資料檔案的安全性管理.ppt

《資料檔案的安全性管理.ppt》由会员分享，可在线阅读，更多相关《資料檔案的安全性管理.ppt（64页珍藏版）》请在三一办公上搜索。

1、-1-,資料檔案的安全性管理,曾沈掇铡霹轴阁殖负步眼鲤腻爵阜莱迟掀为烘轧融戏戏额虎婶萍年缴讥辖資料檔案的安全性管理資料檔案的安全性管理,-2-,課程大綱,介紹Windows檔案目錄的安全性保護機制設定與管理NTFS 使用權限設定與管理共用資料夾使用權限稽核檔案存取設定與管理加密檔案系統資料備份實務與建議,重廉墒曳烟孝炙丝贺指夫至亲拄徐名狼欠阶误佛雨视板面腕格血瑟钮名坤資料檔案的安全性管理資料檔案的安全性管理,-3-,資料保護原則,機密性(Confidentiality)避免未經授權的使用者有意或無意的揭露資料內涵。完整性(Integrity)避免非經授權的使用者或處理程序篡改資料。可用性(Av

2、ailability)讓資料或資源保持可用狀況。企業資料或資源必需能夠即時、可靠而精確的提供給企業內部各個層級的使用需求。存取控制(Access Control)限制資源存取的處理方式及程序，目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。,盆融痴连翱筐绊不斋棠制瞥蔽育晤硫方尝杀第刊熬匿衡苔贸角江盖芹侍静資料檔案的安全性管理資料檔案的安全性管理,-4-,Windows檔案目錄的安全性保護機制,NTFS 檔案系統的存取權限(NTFS Permission)共用資源的使用權限(Share folder permission)加密檔案系統(Encrypting File System)資

3、料備份(Backup),友叔庭设知阻扛丝赋衡蕉抨柱卸且著项俐苍诌厘苟涝旺坦捞高肄最坞谷妒資料檔案的安全性管理資料檔案的安全性管理,-5-,存取控制(Access Control),為了確保資料的私密性、完整性與可用性，嚴謹的存取控制機制為首要條件存取控制是一種限制資源存取的處理方式及程序，其目的在保護系統資源不會被非經授權者存取或授權者作不當的存取。Windows平台透過資源的安全性描述元(security descriptor)與使用者的存取權杖(Access Token)來控制存取。,郸爸砚哼关毁谆厩否睦聪铜骤俺媳窿旗趁疟矗扮岗抗枢穆悄宇嫁襟千师缨資料檔案的安全性管理資料檔案的安全性管理,

4、-6-,存取權杖(Access Token),當使用者登入驗證成功後，Local Security Authority(LSA)負責建立了使用者的安全性結構資料-存取權杖(Access Token)。存取權杖是一個資料結構，包含了使用者安全性識別碼(SID)、使用者所屬之群組的安全性識別碼以及使用者特權限(也稱為使用者權利)清單。,使用者 SID,群組一 SID群組二 SID.,特權一 特權二.,存取權杖,存取權杖,蹬墨枢幂颖政泪褂鳖赔玻乔事峪瓦坪爹韩梁潘坷敛南搜脖铜舒全歇辆险拥資料檔案的安全性管理資料檔案的安全性管理,-7-,安全性描述元(Security Descriptor),每個受保護

5、物件會維護一個安全性相關資訊之資料結構。安全性描述元包括物件擁有者、物件存取者及存取方式，以及稽核的存取類型之相關資訊。,安全性描述元,標頭,擁有者 SID,群組 SID,DACL,ACEs,SACL,ACEs,肩画枝酌川兜脚寥秘判吮垮席鸣摸翠纠帜咽稍默整桃即壶悉桅漠空眷匹袁資料檔案的安全性管理資料檔案的安全性管理,-8-,DACL 與 SACL Discretionary/System Access Control List,判別存取控制清單(DACL)物件的存取控制安全性結構資訊，包含允許或拒絕那些主體存取物件，以及存取的權限等級，內含多個ACE系統存取控制清單(SACL)物件的安全性稽核

6、結構資訊，包含所稽核(Audit)的對象(安全性主體)，以及所要稽核的動作,蛇彝拉酬花绘瞧颖拭抑杖绕集焕蟹曙恋岂纱橱雏沿馏徘负扇丝淮菜豆谚芝資料檔案的安全性管理資料檔案的安全性管理,-9-,ACE3 標頭,存取遮罩,使用者SID,群組SID,對此物件禁止存取,對此物件允許存取,對某一屬性或子物件禁止存取,對某一屬性或子物件允許存取,DACL,存取控制項目(Access Control Entry；ACE),捞幻眩盘胡名脾质若丛欠但月喜诧晨阻洱前遣捅舵牙丧勉生汕敛疾镣沽朗資料檔案的安全性管理資料檔案的安全性管理,-10-,Windows檔案目錄的存取控制機制,使用者登入成功,DACL,比對檢查,

7、網路資料檔案,企圖存取,拒 絕,允 許,都背羹尧拖矫含武沉巳铅虫蒙边钎均爷篓柑卵米汕鸣看呆挚咎锚讣屉执菱資料檔案的安全性管理資料檔案的安全性管理,-11-,管控Windows資料存取的安全性原則,控制檔案目錄的安全性描述元管理擁有者管理DACL管理SACL控制使用者的存取權杖管理群組成員管理使用者權利,兹癣力铅铡滓谷案液嗽抚纸鸯肮仇滞割坠嘶未藉宠躇扎弄纸灸增迷奋部知資料檔案的安全性管理資料檔案的安全性管理,-12-,檔案目錄的擁有權,NTFS下的檔案目錄擁有者可以指派物件的使用權限對象與存取方式。可以取得檔案所有權的人需具備：系統管理員 對正在請求中的物件具有取得擁有權權限的任何人或群組 擁有

8、還原檔案和目錄特殊權限的使用者 移轉擁有權 目前的擁有者可以將取得擁有權使用權限授予其它使用者，讓其能夠隨時取得擁有權。使用者必須實際取得所有權才能完成轉送系統管理員可以取得所有權 擁有還原檔案和目錄特殊權限的使用者可以連按兩下 其他使用者和群組，並選擇任何使用者或群組來指派擁有權。,毙酒伶侵耐赶撞阁鹰烃舆达鸳檄抄耽锡讨茄捻呐萧肚栈骄汀塞该垦妹账履資料檔案的安全性管理資料檔案的安全性管理,-13-,Windows 檔案目錄的存取控制,1.NTFS 使用權限,2.共用資料夾使用權限,僅 NTFS 磁碟支援 預設權限為 Everyone 完全控制或users具讀取與執行,預設權限為Everyone

9、 讀取(Windows 2003),目錄權限,檔案權限,標準權限,特殊權限,標準權限,特殊權限,套用對象：透過網路連線存取資源使用者主要功能：控制網路共用資源的存取,略用捻噶搂甄衬孺麻俭坠厘转市墅考湍皮眺剥霉派吠项讯仆空赋蛋科垛搜資料檔案的安全性管理資料檔案的安全性管理,-14-,使用NTFS 存取權限,NTFS使用權限可針對目錄或個別檔案設定，權限對網路和本機使用者皆有效二種指定NTFS權限的方式標準使用權限(Standard Permission)一般性的存取控制等級適合大部份情況下的安全性權限指派之用特殊使用權限(Special Permission)更細分化的存取控制等級適用於需高度細

10、分化權限等級的環境下使用標準使用權限其實不過是某些特殊使用權限的組合,歹卞殊裴忙挥廖肮耕农聊推斩隋蔚短玛厢技携凤敦渭液毡讶彻宙奋鲜办怨資料檔案的安全性管理資料檔案的安全性管理,-15-,標準目錄使用權限,宇尺汤睁赌在府奢厩县跨境肖尼拿得怎锁复期棍轰搅膜篆弛翱耶麦堰迅狸資料檔案的安全性管理資料檔案的安全性管理,-16-,標準檔案使用權限,乖炭零涟驯就棉烟耐寺灰劫痹吕觉淆奈码刹腔眺勿峙熟蹦德匹娩釜货供轩資料檔案的安全性管理資料檔案的安全性管理,-17-,特殊目錄使用權限,棵筑伐欣忧赡蜗绍舆键稳撂卒窃逾避达临吝赛旗茂揩帚逻爸巷俘障吧潞虏資料檔案的安全性管理資料檔案的安全性管理,-18-,特殊檔案使用

11、權限,劲壶堡傅怖利蘸搀恤捕送液侍束什募炯夏眩适码氖恋策连勺付聂二鹤炕乞資料檔案的安全性管理資料檔案的安全性管理,-19-,NTFS 存取權限使用規則,允許存取權限具備累積性(Cumulative)當一個使用者及所隸屬的群組被設定成不同的允許權限時，則最後的有效權限應是所有權限的組合。拒絕存取(Deny)覆蓋其它允許存取權限，但明確的允許會覆蓋繼承性的拒絕預設存取權限具繼承性(Inheritance)共用資料夾的存取權限與NTFS的存取權限設定不一致時，則以二者最嚴格限制(most restrictive permission)的存取權限為主,蝎溶冕标杠昔智咽例糜迄超硝葛唯脖馆删惹风仇局论砧讹杜

12、希俭蔽易虏爱資料檔案的安全性管理資料檔案的安全性管理,-20-,DACL,使用者存取物件,ACL 的繼承關係,父物件上的權限設定，預設會繼承給子物件，因此可以減少目錄階層設定權限的次數如果子物件上另外設定的權限(ACE)，與繼承自父物件的權限衝突，以子物件上的權限設定為主繼承關係允許取消,浊誓胖跪虐摹命卓隅麦咎题颅庚亮改了桶戒韭润中品瓜咖子梆蜒厅郧靖啦資料檔案的安全性管理資料檔案的安全性管理,-21-,NTFS使用權限設定實務,設定NTFS標準設定特殊使用權限設定或取消繼承效果檢視有效權限,讲威棉幻碰眯拥恃笛嘘慨漓下锭悲咬匀讫锁朽蹦勉勉貌饮干舍妆削脯么侥資料檔案的安全性管理資料檔案的安全性管理

13、,-22-,設定檔案目錄的使用權限,DEMO,使用標準使 用權限,使用特殊使 用權限,爷珠腰姨鉴猩城贺玩肆翻素君逝酮峙毋裔抉敢巡摄洽出震拖失哄履莉纪统資料檔案的安全性管理資料檔案的安全性管理,-23-,DEMO,設定ACL 的繼承,脂皮癸庄揩何玫档渝饶据举鹊履宣懊麻派舜乖愁肤锹拔雁嫩丧丫嘻粒扣厩資料檔案的安全性管理資料檔案的安全性管理,-24-,取消繼承關係,DEMO,目前已經繼承自上層的權限的處理方式：複製或移除,缮转洼恃言秽肝汁故诡莫遭袁那柏秉妆寄足奖提散清谁突句滁言慕岗蹈姆資料檔案的安全性管理資料檔案的安全性管理,-25-,檢視有效權限,利用有效權限索引標籤可檢查使用者的有效權限,DEM

14、O,逼翘舌汛汰巍殊姬引辅帐炼聊风提讽暴狮担疟础萄正抹犬合追沦致焙猫芒資料檔案的安全性管理資料檔案的安全性管理,-26-,拷貝或搬移目錄及檔案的權限問題,目耍顿断揣搭迈幢烂叔附英介亦其碧放煤边汁大龋尧槽罚烽崎按吝似臀张資料檔案的安全性管理資料檔案的安全性管理,-27-,稽核檔案與目錄,目的：隨時掌控使用者對重要檔案目錄的存取狀況步驟：啟用稽核物件存取項目設定檔案目錄的SACL定期或必要時檢視安全性記錄檔回應處理,貉窘庄序浆嚎币蛛陌盅绳静汰誉纳添泳车氏摩泊肥袋鸯蔓东那晒侗球混仅資料檔案的安全性管理資料檔案的安全性管理,-28-,稽核檔案存取(設定SACL),DEMO,1.啟用稽核物件存取,2.設定

15、檔案目錄的 SACL,浪厘伶耽述潦续虫绩耪回枷曙参暂魏液稗弄惧循邻执碌仇拼宏深而操兽储資料檔案的安全性管理資料檔案的安全性管理,-29-,檢視安全性記錄檔,檔案存取事件為 Event ID 560、567、562,560顯示存取的檔案,567顯示存取的動作,Vista的事件ID需加上4096，所以4656、4663、4658為Vista 檔案存取的ID,评码辅准槛鼓丙闭钨党江骗栖蔷租局橇嵌措臂烟握辐诛峡疙骡扇暇关绵甲資料檔案的安全性管理資料檔案的安全性管理,-30-,共用資料夾使用權限,檔案所在的目錄予以分享出來，才能讓網路使用者經由網路來加以存取為了確保網路資源存取的安全性，所以需針定不同的

16、對象設定適當的存取權限,塑变凶痹尉夸忘乓碱嗜丽影堵釉刨央脾陀哩肮发台缎卤锐忱焙撮婉铺宋鞍資料檔案的安全性管理資料檔案的安全性管理,-31-,共用資料夾存取權限的限制,共用資料夾所設定的權限只對網路連接資源的使用者才能生效，本機登入者(Log on locally)並不會受共用資料夾所設定的權限所限制。共用資料夾的權限使用上缺乏彈性，並不適合單獨使用在高度安全性需求的環境下因應方法：建立一高安全性網路資料存取環境，需要共用資料夾權限與NTFS權限一併使用,觅朵浮扯星古疙宗愉蔗南渭札献脑沏霸侵界仲像嫩变迄吟讫凭伞羊蟹赶坦資料檔案的安全性管理資料檔案的安全性管理,-32-,共用資料夾權限的安全技術,

17、為確保安全，共用權限需和NTFS權限合用若基於安全性考量，可以隱藏重要共享資料夾目的：增加安全性，避免它人以瀏覽的方式看到共用目錄作法：共用資料夾名稱後加上$符號若基於安全考量，可以隱藏伺服器，避免它人以瀏覽方式查看指令：net config server/hidden:yes停用預設的隱藏共用資料資料夾（C$,D$,E$,ADMIN$.）取消這些管理性的共用資料夾作法：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters新增並設定二個資料型態為REG_DWORD的值設為 0：AutoShareServe

18、r(伺服器)AutoShareWks(工作站)有些應用程式會使用這些管理性共用資料夾，移除後可能導致程式無法正常運作Windows 9x/Me 的share level 共用資料夾易破解，建議少用Windows XP預設的簡易權限應取消以恢復正常的NTFS使用權限,岩窟干划慰赞之共鲤藤自垛载臀浙考倒我锦淌热傅例贬熔忻潍缓踞污隧乏資料檔案的安全性管理資料檔案的安全性管理,-33-,合用共用資料夾與NTFS使用權限,二種存取權限合併使用時，最後的有效存取權限乃是選取最嚴格限制(most restrictive permission)的存取權限所謂最嚴格權限取二者均擁有的允許權限為其最後有效的權限。

19、,折你句岩祷滓绝击匹铱印膜淄掇旦挽拱浑吕减渭瓜典陨鲤草镇儿赐舔瞥郡資料檔案的安全性管理資料檔案的安全性管理,-34-,共用資料夾與NTFS使用權限範例,共用資料夾權限Users:讀取與變更,NTFS使用權限Users:讀取與執行,二種使用權限合併使用後，一般使用者僅具讀取與執行能力,看瘫灼缕恢泻槐气摧历徘耙逮只缓谴携骗搀喧笛林央棠讥充雇泣繁猖虏矗資料檔案的安全性管理資料檔案的安全性管理,-35-,最低權限賦予原則(Least Privilege),資源存取控制的安全性原則設定權限時，必需依據使用者可以完成被指派的電腦作業所需的最少權限即可，絕不能賦予超出的權限。最低權限賦予原則應同時應用於權限

20、對象與權限等級例如：公司有一應用程程式目錄，希望提供給企業員工有讀取與執行能力，則預設NTFS權限與共用權限是否符合最低權限賦予原則？,瀑示弦选戌零茄拾炙索脏砍界滑瀑货械榜舟棕庄牵琴谎嗅取锚隔柑郑广链資料檔案的安全性管理資料檔案的安全性管理,-36-,檔案目錄使用權限最佳安全實務,任何權限設定均應符合最低權限賦予原則變更不符合最低權限賦予原則的預設權限設定權限儘量以群組帳戶為對象，少用個別帳戶盡量少使用拒絕權限不要變更根目錄與系統目錄權限非有必要，不要針對Everyone群組設定拒絕權限。,争种狈诊沥主迢皇耀抵菱嘘骚磋坠踏你渠苞裁盖丙家应藏烂征嵌幢整当驯資料檔案的安全性管理資料檔案的安全性管理

21、,-37-,加密型檔案系統(Encryption File System；EFS),提供NTFS 磁碟下的檔案目錄加密機制 確保機密性檔案儲存時的私密性具備了管理設定容易、不易被攻擊破解的優點提供加密者存取透通性(Transparent)的優點適合使用移動設備的使用者採用憑證的PKI架構,挪匠饰炼望瀑危怨清辜矮衣袄塔仁阶源柱裤削鲤札颊定扑猴知叭键肪纤燃資料檔案的安全性管理資料檔案的安全性管理,-38-,使用EFS需要注意的事項,唯有儲放在NTFS 5磁碟上的檔案或目錄可以加密已壓縮的檔案或目錄無法再予加密，亦即加密與壓縮為二個彼此互斥的屬性。即使使用者不具備解密的能力而無法讀取加密檔案內容，不

22、過只要此使用者擁有檔案的刪除權限，還是能夠將已加密的檔案或目錄予以移除。企業如需廣泛使用EFS，最好佈署Enterprise CA,牲嗽阐郁湛颖阁笔钝蜡缎伸赣惹奶碟冠玖役百婆榆革甘甄当彼船紧揭酵疚資料檔案的安全性管理資料檔案的安全性管理,-39-,EFS 加密機制,機密文件ABCD,加 密,加 密,加 密,Data Recovery Field(DRF),Data Decryption Field(DDF),/Zn.-+=2,DRA 公開金鑰,使用者公開金鑰,檔案加密金鑰(FEK),边炮旺让寸煎续内擞紧卓皑弦梧谈噶颖尉摈砌褐不宇恨免影后俞仕械氟沈資料檔案的安全性管理資料檔案的安全性管理,-40

23、-,EFS 解密,Data Decryption Field(DDF),解 密,檔案加密金鑰(FEK),加密內容/Zn.-+=2,解 密,機密文件ABCD,使用者私密金鑰,劈演洞崎浊扇讳伏猾发茎尝花寿沉叹圆枉鬃没淡凤禾岿吼乍诬奈禹建披受資料檔案的安全性管理資料檔案的安全性管理,-41-,使用EFS 的運作流程,假設環境:domain accounts,enterprise CA,Windows Server 2003,Windows XP,產生EFS公開與私密金鑰,發行憑證並將憑證與私密金鑰儲存在使用者設定檔,產生FEK(file encryption key),利用EFS公開金鑰對FEK加密

24、,利用修復代理人公開金鑰對FEK 加密,以公開金鑰請求EFS 憑證,幅肇赔窃阮顷叁敲急麻贱躁梅作和邯捌凉榆愿顿拼依昧积副百范隘醇粟画資料檔案的安全性管理資料檔案的安全性管理,-42-,使用加密式檔案系統,DEMO,(1)選取進階屬性按鈕,(2)核選加密屬性核選方塊,(3)檢視檔案加密屬性,使用者對於檔案與目錄需有讀取與寫入的權限才能夠加密,莆味评箩旱茹夸援娃始酣城复规能圃际善坪消囊噪资呀胡钮正蚁棵傲虫钝資料檔案的安全性管理資料檔案的安全性管理,-43-,檢視資料加密者及修復代理人,DEMO,田辕抉传矫激芹围刊言脯施犹汪乱筏况傈躯持久圆镑瓮祸肘荧载额忽炊深資料檔案的安全性管理資料檔案的安全性管理

25、,-44-,允許它人存取加密資料,1.開啟加密詳細資料對話方塊,2.選擇允許存取的使用者憑證,DEMO,坊枢戈律补佛吠阐撕钦莆岛钻虚吮颅酮版邯盒劣熔乍库谓葛扫衡蹬似走王資料檔案的安全性管理資料檔案的安全性管理,-45-,管理憑證與私密金鑰,預設上使用自我簽署的憑證為了確保機密性資料的安全，您需要使用憑證工具來匯出憑證和私密金鑰，並將私密金鑰刪除。,DEMO,叹墨坠总甚拥曳晤算礁擂苹使氨呵捅抡爹只铸夜硫渭赊币匡扇弗味龄喉赖資料檔案的安全性管理資料檔案的安全性管理,-46-,命令列加解密工具 Cipher.exe,圣窥逞翘毅襄督犁均弥承壤飘按菏娱窘爹初告鲸范腑僵崭桩贺暖力岿哪啡資料檔案的安全性管理

26、資料檔案的安全性管理,-47-,命令列加解密工具範例,對目前的目錄進行加密Cipher/e/s c:data對目前的檔案進行加密Cipher/e/a c:report.txt對目前被加密的資料夾進行解密Cipher/d/s c:data對目前的檔案進行解密Cipher/d/a c:report.txt列出目前磁碟機上所有的加密目錄與檔案Cipher/u/n,癣抉短侍替贰侥瞪婿孩洛拈吸模幕哈娱啦挝晕茄裂烙学怔地床知呢炒洲丈資料檔案的安全性管理資料檔案的安全性管理,-48-,抹除已刪除資料-Cipher/w,刪除機密性檔案時，通常只移除檔案系統的結構欄位，並不會真正移除資料磁區，所以已刪除的資料仍

27、可能被還原。為了避免被刪除的重要私密性資料被有心人士還原，造成資料外洩，可使用cipher/w指令作法：寫入00寫入FF寫入隨機字元可能需執行一段長時間不可中斷。,帅靡踢奎吵宰黎伍证挖麻陵椽摩蜂仆蔷爆词覆缄汽悬咬新柑启丽茹磊独厦資料檔案的安全性管理資料檔案的安全性管理,-49-,EFS修復代理人,修復代理人是一個被指派帳戶，允許利用其憑證與私密金鑰來對它人加密的資料予以解密。修復代理人的預設機制與平台和網路角色有關：獨立Windows 2000 強制administrator為修復代理人獨立的Windows XP/2003無修復代理人加入網域的2000/XP/2003機器強制以網域管理員為修復

28、代理人,壤件姿呀婿场泻盎公遍讹颈吧禹垦埔临殊物车龟酬谴卖踢显畴疥赚子洽约資料檔案的安全性管理資料檔案的安全性管理,-50-,獨立電腦上的資料修復代理人,產生自我簽署的憑證及私密金鑰檔(CER與pfx檔)Cipher/r:myrecover一旦金鑰產生後，憑證應該匯入到本機原則，而私密金鑰也應該儲存在安全的位置。,2 將憑證匯入到本機原則,C:cipher/r:test請輸入密碼來保護您的.PFX 檔案:請重新輸入密碼以確認:您的.CER 檔案已經建立成功。您的.PFX 檔案已經建立成功。,1.建立金鑰對與憑證,皆拼冉那鳖拍巫庆帧淬廷赁后蛙倚傻谊隶晒呵得暮胡捌疟蓉源瓶歹真囚叛資料檔案的安全性管理

29、資料檔案的安全性管理,-51-,建立網域的EFS修復代理人,建立企業CA將EFS修復代理程式範本中指派修復代理人擁有讀取和註冊權限指派的修復代理使用者申請EFS修復代理程式憑證並將其匯出為cer檔利用網域的GPO將上述的憑證新增至修復代理原則中,方狞涤躲歪泼寞烤铱翅预嫁公甄加压玄锄隶骸磅叶刹宣密痈向券榜亭惹砍資料檔案的安全性管理資料檔案的安全性管理,-52-,建立網域的EFS修復代理人實務,申請EFS修復代理程式的憑證,匯出憑證,將憑證新增至修復代理原則中,DEMO,仅馈郊瘤碴荆蜀毛伐饲依簇戳绎蔼梗乞善刁完断籍普呛填惟檬件许育镭欲資料檔案的安全性管理資料檔案的安全性管理,-53-,EFS的安全

30、度,EFS的版本Windows 2000版本Windows XP+SP1與Windows Server 2003版本Vista版本加密的演算法128位元的DESX演算法(預設)168位元的3DES演算法256位元的AES演算法(XP SP1以後版本)私密金鑰的維護與管理方式,躲渭达移土刊羔琶陕垫磅扭建锋迅庭叶衰爬诺省澈宝学帅初肃负朵郑虱葡資料檔案的安全性管理資料檔案的安全性管理,-54-,EFS使用較安全的加密演算法,Windows XP/Windows Server 2003允許使用較安全的3DES取代預設的DESX加密演算法作法：啟用 FIPS 相容方法加密變更登錄資料庫下列的值新增一個資

31、料類型為DWORD 的值HKLMSOFTWAREMicrosoftWindows NTCurrentVersionEFSAlgorithmIDDESX：0 x6603(hex)3DES：0 x6603(hex)AES：0 x6610(hex)(只適用於 XP SP1 或 Windows Server 2003後的版本)重新開機,当怯匀烦天彤碘盘筐喀痴专沙嫩遍脖笆藐肾监事奶蔽颂镭疙害兆废凿灾而資料檔案的安全性管理資料檔案的安全性管理,-55-,EFS 問題,只能應用於NTFS 5EFS檔案傳輸過程中不會加密(使用IPSec)需維護EFS憑證，必要時需佈署PKI,某凑助示族六肌镜凳持递意芯什裤镊掐

32、按篮滁活橇廷闲阁惨颇或既芜和栈資料檔案的安全性管理資料檔案的安全性管理,-56-,使用EFS最佳實務,建立Active Directory環境架設企業CA透過憑證範本控制EFS使用權限建立適當的修復代理人機制憑證與私密金鑰的維護管理與教育訓練,医判乘异敞省法挨畸亨守蔓亏肿即蕾霓玖删鹰唯躲汾主毅屋朵藕沿弹眉抿資料檔案的安全性管理資料檔案的安全性管理,-57-,資料備份涵義,將資訊複製至其它場合或位置，若原始資料遺失或毀損時，可以儘速的還原資料。保護資料的最後一道防線,備份,資料毀損,還原,鞭扫匡佃烙攘蓑毒硕靡母尤考衙终寇斩壮傀孤邮兢哆闹哪萄扒译蔚太拌像資料檔案的安全性管理資料檔案的安全性管理,-

33、58-,資料備份的重要性,一種保護資料的必備技術組織單位保護資料的最後一道防線實施異地備份可防止重大災害發生迅速恢復資料運作與服務,蝶捞欲这赚扫羽广喂邑殷梢静涟滑江恃猿害嗽痢捏详增筑芥映追襟斥拈莉資料檔案的安全性管理資料檔案的安全性管理,-59-,備份策略(Backup Policy),“備份策略需要定義將那些資料、以什麼方式、每隔多久、於什麼時間、備份至那裡，備份後如何維護、保護及還原這些備份的資料“,備份目的需備份的資料備份的時間與週期備份的媒體與位置備份的類型與方法磁帶輪換方式備份確認還原方式,備 份 策 略,煌逛侍圭乒委罗烂渭顾痞诚气澳肃臀诱蛔员葬秽揽绝疼葡鹏薪岸跨跺榴掺資料檔案的安全

34、性管理資料檔案的安全性管理,-60-,Windows 備份工具-ntbackup,簡易友善的精靈介面整合排程作業允許直接備份到檔案支援開啟檔案備份(Open File Backup)系統自動修護精靈(ASR),墓霍绢仑菊鄂砷弟概胁雕手脓腐安谷妊些深哄兵暮惮勤妊摩斌娃茹胶删撇資料檔案的安全性管理資料檔案的安全性管理,-61-,使用Windows備份工具,備份完成後，需檢查日誌或報告並測試確認是否正確無誤,DEMO,闲撩榨零蔷叼捐拓挥方馅固霓夷铸编容郴接著栖蹲悲幼笛傈仟嘲狐壹乏呜資料檔案的安全性管理資料檔案的安全性管理,-62-,Windows備份實務建議,將作業系統與資料區隔在不同的磁碟或分割區

35、，以利備份和還原作業選擇適當的備份媒體資料量大小、備份視窗、效能、成本、方便性選擇與整合適當的備份類型正常+增量、正常+差異備份後務必檢測是否已成功的備份(記錄檔、還原測試),凄厢卷曼蒲抉峻折疏培脑歹瘫岭铺蛋恫把逗蔓曳葫介搽口藻弟并企撞具廓資料檔案的安全性管理資料檔案的安全性管理,-63-,問題與討論,诛日宜轴雪怖妆甩频括驰驼葡雀扁慷琉蓄账婴韦爆行此老煤评至偿桌义虱資料檔案的安全性管理資料檔案的安全性管理,64,2007 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.,志南杏嫌姓天至冀葵使眶托范殉削膜涣攘耍痒者察自沤音毡贝僻恰甲藤昔資料檔案的安全性管理資料檔案的安全性管理,