路壅塞。 將此參數設為 0 時,會使得不是連接本端子網路上之主電腦的所有連線, 都使用 576 個位元組的 MTU。
NoNameReleaseOnDemand
機碼: Netbt\Parameters
值類型: REG_DWORD—Boolean
有效範圍: 0、1 (False、True)
預設: 0 (False)
建議:1
說明: 此參數可決定電腦從網路收到名稱-版次要求時,是否要出示其 NetBIOS 名稱。 新增這個參數是為了讓系統管理員可以保護機器免受惡意的名稱-版次攻擊。
EnableDeadGWDetect
機碼: Tcpip\Parameters
值類型: REG_DWORD—Boolean
有效範圍: 0、1 (False、True)
預設: 1 (True)
建議: 0
說明:當此參數設為 1 時, TCP 可執行 dead-gateway 偵測。啟用這項功能時,當許多連線遇到障礙時,TCP 可以要求 IP 變更到備用的閘道。 您可以在 [網路] 控制台,於 TCP/IP 設定對話方塊的 [進階] 區段中定義備用閘道。 如需詳細資料,請參閱本專題中的〈無作用閘道偵測〉一節。
KeepAliveTime
機碼: Tcpip\Parameters
值類型: REG_DWORD:以千分之一秒為單位的時間
有效範圍: 1:0xFFFFFFFF
預設: 7,200,000 (兩個小時)
建議: 300,000
說明:此參數控制 TCP 藉由傳送持續作用封包,來嘗試驗證閒置連線狀態是否仍然不變的頻率。 如果遠端系統仍然可以連接和運作,就會確認持續作用傳輸。 在預設的情況下,並不會傳送持續作用封包。 這項功能可由應用程式在連線時啟用。
PerformRouterDiscovery
機碼: Tcpip\Parameters\Interfaces\
值類型: REG_DWORD
有效範圍: 0、1、2
0 (停用)
1 (啟用)
2 (僅在 DHCP 傳送路由器探查選項時啟用)
預設: 2,由 DHCP 控制,但是在預設的情況下是停用的。
建議: 0
說明:此參數控制 Windows 2000 是否要依據每一個介面,嘗試執行每一個 RFC 1256 的路由器探索。 請參閱 SolicitationAddressBcast。
EnableICMPRedirects
機碼: Tcpip\Parameters
值類型: REG_DWORD
有效範圍: 0、1 (False、True)
預設: 1 (True)
建議: 0 (False)
說明:此參數控制 Windows 2000 在回應由網路裝置 (如,路由器) 傳送給它的 ICMP 重新導向訊息時,是否要改變其路由表。

DFS 及資料分配機制

確保可用性的一個方法是「分散式檔案系統 (DFS)」。 DFS 是 Windows NT 4.0 的一個附加功能,可用來將多部機器上的共用目錄,建立成一個邏輯目錄。 DFS 已整合在 Windows 2000 的設計中。會自動安裝此服務。 和任何其他技術一樣,必須符合某些條件,並依照適當的設計和實施方式, 才能消除任何不必要的危害或資料外曝給不屬意的實體。 考慮週全且適當規劃的設計,是所有資料可用性環境必備的條件。

在 Windows 2000 DFS 4.x 以上版本的一些改進部份包括:

  • DFS 服務隨 Windows 2000 自動安裝。
  • DFS 服務可以暫停和停止,但是不能從管理主控台移除。
  • 網域型的 DFS 已整合在網域型之 DFS 的 Active Directory 名稱空間中。
  • DFS 的根目錄是由一個以上的網域控制器控管,使根目錄不會成為單一的故障點。
  • 支援「檔案複寫」服務,以便在 DFS 複本之間自動複寫變更的檔案。
  • DFS 管理工具現在透過 MMC 成為圖形式介面。
  • 狀態旗標可指出複本的可用性。
  • DFS 連結可以連接位於其他 Windows 2000 型伺服器上的連結,不需要新的轉介。
  • 由 DFS 用戶端快取的轉介到期時間 (TTL),可在 DFS 名稱空間的連結中設定。
  • DFS 拓蹼的動態設定。新增或移除 DFS 根目錄時,不需要重新啟動伺服器。
  • 支援「叢集」服務。

Dd548166.DATASC01(zh-tw,TechNet.10).gif

組成 Windows 2000 之主控台、服務及用戶端的元件

下列資源中可找到 DFS 的相關有用資訊來源:

商業存續規劃

「商業存續規劃 (Business Continuity Planning)」主要是由「嚴重損壞復原計劃 (Disaster Recovery Planning, DRP)」 以及「事業回復計劃 (Business Resumption Planning, BRP)」組成。

嚴重損壞復原計劃 (DRP)

「嚴重損壞復原計劃」(或稱為 DRP),包括對商業存續極為重要的特定動作項目, 以及詳細舉出若因發生人為或自然災害,可能會中斷商業行為能力的各種事件之特定程序。 「嚴重損壞復原計劃」程序中的一些一般階段包括:

  • 察覺與探查
  • 危險評估
  • 調節
  • 準備
  • 測試
  • 回應與修復

事業回復計劃 (BRP)

「事業回復計劃」(或稱為 BRP) 涵蓋 Business Continuity Plan (BCP) 的作業性環節,對資料可用性極為重要。 已指定特定的角色、提出預算要求,並且選擇的重要 DRP 階段都已訂定和準備好。

外地儲存點考量

目前使用外地儲存點在商業介和企業環境中已愈來愈普遍。 您將資料備份好,將它交給某人存放在外地。 若要擷取備份資料,您需要提出要求,再由某人將磁帶帶回公司進行還原。 下面幾件事情極為重要,不過卻很少有人考慮到:

  • 保管鏈。 這詳細列出誰可在指定時間存取您的資料。此人是否需要經過簽名驗證程序,才能從資料中心取出媒體存取資料? 或者是否他們任何人都可以從檔案庫取出媒體,然後用快遞寄給您?他們在存取您的資料時,是否需要出示身份證明或憑證? 若要撤回您的資料備份時,是否需要向他們出示身份證明或憑證?
  • 儲存環境。 您的資料媒體是儲存在什麼樣的溫度下?您的資料是否有可能和其他人的資料弄錯?
  • 結構。 儲存您的資料的設備實體結構。如果他們的設備著火、被水淹到或被炸時, 您的資料會發生什麼後果?

有執照的商業存續規劃員 (CBCP) 將可協助您找出更多應注意的地方, 不過您應該能從以上資訊得知常被忽略的地方。

熱/冷站台

如果您的預算允許,建議您使用替代的站台。 如果不幸發生天然災害、火災、水災等嚴重災害時,您的事業要如何繼續下去? 可作為事業回復的替代站台有三種:熱的、溫的及冷的站台。 熱的站台是指位在另一個地理地點,完全運作的替代站台,那裡具備完整的備份系統, 以及一個複寫和維持最新的環境。這是從嚴重災害或災難復原的最佳方式,不過,它也是最昂貴的一種。 目前已有一些公司專門在提供這種站台資源服務。 溫的站台中包含用來協助回復事業所需要的所有系統,但是沒有最新的資料。 冷的站台則是只有包含可用來協助回復的系統、人員空間及網路連線,但是沒有任何系統或資料。 不論您在這類狀況下時的需求為何,這項決策必須仔細評估,並做好預算準備。

備份計劃

備份計劃是完全如其名稱所指出的。所有資料都應進行備份,並可隨時供還原之用。以下是一個備份計劃範例:

    評估嚴重損壞復原計劃,以確保其適合您的事業需求。計劃應該包括:

    • 每一個區域的風險分析,包括影響分析、可接受的當機時間和災害定義。
    • 根據風險分析訂定優先順序層面。
    • 應識別主要使用者、資料處理程序及供應商人員。
    • 中斷層,包括整體、程式層次、資料庫。
    • 每一個中斷層的記錄案例,包括特定的程序和責任歸屬。
    • 應用軟體與資料的優先順序。
    • 原始文件的保留及資料的重新輸入。
    • 替代處理環境的安全性需求。

    驗證回復處理程序所需要的所有資訊與生產資源,都已做適當的備份。

    • 識別重要系統以及應用程式資料和程式、設備通訊需求、說明文件以及供應品等。
    • 確定所有重要資料和程式都有定期做備份,並儲存在外地。
    • 準備硬體修復,包括冷熱站台的合約、廠商替補確認及 (或) 好鄰居 (例如從其他 LAN 借用伺服器等) 合約。
    • 重新安裝資料和程式的程序,包括其任何相依關係在內。
    • 識別各事業單位和或應用系統之間的相互依存關係。
    • 找出備份工作是依自動或手動方式排定,以及是否有如期執行。
    • 驗證有每夜執行所有 LAN 應用程式的備份作業,並且正確標示。
    • 驗證備份媒體 (例如磁帶、磁片、原始碼) 有定期儲存在實際上很安全的位置,包括當地和外地。
    • 識別重新安裝資料和程式的程序,包括其任何相依關係在內。
    • 驗證有提醒遠端員工將重要檔案從其個人電腦上備份到指定的總公司網路上的使用者共用中, 該網路共用有涵蓋在定期備份政策中 (例如每週或每月)。
    • 驗證備份的外地儲存設備有涵蓋在意外事件計劃中。
    • 驗證所有備份都有正確標示。
    • 驗證備份媒體是存放在防火的安全處所或其他防侵入的機制中。

    確定已訂定特定的程序,以適當地檢閱修復程序,包括:

    • 指定負責檢閱和更新修復計劃的責任歸屬,以確保所有複本都可反映最新的狀況。
    • 由適當的管理層次適時檢閱及核准。
    • 意外事件計劃的授權發送清單。

    應針對下列項目定期測試備份與修復計劃:

    • 驗證所有資料和程式都可以從外地儲存處取得。
    • 具有從備份中重建系統的能力。
    • 具有可在替代站台進行復原的能力。

    驗證所有機要檔案伺服器、資料庫伺服器及特殊的裝置 PC 都具有適當的備份電源和磁碟鏡像 (如果極為重要的話)。

    • 確定每一部檔案伺服器、資料庫伺服器及特殊的裝置 PC 都具有個自的不斷電電源供應器 (UPS)。
    • 確定 UPS 有進行定期測試,或根據製造商的建議間隔進行測試。
    • 判定重要的伺服器和特殊的裝置 PC 是否有做鏡像處理。
    • 仔細檢驗處理程序,看看若執行自動式備份程序,在一段時間之後會發生什麼情況。

一般磁帶備份循環策略

為了節省磁帶用量,同時又能維持一套簡單且足以確保能保留足夠的歷程, 應該要施行一套 5 天的磁帶循環排程,在每個工作日和每個星期五 (週末) 使用一個不同的磁帶。 工作日磁帶必須保留一個月。(請參閱下圖) 這項策略的其他部份還包括:

  • 在每個月的最後一天使用的磁帶應該抽出來,不可重複使用,並且要保留 12 個月。 在年底時,在年度的最後一次備份使用的磁帶要抽出來,並且無限期保留。 運用這項排程時,任何檔案若儲存超過一天,但是不超過星期五的備份, 若在從建立日期的 5 個工作天之內需要還原時,都可以回復。
  • 如果檔案是記錄在星期五的備份中,但不包括在月底的備份中, 若在 20 個工作天之內要求還原時,都可以回復。
  • 如果檔案是記錄在月底的備份中,但不包括在年底的備份中, 若在從建立日期的約一年之內要求還原時,都可以回復。
  • 從年底備份回復的檔案,依據年底磁帶的保留期限,可以無限期地回復。

重要注意事項

備份磁帶名稱 (星期一、星期二等等) 不代表執行備份的日期。 磁帶名稱只代表應該要在哪一天插入該磁帶。通常磁帶名稱是代表執行備份的前一天的日期, 因為大部份的備份作業都是在本機活動量最少的清晨時間進行。 下表包含一組常用的伺服器備份。

一般伺服器備份集
 

磁帶名稱 週一週二週三週四週五
磁帶插入伺服器的日期 週一週二週三週四週五
實際的備份日期與時間 週二 (1am)週三 (1am)週四 (1am)週五 (1am)週日 (10am)

Dd548166.DATASC02(zh-tw,TechNet.10).gif

磁帶備份程序

當中會有很多變數存在,因此必須加以規劃,以確保資料的可用性。 訂定一套凝聚的策略,只是在發展過程中的第一步而已,這個過程必須持續不斷地評估、更新和施行。 主管的參與和編訂預算是絕對必須的要項。

第三部份:資料安全性

說明

「資料安全性」所牽涉的不僅僅是套用修補程式、Hot Fix 及登錄設定而已。 這是一種持續的流動狀態。其最終的成功或失敗完全是依賴所投入的知識、資源、技術、用心、培訓、回應及時間。 雖然「資料安全性」有許多不同的層面,但我們在本文中只探討少數幾項。 本文最後會提供詳細的資訊及資源。

企業環境的殊異與特殊需求

是什麼讓企業各有不同?

企業在「資料安全性」的許多層面中都極為獨特。 交叉功能性的事業線、政策及對可用技術的不同見解等,通常就形成必須明確定義的層面。 的確,事先決定好這些層面,要比決定基礎的技術來得重要。 由於發生錯誤的機率非常高,因此何不投注適當的心力來加以維護? 許多在組織層次套用的規則,若沒有當作基礎實施,將完全沒有意義。 許多被滲透的地方通常是在企業內部。 當您的組織加上連線通勤者、遠端存取及「虛擬私人網路」後, 您的企業範圍就會延伸到不只是桌面和伺服器而已。 在企業中,您至少要針對每一種環境制定一項政策,並對整體組合訂定一項整體政策。

一般常犯的錯誤及後門

一般常犯的錯誤通常會在無意識的狀況下,從後門進入您的環境中。 這些後門的效應極為不同,並且會帶來不同的影響層次,只要稍微留意,通常就可以避免。 一些最常犯的錯誤包括:

  • 在桌面機器上安裝伺服器軟體。當入侵者侵入您的網路之後,他們就可以在您的桌面系統上安裝後門程式。 不同於伺服器,這些系統通常會被安全維護程序忽略。
  • 在伺服器/閘道/路由器上安裝桌面軟體。電子郵件程式、用戶端遠端控制軟體及聊天型程式都會形成不安全和不必要的危險。 這些要維持愈簡單愈好,只要不要減少經過仔細評估的功能作用即可。
  • 適時通知用戶端個體群最新的危害訊息。 這可輕易地透過聲音郵件廣播訊息和電子郵件快訊來達成。 未被告知或錯誤告知的使用者個體群最容易受侵害。 讓他們知道威脅所在、要和誰聯絡,並且備妥一個回應團隊,隨時可以處理可能的威脅事件。
  • 未將更新的安全性修補程式送到經過評估的環境。 http://www.microsoft.com/technet/security/bulletin/ms98-004.mspx 中說明的 RDS 盜用,就是從 1998 年以來就有修正程式可用,因此可以防止的最佳範例。 不過,即使已有修正程式可用,根據最新的 SANS 安全性調查顯示,這仍然是前四個最容易受到侵害的地方。
  • 將預設檔案和範例檔案留在預設目錄中, 會提供侵入者潛在的空間,讓他們在探測環境時,可以減少所需要的偵察次數。 這同時也會降低侵入被注意到的機率。
  • 容許使用者使用他們在組織內的電子郵件帳戶或認證, 來登記到郵件清單、網際網路討論清單等,而完全不做安全檢查,將會形成一種危害。 這種行為可能會透露有關貴公司的資訊,如基礎結構、郵件及替代伺服器和 IP 位址等。 這也讓垃圾郵件圍捕者有事可做 (如,增加郵件伺服器的負荷)。

實體安全及硬體鎖住

注意事項與最佳法則

要仔細考慮放置裝置的位置。放置位置必須以裝置為考量重點,並且要依據需要存取,而不是希望存取,來制定裝置存取原則。

原則、放置位置及程序

原則

為了達到有效的實體安全,首先要制定適當的原則,確保實體存取裝置的安全性。 所有可在遠端控制的作業和功能,都應該從遠端執行。

放置位置

裝置的放置位置是依據所需要的實體存取層次而定。 例如,一般使用者並不需要實際存取任何伺服器。

企業的入侵偵測

瞭解資料流通模式及辨識偏差

為了要辨識您的網路上的正常流通偏差,首先要為您的企業建立一個模型。 模型 (Footprint) 是一種用來建立基線的技術,它可以判定某個特定的流量模式是否超出指定狀況的一般標準。 流量模式會根據建立基線的裝置而定。 因此,您的監視策略就必須適當地調整。 例如,「主要網域控制站」的流量模式就和列印伺服器的模式截然不同。

一般的「入侵偵測系統」是以兩種基本模式運作:

  • 偵測異常及已建構的基線變更 (或異常偵測) 模式。
  • 偵測標準簽章檔案 (通常由 IDS 提供) 的偏差模式。

異常流量行為的某些範例包括:

  • 連接埠掃描 。開啟連接埠,嘗試列舉服務。
  • 嘗試的 DNS 區域轉送
  • 電子郵件偵察 。重複嘗試使用者名稱的變量失敗,可能會暴露基礎結構的資訊。
  • 連線測試清掃。持續針對網路上的多重主機進行連線測試,嘗試列舉出關於基礎結構及裝置放置位置的資訊。
  • Web 爬行。多重 Get 命令,下載網站的整個內容,並嘗試列舉子目錄或下載指令檔。

緩衝區超限運轉及懷敵意的機動程式碼

說明與範例

緩衝區超限運轉通常是因程式設計錯誤導致。視錯誤的嚴重性,有時甚至可以在目標系統上執行任意的程式碼。 這明顯不是想要的。 這類問題大部分是因字串處理不當導致的。兩個字串處理不當的範例為:

  • 容許輸入對緩衝區過大的字串 (和下列情況相同),沒有提供錯誤檢查。
  • 沒有考慮 null 終止符號所需要的額外位元組。

緩衝區超限運轉會發生在某個視窗 (或緩衝區) 中被放入過多資訊。 如果某個程式行指定要處理一個 50 個位元組的固定記憶體區塊,若在此空間內放入 51 個位元組,則多餘的位元組必須轉到別的地方。 此結果通常不是想要的。

為了更清楚瞭解這一點,請看下列範例:

#include
int main ( )
{
char name[49];
printf("Input your name: ");
gets(name);
printf("Hello, %s", name);
return 0;
}

這是一個 "Hello World" 類型的程式範例。 字元長度固定為 50 (保留 1 個字元給 null 終止符號,因此實際上是 49 加 1 等於 50)。 如果有人輸入一個名稱包含 51 個字元,就會使緩衝區溢位,因為該緩衝區固定為 50 個位元組。

如需更詳細的說明和進一步的範例,建議參考下列資源:  

特洛依木馬、控制項與蠶食病毒

特洛依木馬 (Trojan) 是一些程式,它們不做符合其名稱指出的功能。 特洛依木馬程式可以產生許多不同的效果,包括刪除或修改檔案,以便從遠端控制被影響電腦的存取。 特洛依木馬通常仰賴使用者介入,才能進行其潛在的破壞常式。 這些程式可能會封裝在其他程式中或併入其他程式 (如螢幕保護程式或遊戲), 以避免在影響目標電腦之前被偵測出來。

類似 Active-X 的控制項可以寫成能進行無數不願見的事情,即使那些程式通常都有簽署也一樣。 用戶應該透過開發用戶教育訓練方案與政策加以培訓,使他們瞭解有關這些程式的風險。 有簽署的控制只能保證簽署者的身份,並不能保證該控制是否安全。

蠶食病毒 (worm) 有能力在企業內快速地自我複製,它們所需要的使用者介入極少或根本不需要。 它們通常是包含在電子郵件中。它們的裝載通常是屬於具有毀滅性和惱人型。 由於防毒程式一向都只是對病毒採取被動的行動,而不是主動出擊, 因此在任何安全性計劃中都要有一項即時通知項目。

防火牆與篩選子網路

防火牆與篩選子網路 (舊稱為 DMZ) 通常會在企業環境中用來補充安全防衛,而不是加以取代。 防火牆只能縮減安全性違規的風險,但不保證能排除危害。 沒有任何裝置、防火牆或作業系統可以自認為是無法滲透。 防火牆通常是軟體或作業系統型的,或者硬體或裝備型的裝置,其中至少有安裝兩片網路卡。 防火牆一般可分為兩種基本模式:

  • 除非特別拒絕,不然容許所有流量通過
  • 除非特別容許,不然拒絕所有流量通過

目前採用的企業型防火牆通常會預設為這兩種基本模式之間。 大部份在預設的情況下,都只容許開啟最常用的連接埠。 規則與路由都是根據政策、需求以及其需要的地方來定義。

防火牆的優點顯而易見,不過其限制卻不是那麼容易辨別。 其某些限制包括:

  • 防火牆無法保護未通過它來傳送的流量。大部份公司裡,至少都有一名使用者有安裝不正當的數據機, 可讓該使用者從家中經常存取。實施適當的原則可協助防止這種現象。
  • 防火牆不會在傳輸或網路層檢查資料完整性或驗證資料包。 這使得防火牆易受偽造封包的誤導或詐騙,導致讓病毒通過。
  • 防火牆不能取代訓練有素的專業人員。 今日的防火牆需要有專業及訓練有素的人員進行管理與設定。 只要在防火牆層次犯了一個設定錯誤,就可能會導致嚴重的後果。

下圖顯示一個簡化的防火牆作業圖:

Dd548166.DATASC03(zh-tw,TechNet.10).gif

防火牆在 OSI 及 TCPIP 模式的各種層次上作業。 它們可以作業的最低層是網路層 (OSI 的網路層,TCPIP 模式的 IP 層)。 防火牆 IP 層通常類似如下:

Dd548166.DATASC04(zh-tw,TechNet.10).gif

常用設定

三叉型篩選子網路

三叉型防火牆包含一個防火牆,其中有一個介面指定給網際網路, 第二個介面指定給專用網路,第三個介面指定給經篩選的子網路。 流量模式是由在三個介面實施的防火牆規則定義。 三叉型防火牆會透過規定所有網際網路流量都必須通過經篩選的子網路,來保護專用網路。

若要實施三叉型防火牆,防火牆軟體必須能支援多重區域定義。 您必須針對網際網路、專用網路及經篩選的子網路,建立個別的區域。
 

優點 缺點
成本較低,因為只需要安裝一部防火牆電腦。不是所有防火牆都支援這種設定。
可以設定為多個經篩選的區段,具有不同的層級可存取內部網路。如果防火牆被破壞,內部網路中的所有區段就會暴露,沒有防衛。

datasc05

中野篩選子網路

中野 (mid-ground) 篩選子網路是在兩個或更多防火牆之間的網路中的一個區域。 一道防火牆作為網際網路和經篩選子網路之間的屏障, 第二道防火牆作為經篩選子網路和內部網路之間的界限。 中野篩選子網路透過使用兩個不同的防火牆品牌,為內部網路提供額外的安全性。 這可以防止侵犯外部防火牆,進而存取內部網路。 如果外部防火牆被破壞,外部駭客必須再入侵內部防火牆,才能存取內部網路資源。 若使用來自不同製造商的兩個防火牆,駭客要入侵內部防火牆時, 必須使用和入侵外部防火牆不同的方法和工具組。

實施中野篩選子網路的某些優點和缺點如下:
 

優點 缺點
攻擊者必須通過兩道或更多防火牆,才能存取內部網路。 額外的防火牆需要額外的費用。
使用兩種不同的防火牆廠牌可以減少被入侵的機會。需要做額外的設定。

Dd548166.DATASC06(zh-tw,TechNet.10).gif

若兩種技術可以無間隙地一起使用,將可以建立額外的保護。 但是防火牆或 DMZ 的環境愈複雜,就愈不容易被侵入。不過,這也會提高設定錯誤的可能性,因此愈難維護。 應該採取預防措施,對於要保護之可能暴露的資源危及風險,應仔細考慮每一種可能的入侵方式。

Microsoft ISA Server

Microsoft 的 ISA Server ( http://www.microsoft.com/taiwan/isaserver/ ) (Internet Security and Acceleration Server) 為現今的防火牆環境帶來新的安全維護類型。 其部份功能與優點包括:

企業安全性

將網路和使用者連接到網際網路時,會帶來安全及生產力方面的隱憂。 ISA Server 的功能可以為組織提供一個簡明的方法,來控制存取與監視使用方式。 ISA Server 可以保護網路免受未經授權的存取、檢查流量,並可向系統管理員提出攻擊警示。

  • 多層防火牆。網路會受到各種方式的威脅。 透過封包、電路及應用程式層的流量篩選,擴充網路安全性,以降低未經授權存取的危險。
  • 智慧型應用程式篩選。ISA Server 的智慧型應用程式篩選可以辨識內容, 並套用內容周遊網路時的原則。控制應用程式特定的傳輸,如電子郵件和資料流媒體,以資料察覺篩選來加強安全性。 ISA Server 可以運用 Active Directory™ 原則型的管理功能優點。
  •  動態 IP 篩選。ISA Server 透過將存取限制為需要才容許的原則, 以及只針對作用中的工作階段開啟連接埠,來降低外部攻擊的危險。

快速存取 Web 快取

網際網路在生產力方面為組織帶來另人讚賞的好處,不過若內容存取即快又節省成本時,這一點才能成立。 ISA Server Web 快取採用伺服本機快取的 Web 內容方式,可以將效能瓶頸縮至最小,並且節省網路頻寬。

  • 高效能 Web 快取。ISA Server 使用超快速 RAM 快取處理及有效率的磁碟輸入/輸出 (I/O),可以加速 Web 存取並節省網路頻寬。
  • 延展性。如果沒有將延展性包含在設計中,當快取的內容增加時, 快取處理反而會對內容存取帶來負面的影響。ISA Server 以延展性為建構原則,它以 Cache Array Routing Protocol (CARP) 來提供有效的延展和動態負載平衡。
  • 作用中快取。ISA Server 部署愈久,其提供的網路效率愈高。 它會研判使用模式,並建議快取內容的最佳方法。透過主動快取熱門的物件,並排定下載整個站台的時間, ISA Server 得以為每一位使用者提供最快速的內容。

彈性的管理

ISA Server 針對 Web 安全性和加速處理提供的基礎結構, 使得原則管理簡便又有效率,並可簡化內部網路作業管理。

  • 針對 Windows 2000 組建。ISA Server 整合 Microsoft Windows 2000 作業系統中的許多核心服務 (http://www.microsoft.com/taiwan/isaserver/techinfo/), 因此能提供一致且強大的方式來管理使用者存取、設定和規則等。 其核心功能包括驗證、管理工具、頻寬控制、SecureNAT 及 Windows 2000 技術組建的 虛擬私人網路功能
    (http://www.microsoft.com/technet/prodtechnol/windows2000serv/
    deploy/confeat/vpnscen.mspx
    )。
    使用 Active Directory 服務
    (http://www.microsoft.com/windows2000/server/evaluation/features/dirlist.asp),ISA Server 可簡化管理工作。
  • 實施原則。安全性原則在 ISA Server 中非常容易實施。 網路與安全管理員可以按照使用者與群組、應用程式、內容類型及排程等來控制存取。 企業層次的管理可以針對全公司的規則擴大本機 (陣列層次) 原則,來支援漫遊的使用者。
  • 豐富的管理工具。那些安全性與網路管理工作需要可靠簡單的方法來監視網路。 ISA Server 提供詳細的記錄與可自訂的警示,讓管理員對網路的安全性和效能問題提高警覺。 圖形式報告及遠端管理可以讓網路專業人員輕鬆地檢查伺服器的效能和使用狀況。

可伸展的安全性

安全性原則和行政命令在每個組織中都各不相同。 傳輸量和內容格式也會形成獨特的考量。 由於沒有產品能完全符合所有安全性和效能需求,因此要建立具有高延展性的 ISA Server。 其中有提供一套簡明易用的 SDK 供內部開發使用,此外還有許多協力廠商的附加解決方案, 以及廣泛的管理選項可供選用。

  • 有理解力的 SDK。ISA Server 包括一套有理解力的 Software Developers Kit,其中包括完整的 API 說明文件及逐步的篩選與管理作業範例,能協助組織解決特定的安全性與效能考量。
  • 眾多協力廠商解決方案選擇。有愈來愈多的協力廠商參與提供功能, 來擴充和自訂 ISA Server,包括病毒掃描、管理工具、內容篩選、站台封鎖、即時監視及製作報告等。
  • 可伸展的管理。將管理工作自動化,縮減管理工作負荷。 ISA Server 有包括可編寫指令檔的「元件物件模型 (COM)」物件,可以程式撰寫方式讀取/寫入所有規則和管理選項。

ISA Server 功能一覽表

功能
優點
多層防火牆使用封包層、電路層及應用程式層次的傳輸篩選提高安全性。
高效能 Web 快取為使用者提供加速 Web 存取,且可節省網路頻寬。
Windows 2000 整合使用 Windows 2000 Active Directory™ 服務來管理 ISA Server 使用者、設定及規則。驗證、管理工具及頻寬控制等延伸了 Windows 2000 技術。
狀態式檢驗依資料的通訊協定和連線狀態,檢查通過防火牆的資料。
延展性新增伺服器來調整快取處理既簡單又有效率, 它使用的是動態負載平衡及 Cache Array Routing Protocol (CARP)。 透過分散式和階層式快取處理,將網路可用性及頻寬效率放至最大。
虛擬私人網路使用 Windows 2000 的「虛擬私人網路」服務,提供標準型的安全遠端存取。
管理流量及執行原則的詳細規則依使用者、群組、應用程式、內容類型、排程及目的地等, 控制網路和網際網路存取。
廣泛的應用程式支援和主要的網際網路應用程式整合,運用無數預先定義的通訊協定。
對所有用戶端都完全透通可以和所有平台上的用戶端以及應用程式伺服器相容,不需要另裝用戶端軟體。
智慧型應用程式篩選以資料察覺篩選器 (只封鎖特定類型的內容) 控制應用程式特定的流量,如電子郵件和資料流媒體。
智慧型快取透過主動快取熱門的物件, 以及依所定義的排程,將整個網站預先載入快取中,確定每位使用者都可以取得最新的內容。
豐富的管理工具善用強大的遠端管理功能、詳細的記錄、 可自訂的警示及圖形式工作板等的優點,簡化安全性與快取管理作業。
動態封包篩選

僅在需要時才開啟連接埠,減少被外部攻擊的機會。

分散式及階層式快取使用多重與備份路由,擴大可用性及節省頻寬,達到有效率地使用網路。
整合式頻寬控制依群組、應用程式、站台或內容類型等,排定頻寬配置的優先序。
安全發佈保護 Web 伺服器和電子商務應用程式免受外部攻擊。
有效率的內容發送分送及快取網站和電子商務應用程式, 讓 Web 內容更接近使用者,以改善回應時間和縮減頻寬成本。
整合式入侵偵測識別常見的拒絕服務攻擊,如連接埠掃描、WinNuke 及 Ping of Death 等。
內建報告針對 Web 使用率、應用程式使用率、網路流量模式及安全性等方面,執行已排定的標準報告。
系統加強保護以多重鎖定方式,保障作業系統的安全。
資料流媒體支援透過在防火牆上分割媒體資料流,節省頻寬。

保護周邊安全

保護您的組織之周邊安全需要非常詳盡的規劃。開始建立環境對應將是最好的起點。最好的做法是評估三個階段:

  • 外部可用的資源。可讓外部使用者透過網際網路使用的資源。
  • 內部可用的資源。可讓和網際網路分隔或隔離的員工及承包商使用的資源。
  • 虛擬私人網路 (VPN)。僅供專用及透過公用網路連結的內部資源。

Dd548166.DATASC07(zh-tw,TechNet.10).gif

周邊是上述三種一般基線的組合。每一個基線至少要注意下列事項:

  • 對應裝置之間的實體與網路路由
  • 裝置存取權限 (如果是外包廠商,則是以服務層次和機密性合約為主的原則)
  • 向外提供資源的期間
  • 每一項資源可接受的危險層次

避免一般常犯錯誤

在防火牆的設定與技術中,最常犯的一些錯誤包括:

  • 不夠嚴密。當負責設定防火牆路由與原則的人員不瞭解某個應用程式的某項特點時, 最容易做的決策就是開放太多連接埠。不容許通過是比較安全的做法,然後再以需要為原則來開放連接埠。 應用程式和裝置一定要提供詳細的說明文件,供負責設定防火牆的人員參考。
  • 防火牆管理員缺乏經驗或缺乏訓練。經驗不足或缺乏訓練的防火牆管理員極容易犯錯。 新進者常會忽略或遺漏一些細節,導致嚴重影響完整性。職責應該加以區隔。 熟悉防火牆產品與技術者應該協助支配哪些人有適當的權限可以起始/修改/移除防火牆的設定與路徑。
  • 錯用或遺漏安全性修補程式。有時候因缺乏資源無法進行測試及部署, 導致常常未注意和忽略了可用的 Service Pack 以及安全性修補程式。 您應該事先訂定一套移轉或測試計劃,來處理這些臨時事件。 駭客們會注意防火牆的最新弱點,因此防衛防火牆的人員也應該隨時注意。
  • 存取路徑規劃不當。在防火牆設定好之後, 經常會為了因應突然產生的業務需求,而增加一些新路徑。這種情況也應該要預先規劃好。

存取控制機制

「存取控制」機制可以分成下列三種,每一種至少具有下列這些子項:

    實體安全性

    • 硬體鎖定
    • 安全警衛
    • UPS 及火災/高電壓抑制
    • 警報及觸發裝置

    管理控制與原則

    • 職責區分
    • 可接受的用途以及其他原則/聲明
    • 員工顧用與終止程序/原則
    • 系統/原則/控制稽核與報告

    技術方面的控制

    • 密碼管制
    • 入侵偵測與防範技術
    • 加密/解密技術
    • 檔案與 OS 的存取控制清單

由於我們已經討論過部份實體安全性及系統管理控制和原則,接下來我們來看看一些技術方面的控制。

適當的存取控制清單

適當的存取控制清單對任何作業系統的安全都是絕對必要的。沒有這項保護,您的系統就會形同門戶洞開,讓可透過網路存取者予取予求。 如果您還不知道的話,組織或資源的存取控制矩陣,可以讓您清楚看出您的環境現狀。 以下是一個矩陣範例:
 

資源人員
A
B
C
D
E
F
G
H
I
J
Fred

W

R

R

F

R

R

N

W

N

X

Jane

R

R

R

X

X

R

W

X

F

X

Bob

R

X

X

X

X

R

W

F

X

X

Alice

R

W

F

X

W

X

N

R

N

X

Mary

R

W

W

W

W

F

R

R

W

X

Ken

F

F

X

R

W

N

X

W

R

F

Joan

X

W

W

W

X

R

F

N

R

X

Mark

X

X

W

W

F

X

R

N

X

W

Harry

F

N

R

X

R

W

X

W

W

R


存取類型:R=讀取,W=寫入,X=執行,F=完全控制,N=不能存取

您可以看到,上述矩陣幾乎可以套用在任何資源或主體,並不僅僅適用檔案系統的存取而已。 您只需要適當地取代「人員」群組以及加上資源的索引標籤,就幾乎可以針對任何可控制的資源,建立一套自訂的矩陣。 關於資源擁有者的一般假設及其在組織中的角色,通常一眼就可看出。

有關 Windows NT 的最基本檔案系統 ACL 及 Windows 2000 的一些預設安裝設定值建議如下:

建議的 Windows NT 檔案系統/登錄 ACL

(注意:這些適用於全新安裝的 Windows NT 系統)
 

目錄
權限
\WINNT 及其下的所有子目錄Administrators:完全控制
CREATOR OWNE:完全控制
Everyone:讀取
SYSTEM:完全控制

現在,在 \WINNT 樹狀目錄下,針對一般安全性套用下列例外:
 

目錄
權限
\WINNT\REPAIRAdministrators:完全控制
\WINNT\SYSTEM32\CONFIGAdministrators:完全控制
CREATOR OWNE:完全控制
Everyone:列出
SYSTEM:完全控制
\WINNT\SYSTEM32\SPOOLAdministrators:完全控制
CREATOR OWNE:完全控制
Everyone:讀取
Power Users:變更
SYSTEM:完全控制
\WINNT\COOKIES
\WINNT\FORMS
\WINNT\HISTORY
\WINNT\OCCACHE
\WINNT\PROFILES
\WINNT\SENDTO
\WINNT\Temporary Internet Files
Administrators:完全控制
CREATOR OWNE:完全控制
Everyone:特殊目錄存取—讀取、寫入和執行; 特殊檔案存取—無
System:完全控制

在 Intel 80486 和 Pentium 型的系統上,有許多個重要的作業系統檔案是位在系統磁碟分割的根目錄下。 在嚴密的系統安全中,您可能要為這些檔案指派下列權限:
 

檔案
C2 層次權限
\Boot.ini, \Ntdetect.com, \NtldrAdministrators:完全控制
SYSTEM:完全控制
\Autoexec.bat, \Config.sysEverybody:讀取
Administrators:完全控制
SYSTEM:完全控制
\TEMP 目錄Administrators:完全控制
SYSTEM:完全控制
CREATOR OWNE:完全控制
Everyone:特殊目錄存取—讀取、寫入和執行; 特殊檔案存取—無

保護登錄 (NT4.0)

除了要考慮標準的安全性,在極安全的安裝作業中,系統管理員可能也要針對登錄中的一些機碼設定保護。

在預設的情況下,登錄的各種元件已有設定保護,使得既可以完成工作,又能達到提供標準層次安全性的目的。 如果是高層次的安全性,您可能要針對特定的登錄機碼指派存取權限。 在做這項工作時,要極為小心,因為使用者需要用來執行工作的程式, 通常都需要代表使用者存取特定的機碼。

針對以下列出的每一個機碼,做下列變更:

容許存取
 

Everyone 群組:QueryValue、Enumerate Subkeys、Notify 及 Read Control

在本機機器上的 HKEY_LOCAL_MACHINE 對話方塊中

\SOFTWARE

建議做此變更。它會以誰有權安裝軟體的方式,鎖定系統。請注意, 建議使用此設定鎖定整個子樹狀目錄,因為那樣做會導致某些軟體無法使用。

\SOFTWARE\Microsoft\Rpc (及其子機碼)

這會鎖住 RPC 服務。

\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Embedding

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontMapper

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Cache

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI Extensions

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib

考慮移除此機碼的 Everyone:讀取權。這使得遠端使用者可以看到機器上的效能資料。 您可以改為提供 INTERACTIVE:讀取權,這使得除了 administrators 和 system 以外,只有以互動式登入的使用者,才能存取此機碼。

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports (及所有子機碼)

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Type 1 Installer

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW (及所有子機碼)

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows3.1MigrationStatus (及所有子機碼)

\SYSTEM\CurrentControlSet\Services\Lanmanserver\Shares

\SYSTEM\CurrentControlSet\Services\UPS

請注意,除了設定此機碼的安全性外,也要適當地保護與 UPS 服務相關的命令檔的安全 (如果有的話), 只容許 Administrators:完全控制、System:完全控制。

\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

在本機機器上的 HKEY_CLASSES_ROOT 對話方塊中

\HKEY_CLASSES_ROOT (及所有子機碼)

在本機機器上的 HKEY_USERS 對話方塊中

\.DEFAULT

「登錄編輯器」可支援從遠端存取 Windows NT 登錄。 若要限制從網路存取登錄,可使用「登錄編輯程式」建立下列的登錄機碼:
 

Hive: HKEY_LOCAL_MACHINE
機碼: System\CurrentControlSet\Control\SecurePipeServers
名稱: \winreg

在此機碼設定的安全權限會定義哪些使用者或群組可以連接到系統,進行遠端登錄存取。 預設的 Windows NT 工作站安裝程式並不會定義這個機碼,也不會限制從遠端存取登錄。 Windows NT Server 只容許系統管理員從遠端存取大部份的登錄。

必須讓非系統管理員存取的一些路徑在 HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control
SecurePipeServers\winreg\AllowedPaths 機碼中指定。

在伺服器操作員的組員無法完全信任的環境中,建議依如下所示變更下列機碼的安全性:
 

登錄機碼
建議的許可權
HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT\CurrentVersion\WinlogonCREATOR OWNE:完全控制
Administrators:完全控制
SYSTEM:完全控制
Everyone:讀取

Windows 2000 預設設定

檔案系統

下表說明在 NTFS 分割區上安裝全新的 Windows 2000 時,會針對 Power Users 和 Users 的檔案系統物件套用的預設存取控制設定。 如果是目錄,除非另有指定 (在括弧中),不然其許可權會套用至目錄、子目錄和檔案。

  • %systemdir% 是指 %windir%\system32
  • *.* 是指目錄中包含的檔案 (不是目錄)
  • RX 表示讀取與執行
檔案系統物件
預設 Power User 權限
預設 User 權限
C:\boot.iniRX
C:\ntdetect.comRX
C:\ntldrRX
C:\ntbootdd.sysRX
C:\autoexec.bat修改RX
C:\config.sys修改RX
\Program Files修改RX
%windir%修改RX
%windir%\*.*RXRX
%windir%\Config\*.*RXRX
%windir%\Cursors\*.*RXRX
%windir%\Temp修改同步處理、周遊、新增檔案、新增子目錄
%windir%\repair修改列出
%windir%\addins修改 (目錄\子目錄)
RX (檔案)
RX
%windir%\Connection Wizard修改 (目錄\子目錄)
RX (檔案)
RX
%windir%\Fonts\*.*RXRX
%windir%\Help\*.*RXRX
%windir%\inf\*.*RXRX
%windir%\java修改 (目錄\子目錄)
RX (檔案)
RX
%windir%\Media\*.*RXRX
%windir%\msagent修改 (目錄\子目錄)
RX (檔案)
RX
%windir%\securityRXRX
%windir%\Speech修改 (目錄\子目錄)
RX (檔案)
RX
%windir%\system\*.*讀取、執行RX
%windir%\twain_32修改 (目錄\子目錄)
RX (檔案)
RX
%windir%\Web修改 (目錄\子目錄)
RX (檔案)
RX
%systemdir%修改RX
%systemdir%\*.*RXRX
%systemdir%\config列出列出
%systemdir%\dhcpRXRX
%systemdir%\dllcache
%systemdir%\driversRXRX
%systemdir%\CatRoot修改 (目錄\子目錄)
RX (檔案)
RX
%systemdir%\ias修改 (目錄\子目錄)
RX (檔案)
RX
%systemdir%\mui修改 (目錄\子目錄)
RX (檔案)
RX
%systemdir%\os2\*.*RXRX
%systemdir%\os2\dll\*.*RXRX
%systemdir%\ras\*.*RXRX
%systemdir%\ShellExt修改 (目錄\子目錄)
RX (檔案)
RX
%systemdir%\Viewers\*.*

RX

RX

%systemdir%\wbem修改 (目錄\子目錄)
RX (檔案)
RX
%systemdir%\wbem\mof修改RX
%UserProfile%完全控制完全控制
All Users修改讀取
All Users\Documents修改修改
All Users\Application Data修改修改

請注意,Power User 可以將檔案寫入下列目錄中,但是不能修改在文字模式安裝期間所安裝的檔案。 另外,所有其他 Power Users 會繼承在這些目錄中建立的檔案之「修改」權限。

  • %windir%
  • %windir%\Config
  • %windir%\Cursors
  • %windir%\Fonts
  • %windir%\Help
  • %windir%\inf
  • %windir%\Media
  • %windir%\system
  • %systemdir%
  • %systemdir%\os2
  • %systemdir%\os2\dll
  • %systemdir%\ras
  • %systemdir%\Viewers

如果是指定為 [修改 (目錄/子目錄) RX (檔案)] 的目錄, Power Users 可在其中寫入新檔案;不過,其他 Power Users 卻只能讀取那些檔案。

Windows 2000 的預設登錄 ACL

下表說明在安裝全新的 Windows 2000 時,會針對 Power Users 和 Users 的登錄物件套用的預設存取控制設定。 對於給定的物件,權限會套用至該物件以及所有子物件,但表格中有另外列出該子物件時例外。
 

登錄物件預設 Power User 權限預設 User 權限
HKEY_LOCAL_MACHINE

\SOFTWARE修改讀取
\Classes\helpfile讀取讀取
\Classes\.hlp讀取讀取
\Microsoft

\Command Processor讀取讀取
\Cryptography\OID讀取讀取
\Cryptography\Providers\Trust讀取讀取
\Cryptography\Services讀取讀取
\Driver Signing讀取讀取
\EnterpriseCertificates讀取讀取
\Non-Driver Signing讀取讀取
\NetDDE
\Ole讀取讀取
\Rpc讀取讀取
\Secure讀取讀取
\SystemCertificates讀取讀取
\Windows\CV\RunOnce讀取讀取
\Windows NT\CurrentVersion

\DiskQuota讀取讀取
\Drivers32讀取讀取
\Font Drivers讀取讀取
\FontMapper讀取讀取
\Image File Execution Options讀取讀取
\IniFileMapping讀取讀取
\Perflib讀取 (透過 Interactive)讀取 (透過 Interactive)
\SecEdit讀取讀取
\Time Zones讀取讀取
\Windows讀取讀取
\Winlogon讀取讀取
\AsrCommands讀取讀取
\Classes讀取讀取
\Console讀取讀取
\EFS讀取讀取
\ProfileList讀取讀取
\Svchost讀取讀取
\Policies讀取讀取
\SYSTEM\CurrentControlSet讀取讀取
\Control\SecurePipeServers\winreg

\Control\Session Manager\Executive修改讀取
\Control\TimeZoneInformation修改讀取
\Control\WMI\Security
\HARDWARE讀取 (透過 Everyone)讀取 (透過 Everyone)
\SAM讀取 (透過 Everyone)讀取 (透過 Everyone)
\SECURITY
HKEY_USERS

\USERS\.DEFAULT讀取讀取
\USERS\.DEFAULT\SW\MS\NetDDE
HKEY_CURRENT_CONFIG= HKEY_LOCAL_MACHINE \SYSTEM
CurrentControlSet\HardwareProfiles\Current
HKEY_CURRENT_USER完全控制完全控制
HKEY_CLASSES_ROOT= Merge of HKEY_LOCAL_MACHINE \SOFTWARE \Classes + HKEY_CURRENT_USER \SOFTWARE \Classes

加密檔案系統

EFS 提供核心檔案加密技術,以加密形式將 Windows NT 檔案系統 (NTFS) 的檔案儲存在磁碟上。 EFS 特別針對可在其他作業系統上使用的工具,讓使用者從 NTFS 磁碟區存取檔案時不需要經過存取檢查,所引起的安全問題。 使用 EFS,在 NTFS 檔案中的資料會在磁碟上加密。 它所使用的加密技術是公開金鑰型,並會以整合式的系統服務執行,因此極好管理,但是卻不易攻擊,對使用者而言完全透明化。 如果嘗試要存取加密的 NTFS 檔案的使用者具有該檔案的私密金鑰時, 使用者就可以開啟該檔案並且如一般文件式地處理該檔案。使用者若沒有該檔案的私密金鑰,就會被拒絕存取。

  • Windows 2000 中的 EFS 可讓使用者以強力的公開金鑰型加密系統, 將 NTFS 目錄加密,因此目錄中的所有檔案也會跟著加密。 雖然支援個別加密檔案,但是並不建議您使用,因為應用程式的行為無法完全預期。
  • EFS 也支援加密可透過檔案共用存取的遠端檔案。如果使用者具有漫遊設定檔, 則在某些可信任的遠端系統上可以使用相同的金鑰和憑證。在其他系統上,則會建立本機設定檔並使用本機金鑰。
  • EFS 讓企業可以設定資料修復原則,因此使用 EFS 加密的資料可在必要時,進行回復。
  • 修復原則和整體的 Windows 2000 安全原則完全整合。 此原則的控制權可以交付給具有修復權限的人員負責。組織中的不同部門可以分別設定不同的修復原則。
  • 在 EFS 中,資料修復是一種內含作業。它只會呈現要回復的資料,但不會呈現用來將檔案加密的使用者金鑰。
  • 使用 EFS 進行檔案加密時,使用者在每一次要使用檔案時,並不需要重覆地解密然後再加密。 當檔案讀取和寫入磁碟時,解密和加密動作是完全透明,使用者並不會察覺到。
  • EFS 支援在備份和還原加密的檔案時,不做解密。NTBackup 支援備份加密的檔案。
  • EFS 和作業系統整合,因此可以防止金鑰資訊滲漏到分頁檔, 並可確保加密檔案的所有複本,即使被移動,也仍會維持加密。
  • 北美版的 EFS 會使用 DESX 作為檔案加密演算法,具有完整的 128 位元金鑰加密。 國際版的 EFS 也會使用 DESX 作為加密演算法,不過,檔案的加密金鑰會縮減為只有 40 個位元金鑰加密。
  • 具有多項保護措施,確保若系統完全故障時,可以進行資料修復,且不會喪失資料。

如需有關「加密檔案系統」、其用途、設定與部署的詳細資訊,可在以下網站取得:

http://www.microsoft.com/technet/prodtechnol/windows2000serv/
deploy/confeat/nt5efs.mspx

以及

http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/efsguide.mspx

數位鑑定

簡介

「數位鑑定 (Digital Forensics)」是長久被使用的技術,在 IT 社群中愈來愈常被使用。 它牽涉到許多方面的事,包括蒐集破碎的證據。來自鑑定業中的許多不同科技可套用到現代的科技環境,來協助判斷完整性和可信賴性。 在本文中有一些這方面的說明。

電腦的鑑定世界中,與生俱來的挑戰不斷的增加,來自每一個新版的作業系統。 一開始,DOS 為主的系統是相當容易瞭解並有軟體工具可用來協助鑑定調查員處理有問題的磁碟媒體。 當作業系統變得更復雜,要求去瞭解這些系統的訓練層級就快速的增加。 雖然基本的處理多少有一些標準可循,新的科技套用到尖端的鑑定工具,對現代電腦犯罪調查員有很大的幫助。

比方說,在 1990 年代初期,大約需要一個星期的時間來檢查 40 MB 的硬碟機。 備份程序極為緩慢,並且系統的說明文件極難瞭解。檢查程序包括搜尋所有叢集、磁區、空間, 以及磁碟上的其他有利區域,以取得任何和所有可用的證據。 今日的檢查程序已演進到需要檢查 4GB 和更大的磁碟機。 想想這種磁碟機中可以容納的資料量,我們就需要具備更有效率的鑑定工具。 現今,透過使用新的 Windows 版的鑑定和影像工具,備份的時間已經縮短了, 再加上用更有時效和緊密的方法來檢查硬碟架構的能力。

一般而言,調察員們要找的證據都是在文書處理文件、試算表或其他類型的檔案中。 被清除的檔案、檔案空間 (slack),或甚至 Windows 的交換檔中都可能會有證據存在, 如果存取不當,這些證據極容易消失和變更。 只要開啟有問題的電腦和啟動 Windows GUI,就可能會觸發一些處理程序, 因而更改甚至於損壞會決定調查成功與否的資料片段。 同時也有可能會啟動使用者特意留在電腦上的特洛依木馬程式,因而導致修改或改變檔案結構。 為了防止發生這種狀況,要建立問題磁碟機的鏡像映像。 鏡像映像是一種位元組對位元組、磁區對磁區的硬碟機複製, 要對初始的映像及還原程序進行 Cyclical Redundancy Checksum (CRC)。 CRC 是一種算術式計算,可以驗證硬碟機上的每一個資料區塊是否完整。

常用工具與術語:其對企業的意義與應用

檔案簽章。 大部份檔案都有一個獨特的簽章。開頭幾個位元組會表示檔案的類型,不論作業系統的應用程式為何。 例如,GIF 檔案的前 6 個位元組可能是 GIF87A 或 GIF89A。 在大部份的情況下,不論檔案使用的副檔名是什麼,鑑定軟體都可以採用這項資訊來判定檔案的真實類型。

雜湊。 雜湊亦稱為 MD5 總和檢查碼。最常被使用的雜湊是 MD5 雜湊。 MD5 雜湊是一種在編譯時產生的獨特 128 位元號碼,用來表示檔案的完整性沒有被破壞。 例如,在 Windows 2000 Advanced Server 上,其 explorer.exe 的 MD5 雜湊為 72 51 75 97 85 c6 0e d0 e3 d3 f8 37 9c 89 a0 79。 兩個不同的檔案具有相同的 MD5 總和的機率約為 2128。 下表列出最常被夾藏或變更的檔案,及其有效的總和檢查碼 (Windows 2000 Advanced Server):

最常被變更的檔案及其有效的總和檢查碼
 

檔案名稱
使用
MD5 總和檢查碼
explorer.exeWindows 檔案總管72 51 75 97 85 c6 0e d0 e3 d3 f8 37 9c 89 a0 79
taskmgr.exe工作管理員b2 e4 32 b3 4d cc bc 68 88 fa 3a aa 71 94 c5 c2
logon.scr登入畫面79 80 b0 36 2c ce ec f2 55 72 e8 64 f9 7c 2b b1
cmd.exe命令提示字元53 fc da 64 f7 12 2b cb 4b 60 12 87 03 9a 80 75
rundll32.exe-*將 DLL 當作 App 執行1e d5 27 48 25 cd 1e eb be 10 2b 9f f7 c9 ec 31

* 應特別注意在 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 中列出的針對此程式執行的 DL

Windows 2000 具有「系統檔案保護」,可以防止大部份的這些檔案被更改, 使入侵者極難在入侵之後建立後門。不過最好對這些檔案採取進一步的預防措施。 只要遵循對指定作業在較沒有專用安全環境中執行時的基本安全性概念,暴露的範圍就可以縮至最小。

檔案或磁碟空間。檔案空間是指從檔案結尾到叢集尾端之間的可用空間。 例如,如果某個檔案的大小是 200 個位元組,而叢集大小是 512 個位元組,則檔案空間就是 312 個位元組。 檔案空間也是指叢集中未配置的空間。檔案空間中極可能的會隱藏一些檔案。

Dd548166.DATASC08(zh-tw,TechNet.10).gif

RAM 空間。從檔案結尾到其包含磁區之間的空間稱為「RAM 空間」(RAM Slack)。 磁區在寫入磁碟之前,會儲存在 RAM 緩衝區中。如果磁區在確定到磁碟之前只填入局部, 則殘留在緩衝區尾端的資訊通常會寫入磁碟。有時可以透過這項資訊回復從未被儲存的資料。

有多種軟體工具可以用來建立問題磁碟機的鏡像映像。 我在影像擷取程序中使用了兩種不同的方法。我個人的偏好是高速備份到 DLT 磁碟機。或將影像捕捉成專用格式,放到其他磁碟機上供稍後檢查。 在現場或需要快速做好幾份備份的場合中,我通常會將磁碟機的影像複製到 DLT 上。 這些影像會被儲存起來,等稍後在我的實驗室中還原,並可重覆地還原,以進行檢查。 這也使得我能將影像還原到經控制的磁碟機上。然後再將這部磁碟機放到原始設備中。 如果影像製作得當,檢驗人員就可以執行程式,如同其原始安裝在問題電腦上一樣。

第二種方法是採用專有配置製作影像。影像可於稍後檢視,或在必要時,在現場預覽。 這些影像是以不更改檔案的方式擷取,因此可以備份到 CD 上,或甚至備份到有連接網路控制的電腦上之共用中。

問題磁碟機還原之後,即會開始進行例行的病毒掃描,然後開始進行檢查程序。 目前,由於眾多鑑定軟體及公用程式所提供的易用介面,分析作業已可更快速完成檢驗文字檔案、 圖形及隱藏的資料區域,如檔案空間、未配置的檔案空間及被清除的檔案等等。 再根據問題及事件的相關事實,針對檔案結構建立及執行一個文字清單。

證據保存

在鑑定程序中的另一個重要注意事項是要維持及記錄收到及檢查證據時的流程。 若無法訂定一套固定的原則和程序,很可能會破壞保存鏈結, 使得原本很好的檢查,變成不能用在民事或刑事法庭中使用。 另一個重要事項是媒體的實際儲存位置 (包括位置和類型),因為被損壞的證據是不能使用的證據。

其他資訊來源

拒絕服務

企業永續規劃

防火牆

數位鑑定

安全方面的書籍

組織與協會


顯示: