資料檔案的安全性管理.ppt
《資料檔案的安全性管理.ppt》由会员分享,可在线阅读,更多相关《資料檔案的安全性管理.ppt(64页珍藏版)》请在三一文库上搜索。
1、- 1 -,資料檔案的安全性管理,曾沈掇铡霹轴阁殖负步眼鲤腻爵阜莱迟掀为烘轧融戏戏额虎婶萍年缴讥辖資料檔案的安全性管理資料檔案的安全性管理,- 2 -,課程大綱,介紹Windows檔案目錄的安全性保護機制 設定與管理NTFS 使用權限 設定與管理共用資料夾使用權限 稽核檔案存取 設定與管理加密檔案系統 資料備份實務與建議,重廉墒曳烟孝炙丝贺指夫至亲拄徐名狼欠阶误佛雨视板面腕格血瑟钮名坤資料檔案的安全性管理資料檔案的安全性管理,- 3 -,資料保護原則,機密性(Confidentiality) 避免未經授權的使用者有意或無意的揭露資料內涵。 完整性(Integrity) 避免非經授權的使用者或處
2、理程序篡改資料。 可用性(Availability) 讓資料或資源保持可用狀況。 企業資料或資源必需能夠即時、可靠而精確的提供給企業內部各個層級的使用需求。 存取控制 (Access Control) 限制資源存取的處理方式及程序,目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。,盆融痴连翱筐绊不斋棠制瞥蔽育晤硫方尝杀第刊熬匿衡苔贸角江盖芹侍静資料檔案的安全性管理資料檔案的安全性管理,- 4 -,Windows檔案目錄的安全性保護機制,NTFS 檔案系統的存取權限 (NTFS Permission) 共用資源的使用權限 (Share folder permission) 加密檔案系
3、統 (Encrypting File System ) 資料備份 (Backup),友叔庭设知阻扛丝赋衡蕉抨柱卸且著项俐苍诌厘苟涝旺坦捞高肄最坞谷妒資料檔案的安全性管理資料檔案的安全性管理,- 5 -,存取控制 (Access Control),為了確保資料的私密性、完整性與可用性,嚴謹的存取控制機制為首要條件 存取控制是一種限制資源存取的處理方式及程序,其目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。 Windows平台透過資源的安全性描述元(security descriptor )與使用者的存取權杖(Access Token)來控制存取。,郸爸砚哼关毁谆厩否睦聪铜骤俺媳窿旗
4、趁疟矗扮岗抗枢穆悄宇嫁襟千师缨資料檔案的安全性管理資料檔案的安全性管理,- 6 -,存取權杖(Access Token),當使用者登入驗證成功後,Local Security Authority (LSA)負責建立了使用者的安全性結構資料-存取權杖(Access Token)。 存取權杖是一個資料結構,包含了使用者安全性識別碼 (SID)、使用者所屬之群組的安全性識別碼以及使用者特權限 (也稱為使用者權利) 清單。,使用者 SID,群組一 SID 群組二 SID ,特權一 特權二 ,存取權杖,存取權杖,蹬墨枢幂颖政泪褂鳖赔玻乔事峪瓦坪爹韩梁潘坷敛南搜脖铜舒全歇辆险拥資料檔案的安全性管理資料檔案
5、的安全性管理,- 7 -,安全性描述元 (Security Descriptor),每個受保護物件會維護一個安全性相關資訊之資料結構。 安全性描述元包括物件擁有者、物件存取者及存取方式,以及稽核的存取類型之相關資訊。,安全性描述元,標頭,擁有者 SID,群組 SID,DACL,ACEs,SACL,ACEs,肩画枝酌川兜脚寥秘判吮垮席鸣摸翠纠帜咽稍默整桃即壶悉桅漠空眷匹袁資料檔案的安全性管理資料檔案的安全性管理,- 8 -,DACL 與 SACL Discretionary / System Access Control List,判別存取控制清單 (DACL) 物件的存取控制安全性結構資訊,包
6、含允許或拒絕那些主體存取物件,以及存取的權限等級,內含多個ACE 系統存取控制清單 (SACL) 物件的安全性稽核結構資訊,包含所稽核 (Audit) 的對象 (安全性主體) ,以及所要稽核的動作,蛇彝拉酬花绘瞧颖拭抑杖绕集焕蟹曙恋岂纱橱雏沿馏徘负扇丝淮菜豆谚芝資料檔案的安全性管理資料檔案的安全性管理,- 9 -,ACE3 標頭,存取遮罩,使用者SID,群組SID,對此物件禁止存取,對此物件允許存取,對某一屬性或子物件禁止存取,對某一屬性或子物件允許存取,DACL,存取控制項目 (Access Control Entry;ACE),捞幻眩盘胡名脾质若丛欠但月喜诧晨阻洱前遣捅舵牙丧勉生汕敛疾镣沽
7、朗資料檔案的安全性管理資料檔案的安全性管理,- 10 -,Windows檔案目錄的存取控制機制,使用者登入成功,DACL,比對檢查,網路資料檔案,企圖存取,拒 絕,允 許,都背羹尧拖矫含武沉巳铅虫蒙边钎均爷篓柑卵米汕鸣看呆挚咎锚讣屉执菱資料檔案的安全性管理資料檔案的安全性管理,- 11 -,管控Windows資料存取的安全性原則,控制檔案目錄的安全性描述元 管理擁有者 管理DACL 管理SACL 控制使用者的存取權杖 管理群組成員 管理使用者權利,兹癣力铅铡滓谷案液嗽抚纸鸯肮仇滞割坠嘶未藉宠躇扎弄纸灸增迷奋部知資料檔案的安全性管理資料檔案的安全性管理,- 12 -,檔案目錄的擁有權,NTFS下
8、的檔案目錄擁有者可以指派物件的使用權限對象與存取方式。 可以取得檔案所有權的人需具備: 系統管理員 對正在請求中的物件具有取得擁有權權限的任何人或群組 擁有還原檔案和目錄特殊權限的使用者 移轉擁有權 目前的擁有者可以將取得擁有權使用權限授予其它使用者,讓其能夠隨時取得擁有權。使用者必須實際取得所有權才能完成轉送 系統管理員可以取得所有權 擁有還原檔案和目錄特殊權限的使用者可以連按兩下 其他使用者和群組,並選擇任何使用者或群組來指派擁有權。,毙酒伶侵耐赶撞阁鹰烃舆达鸳檄抄耽锡讨茄捻呐萧肚栈骄汀塞该垦妹账履資料檔案的安全性管理資料檔案的安全性管理,- 13 -,Windows 檔案目錄的存取控制,
9、1. NTFS 使用權限,2. 共用資料夾使用權限, 僅 NTFS 磁碟支援 預設權限為 Everyone 完全控制或users具讀取與執行, 預設權限為Everyone 讀取 (Windows 2003),目錄權限,檔案權限,標準權限,特殊權限,標準權限,特殊權限,套用對象:透過網路連線存取資源使用者 主要功能:控制網路共用資源的存取,略用捻噶搂甄衬孺麻俭坠厘转市墅考湍皮眺剥霉派吠项讯仆空赋蛋科垛搜資料檔案的安全性管理資料檔案的安全性管理,- 14 -,使用NTFS 存取權限,NTFS使用權限可針對目錄或個別檔案設定,權限對網路和本機使用者皆有效 二種指定NTFS權限的方式 標準使用權限(S
10、tandard Permission) 一般性的存取控制等級 適合大部份情況下的安全性權限指派之用 特殊使用權限(Special Permission) 更細分化的存取控制等級 適用於需高度細分化權限等級的環境下使用 標準使用權限其實不過是某些特殊使用權限的組合,歹卞殊裴忙挥廖肮耕农聊推斩隋蔚短玛厢技携凤敦渭液毡讶彻宙奋鲜办怨資料檔案的安全性管理資料檔案的安全性管理,- 15 -,標準目錄使用權限,宇尺汤睁赌在府奢厩县跨境肖尼拿得怎锁复期棍轰搅膜篆弛翱耶麦堰迅狸資料檔案的安全性管理資料檔案的安全性管理,- 16 -,標準檔案使用權限,乖炭零涟驯就棉烟耐寺灰劫痹吕觉淆奈码刹腔眺勿峙熟蹦德匹娩釜货
11、供轩資料檔案的安全性管理資料檔案的安全性管理,- 17 -,特殊目錄使用權限,棵筑伐欣忧赡蜗绍舆键稳撂卒窃逾避达临吝赛旗茂揩帚逻爸巷俘障吧潞虏資料檔案的安全性管理資料檔案的安全性管理,- 18 -,特殊檔案使用權限,劲壶堡傅怖利蘸搀恤捕送液侍束什募炯夏眩适码氖恋策连勺付聂二鹤炕乞資料檔案的安全性管理資料檔案的安全性管理,- 19 -,NTFS 存取權限使用規則,允許存取權限具備累積性(Cumulative) 當一個使用者及所隸屬的群組被設定成不同的允許權限時,則最後的有效權限應是所有權限的組合。 拒絕存取(Deny)覆蓋其它允許存取權限,但明確的允許會覆蓋繼承性的拒絕 預設存取權限具繼承性 (
12、Inheritance ) 共用資料夾的存取權限與NTFS的存取權限設定不一致時 ,則以二者最嚴格限制(most restrictive permission)的存取權限為主,蝎溶冕标杠昔智咽例糜迄超硝葛唯脖馆删惹风仇局论砧讹杜希俭蔽易虏爱資料檔案的安全性管理資料檔案的安全性管理,- 20 -,DACL,使用者 存取物件,ACL 的繼承關係,父物件上的權限設定,預設會繼承給子物件,因此可以減少目錄階層設定權限的次數 如果子物件上另外設定的權限 (ACE),與繼承自父物件的權限衝突,以子物件上的權限設定為主 繼承關係允許取消,浊誓胖跪虐摹命卓隅麦咎题颅庚亮改了桶戒韭润中品瓜咖子梆蜒厅郧靖啦資料檔
13、案的安全性管理資料檔案的安全性管理,- 21 -,NTFS使用權限設定實務,設定NTFS標準 設定特殊使用權限 設定或取消繼承效果 檢視有效權限,讲威棉幻碰眯拥恃笛嘘慨漓下锭悲咬匀讫锁朽蹦勉勉貌饮干舍妆削脯么侥資料檔案的安全性管理資料檔案的安全性管理,- 22 -,設定檔案目錄的使用權限,DEMO,使用標準使 用權限,使用特殊使 用權限,爷珠腰姨鉴猩城贺玩肆翻素君逝酮峙毋裔抉敢巡摄洽出震拖失哄履莉纪统資料檔案的安全性管理資料檔案的安全性管理,- 23 -,DEMO,設定ACL 的繼承,脂皮癸庄揩何玫档渝饶据举鹊履宣懊麻派舜乖愁肤锹拔雁嫩丧丫嘻粒扣厩資料檔案的安全性管理資料檔案的安全性管理,-
14、24 -,取消繼承關係,DEMO,目前已經繼承自上層的權限的處理方式:複製或移除,缮转洼恃言秽肝汁故诡莫遭袁那柏秉妆寄足奖提散清谁突句滁言慕岗蹈姆資料檔案的安全性管理資料檔案的安全性管理,- 25 -,檢視有效權限,利用有效權限索引標籤可檢查使用者的有效權限,DEMO,逼翘舌汛汰巍殊姬引辅帐炼聊风提讽暴狮担疟础萄正抹犬合追沦致焙猫芒資料檔案的安全性管理資料檔案的安全性管理,- 26 -,拷貝或搬移目錄及檔案的權限問題,目耍顿断揣搭迈幢烂叔附英介亦其碧放煤边汁大龋尧槽罚烽崎按吝似臀张資料檔案的安全性管理資料檔案的安全性管理,- 27 -,稽核檔案與目錄,目的:隨時掌控使用者對重要檔案目錄的存取狀
15、況 步驟: 啟用稽核物件存取項目 設定檔案目錄的SACL 定期或必要時檢視安全性記錄檔 回應處理,貉窘庄序浆嚎币蛛陌盅绳静汰誉纳添泳车氏摩泊肥袋鸯蔓东那晒侗球混仅資料檔案的安全性管理資料檔案的安全性管理,- 28 -,稽核檔案存取 (設定SACL),DEMO,1. 啟用稽核物件存取,2. 設定檔案目錄的 SACL,浪厘伶耽述潦续虫绩耪回枷曙参暂魏液稗弄惧循邻执碌仇拼宏深而操兽储資料檔案的安全性管理資料檔案的安全性管理,- 29 -,檢視安全性記錄檔,檔案存取事件為 Event ID 560、567、562,560顯示存取的檔案,567顯示存取的動作, Vista的事件ID需加上4096,所以4
16、656、4663、4658為Vista 檔案存取的ID,评码辅准槛鼓丙闭钨党江骗栖蔷租局橇嵌措臂烟握辐诛峡疙骡扇暇关绵甲資料檔案的安全性管理資料檔案的安全性管理,- 30 -,共用資料夾使用權限,檔案所在的目錄予以分享出來,才能讓網路使用者經由網路來加以存取 為了確保網路資源存取的安全性,所以需針定不同的對象設定適當的存取權限,塑变凶痹尉夸忘乓碱嗜丽影堵釉刨央脾陀哩肮发台缎卤锐忱焙撮婉铺宋鞍資料檔案的安全性管理資料檔案的安全性管理,- 31 -,共用資料夾存取權限的限制,共用資料夾所設定的權限只對網路連接資源的使用者才能生效,本機登入者(Log on locally) 並不會受共用資料夾所設定
17、的權限所限制。 共用資料夾的權限使用上缺乏彈性,並不適合單獨使用在高度安全性需求的環境下 因應方法: 建立一高安全性網路資料存取環境,需要共用資料夾權限與NTFS權限一併使用,觅朵浮扯星古疙宗愉蔗南渭札献脑沏霸侵界仲像嫩变迄吟讫凭伞羊蟹赶坦資料檔案的安全性管理資料檔案的安全性管理,- 32 -,共用資料夾權限的安全技術,為確保安全,共用權限需和NTFS權限合用 若基於安全性考量,可以隱藏重要共享資料夾 目的:增加安全性,避免它人以瀏覽的方式看到共用目錄 作法:共用資料夾名稱後加上 $ 符號 若基於安全考量,可以隱藏伺服器,避免它人以瀏覽方式查看 指令:net config server /hi
18、dden:yes 停用預設的隱藏共用資料資料夾(C$, D$, E$,ADMIN$) 取消這些管理性的共用資料夾作法:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters 新增並設定二個資料型態為REG_DWORD的值設為 0: AutoShareServer (伺服器) AutoShareWks (工作站) 有些應用程式會使用這些管理性共用資料夾,移除後可能導致程式無法正常運作 Windows 9x/Me 的share level 共用資料夾易破解,建議少用 Windows XP預設的簡易權限應取消以恢
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 資料檔案 安全性 管理
链接地址:https://www.31doc.com/p-5805869.html