管理授權中的資料安全性與資料可用性
.gif)
本頁索引
本文的重點
第一部份:資料安全性與資料可用性的目標
第二部份:資料可用性
第三部份:資料安全性
其他資訊來源
作者: Kenneth Pfeil
撰稿者: David Swartzendruber
Microsoft Solutions Framework
企業安全的最佳實例
附註 本白皮書是一系列文件之一。〈Best Practices for Enterprise Security〉 (https://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.mspx) 包含此系列所有文章的完整清單。另請參閱〈Security Entities Building Block Architecture〉 (https://www.microsoft.com/technet/security/bestprac/bpent/sec2/secentbb.mspx)。
本文的重點
本文是講述在管理授權中有關資料安全性與資料可用性的要點概觀。 想要達到絕對安全的環境是不實際的想法;因為沒有任何環境是無法侵入的。 確實,您的環境愈複雜,就愈難有效率地維護它的安全。 以其他白皮書呈現的基本原則,加上本文中包含的資料,您就可以建立一個更安全的環境。
每一套安全性計劃都依賴許多的因數,包括原則、預算、人員、技術及組織的實務面。 這些要素中,每一個都和成本相關 (包括財務和無形的價值),因此在實施之前,務必要審慎思考。 在管理授權中,整個企業內容易出錯的地方極多。 因此特別的注意和謹慎不僅是必要,同時也是安全運算環境的先決要件。
在本專題中會交互使用「企業環境」和「管理授權」,因為這兩者的基本原則相同。 本專題中包含四個部份:
- 資料安全性與資料可用性的特定目標。 此章節概述在企業環境運算中的各種職責目標。
- 資料可用性。 在企業中使資料維持可用的定義及建議。
- 資料安全性。 在企業運算環境中維護資料安全的定義及特定方法。同時也簡介防火牆、入侵偵測、數位鑑定,包括辨識/修復入侵的特定步驟,以及如何取得和保存此證據,作進一步的分析及 (或) 起訴之用。
- 系統管理案例與最佳法則。 各種用來確保資料可用性及資料安全性的實際最佳法則。
本專題包含的安全性資訊來自 Microsoft® Consulting Services 最佳法則及理論;著名的管理標準機構及著名的私人單位 (如 ICSA、CSI、ISSA、SANS、ISC2 及 IETF) 已確立的技術與建議。
第一部份:資料安全性與資料可用性的目標
給使用者
使用者在企業環境中的職責是建立所見之安全性法則的基礎。 俗話說,一條鏈條的強度只是與其最弱的環扣一樣強。 一般的使用者根本沒有安全性的觀念。 甚至認為安全性是其他人的工作。 但是事實上卻完全相反;安全性是每一個人的事。 如果某位使用者的密碼已經數個月未變更,或者和其帳戶名稱相同, 從較高專用權的觀念來看,入侵並控制整個環境會變成駭客的明顯攻擊機會。 時間對駭客是有利的。即使組織內有設立一些原則來防止這種情況發生,但是仍有可能會發生。 記得,使用者也需要回家休息。 如果他們在家工作的話,企業的環境就會變得更大。
給 IT/系統人員
對某些人來說,IT/系統人員具有負責實施安全性原則的艱難工作, 以及執行本文稍後說明的工作。對其他人而言,它可能是系統管理員角色的延伸。 這可能和您的組織以及貴公司定義的預算與工作功能範圍等都不一樣。
給系統管理員
系統管理員的工作與職責繁多,無法在此一一列出。 他們的部分工作包括在此提到的項目,有些人的職責則更延伸到包括在企業、網域、站台或組織層級中, 所有會呼叫、閃爍以及發出嗶聲的所有事情之顧問、教練以及護衛者的角色。 這些職責的特定層次在公司對公司,或甚至是組織對組織之間都不同。
第二部份:資料可用性
何謂資料可用性?
字典中將可用性定義成「存在並且隨時可用;可以取得」。 因此您可能會假設「資料可用性」是指可以隨時存取和取得您的資料。 但是在企業環境中並沒有這麼容易。 還有許多因素需要考慮到:
- 裝置與媒體網路連線之間的可用頻寬
- 高可用性及其本身的安全性和可存取性機制
- 要提供使用之資料的優先順序與類型
- 修復角色與職責
- 檔案系統類型與存取層級
- 儲存/擷取裝置或媒體的類型,包括硬體與軟體
- 負責實體與受影響實體之間的服務等級協定
- 受影響機制的營運成本
- 嚴重損壞復原/事業回復計劃 (BRP) (BRP 會在本文稍後討論)。
這些事項需要詳盡的規劃。在評估如何提供資料供使用時,每一個可能的因素和案例都必須審慎評估。 極力建議您採用「誰、什麼、何時、如何及為何」方法。
企業的考量
企業環境中的資料可用性要比第一次考慮的還複雜。 企業中的每一個系統都必須有路徑對應、決定其重要性,並針對每一種可能的案例提出故障維護機制。 透過先勾勒出藍圖及定義系統角色及其重要性,您就能解決可細分為下列項目的小問題:
- 組織角色與原則
- 提供使用的資料
- 服務成本 (以及向誰收費)
- 可能的攻擊,以及對服務或商業造成的總損失估計
- 要針對可用性實施的特殊技術
拒絕服務
這是什麼?
「拒絕服務 (Denial of Service, DoS)」是一種透過故意的 (SYN Flooding) 或無意的 (意外耗用使用者磁碟) 方式,不讓合法使用者或處理程序使用資源的行為。 DoS 攻擊的方式有許多種,其發生機率愈來愈頻繁。 想想分散式 DoS 攻擊的高公開性,對多個主要網際網路站台的影響有多大。 雖然這不是最新的攻擊方式,但駭客屢出新招,並利用分散式電腦運算技術來複製及擴大殺傷力。 若合併指令檔的驅動特性,加上這些工具的廣泛可用性, 一般的電腦使用者只要使用有限的資源,就能製造大量的破壞能力。
減少曝光
如何減少曝光?這裡有一些小秘訣:
- 利用在 RFC 2267 ( ftp://ftp.isi.edu/in-notes/rfc2267.txt ) 中討論的 IP 外出與進入篩選規則,的確是一個很好的開始。 ICSA (https://www.icsa.net/) 的基本模式顯示出,只要有 30 % 的網際網路路由器及組織防火牆套用這些規則, 就能減少大約一百倍由單一攻擊者帶來的這種威脅。
- 如果您沒有應變小組或原則可以因應這類事件,請即刻建立。 儘早確立及因應,是減少曝露的重要因素。
- 為曝露的系統建構底線負荷量與資料流量模式。 若明顯地超過這些模式的範圍,就應該觸發早期的警告系統。 目前,大部分的企業「入侵偵測系統」都有具備這項功能。
登錄設定
下表指出應在 Windows® NT 與 Windows 2000 系統上適用的設定建議;以下網站提供更多詳細資訊:https://www.microsoft.com/technet/archive/security/prodtech/windows/iis/dosrv.mspx
建議套用在 Windows NT 與 Windows 2000 系統的設定
| SynAttackProtect 機碼: Tcpip\Parameters 值類型: REG_DWORD 有效範圍: 0、1、2 0 (沒有 synattack 保護) 1 (如果符合 TcpMaxHalfOpen 及 TcpMaxHalfOpenRetried 設定, 縮減重新傳輸重試及延遲建立 RCE (路徑快取登錄)) 2 (除了第 1 項之外,再加上向 Winsock 提出延遲指示) |
預設值: 0 (False) 建議: 2 |
說明:Synattack 保護牽涉到減少 SYN-ACKS 的重新傳輸量,這會使資源維持在已配置狀態的時間縮短。 會延遲路徑快取登錄資源的配置,直到建立連線以後。 如果 synattackprotect = 2,則送到 AFD 的連線指標會延遲到完成三方交握時。 同時請注意,唯有在超出 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 的設定時,保護機制採取的動作才會發生。 |
| TcpMaxHalfOpen 機碼: Tcpip\Parameters 值類型: REG_DWORD—Number 有效範圍: 100–0xFFFF |
預設: 100 (Professional, Server)、500 (Advanced Server) 建議:預設 |
說明:此參數控制容許處於 SYN-RCVD 狀態的連線數目,超出此數目時,SYN-ATTACK 保護就會開始運作。 如果 SynAttackProtect 設為 1,請確定此值是低於您要保護的連接埠之 AFD 監聽積存 (Backlog) (如需詳細資訊,請參閱「積存參數」)。如需詳細資訊,請參閱 SynAttackProtect 參數。 |
| TcpMaxHalfOpenRetried 機碼: Tcpip\Parameters 值類型: REG_DWORD—Number 有效範圍: 80–0xFFFF |
預設: 80 (Professional, Server)、400 (Advanced Server) 建議:預設 |
說明:此參數控制處於 SYN-RCVD 狀態的連線數目, 其中至少要送出一次 SYN 的重新傳輸,SYN-ATTACK 保護才會開始運作。如需詳細資訊,請參閱 SynAttackProtect 參數。 |
| EnablePMTUDiscovery 機碼: Tcpip\Parameters 有效範圍: REG_DWORD—Boolean 有效範圍: 0、1 (False、True) |
預設: 1 (True) 建議: 0 |
說明:當此參數設為 1 (True) 時, TCP 會嘗試探索到遠端主電腦路徑的「傳輸單元最大值」(MTU 或最大封包大小)。 透過探查出路徑 MTU,並將 TCP 區段限制在此大小之內, TCP 就能在以不同 MTU 連接網路的路徑上,消除路由的片段。 片段會大大地影響 TCP 的輸送量和網路壅塞。 將此參數設為 0 時,會使得不是連接本端子網路上之主電腦的所有連線, 都使用 576 個位元組的 MTU。 |
| NoNameReleaseOnDemand 機碼: Netbt\Parameters 值類型: REG_DWORD—Boolean 有效範圍: 0、1 (False、True) |
預設: 0 (False) 建議:1 |
說明: 此參數可決定電腦從網路收到名稱-版次要求時,是否要出示其 NetBIOS 名稱。 新增這個參數是為了讓系統管理員可以保護機器免受惡意的名稱-版次攻擊。 |
| EnableDeadGWDetect 機碼: Tcpip\Parameters 值類型: REG_DWORD—Boolean 有效範圍: 0、1 (False、True) |
預設: 1 (True) 建議: 0 |
說明:當此參數設為 1 時, TCP 可執行 dead-gateway 偵測。啟用這項功能時,當許多連線遇到障礙時,TCP 可以要求 IP 變更到備用的閘道。 您可以在 [網路] 控制台,於 TCP/IP 設定對話方塊的 [進階] 區段中定義備用閘道。 如需詳細資料,請參閱本專題中的〈無作用閘道偵測〉一節。 |
| KeepAliveTime 機碼: Tcpip\Parameters 值類型: REG_DWORD:以千分之一秒為單位的時間 有效範圍: 1:0xFFFFFFFF |
預設: 7,200,000 (兩個小時) 建議: 300,000 |
說明:此參數控制 TCP 藉由傳送持續作用封包,來嘗試驗證閒置連線狀態是否仍然不變的頻率。 如果遠端系統仍然可以連接和運作,就會確認持續作用傳輸。 在預設的情況下,並不會傳送持續作用封包。 這項功能可由應用程式在連線時啟用。 |
| PerformRouterDiscovery 機碼: Tcpip\Parameters\Interfaces\ 值類型: REG_DWORD 有效範圍: 0、1、2 0 (停用) 1 (啟用) 2 (僅在 DHCP 傳送路由器探查選項時啟用) |
預設: 2,由 DHCP 控制,但是在預設的情況下是停用的。 建議: 0 |
說明:此參數控制 Windows 2000 是否要依據每一個介面,嘗試執行每一個 RFC 1256 的路由器探索。 請參閱 SolicitationAddressBcast。 |
| EnableICMPRedirects 機碼: Tcpip\Parameters 值類型: REG_DWORD 有效範圍: 0、1 (False、True) |
預設: 1 (True) 建議: 0 (False) |
說明:此參數控制 Windows 2000 在回應由網路裝置 (如,路由器) 傳送給它的 ICMP 重新導向訊息時,是否要改變其路由表。 |
.gif)
](https://technet.microsoft.com/zh-tw/dd548166.datasc01(zh-tw,technet.10).gif)
**組成 Windows 2000 之主控台、服務及用戶端的元件**
下列資源中可找到 DFS 的相關有用資訊來源:
- [https://www.microsoft.com/technet/prodtechnol/windows2000serv/
howto/dfsguide.mspx](https://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/dfsguide.mspx)
- Windows 2000 Server Resource Kit 與說明檔
**商業存續規劃**
「商業存續規劃 (Business Continuity Planning)」主要是由「嚴重損壞復原計劃 (Disaster Recovery Planning, DRP)」 以及「事業回復計劃 (Business Resumption Planning, BRP)」組成。
**嚴重損壞復原計劃 (DRP)**
「嚴重損壞復原計劃」(或稱為 DRP),包括對商業存續極為重要的特定動作項目, 以及詳細舉出若因發生人為或自然災害,可能會中斷商業行為能力的各種事件之特定程序。 「嚴重損壞復原計劃」程序中的一些一般階段包括:
- 察覺與探查
- 危險評估
- 調節
- 準備
- 測試
- 回應與修復
**事業回復計劃 (BRP)**
「事業回復計劃」(或稱為 BRP) 涵蓋 Business Continuity Plan (BCP) 的作業性環節,對資料可用性極為重要。 已指定特定的角色、提出預算要求,並且選擇的重要 DRP 階段都已訂定和準備好。
**外地儲存點考量**
目前使用外地儲存點在商業介和企業環境中已愈來愈普遍。 您將資料備份好,將它交給某人存放在外地。 若要擷取備份資料,您需要提出要求,再由某人將磁帶帶回公司進行還原。 下面幾件事情極為重要,不過卻很少有人考慮到:
- *保管鏈。* 這詳細列出誰可在指定時間存取您的資料。此人是否需要經過簽名驗證程序,才能從資料中心取出媒體存取資料? 或者是否他們任何人都可以從檔案庫取出媒體,然後用快遞寄給您?他們在存取您的資料時,是否需要出示身份證明或憑證? 若要撤回您的資料備份時,是否需要向他們出示身份證明或憑證?
- *儲存環境。* 您的資料媒體是儲存在什麼樣的溫度下?您的資料是否有可能和其他人的資料弄錯?
- *結構。* 儲存您的資料的設備實體結構。如果他們的設備著火、被水淹到或被炸時, 您的資料會發生什麼後果?
有執照的商業存續規劃員 (CBCP) 將可協助您找出更多應注意的地方, 不過您應該能從以上資訊得知常被忽略的地方。
**熱/冷站台**
如果您的預算允許,建議您使用替代的站台。 如果不幸發生天然災害、火災、水災等嚴重災害時,您的事業要如何繼續下去? 可作為事業回復的替代站台有三種:熱的、溫的及冷的站台。 熱的站台是指位在另一個地理地點,完全運作的替代站台,那裡具備完整的備份系統, 以及一個複寫和維持最新的環境。這是從嚴重災害或災難復原的最佳方式,不過,它也是最昂貴的一種。 目前已有一些公司專門在提供這種站台資源服務。 溫的站台中包含用來協助回復事業所需要的所有系統,但是沒有最新的資料。 冷的站台則是只有包含可用來協助回復的系統、人員空間及網路連線,但是沒有任何系統或資料。 不論您在這類狀況下時的需求為何,這項決策必須仔細評估,並做好預算準備。
**備份計劃**
備份計劃是完全如其名稱所指出的。所有資料都應進行備份,並可隨時供還原之用。以下是一個備份計劃範例:
-
評估嚴重損壞復原計劃,以確保其適合您的事業需求。計劃應該包括:
- 每一個區域的風險分析,包括影響分析、可接受的當機時間和災害定義。
- 根據風險分析訂定優先順序層面。
- 應識別主要使用者、資料處理程序及供應商人員。
- 中斷層,包括整體、程式層次、資料庫。
- 每一個中斷層的記錄案例,包括特定的程序和責任歸屬。
- 應用軟體與資料的優先順序。
- 原始文件的保留及資料的重新輸入。
- 替代處理環境的安全性需求。
驗證回復處理程序所需要的所有資訊與生產資源,都已做適當的備份。
- 識別重要系統以及應用程式資料和程式、設備通訊需求、說明文件以及供應品等。
- 確定所有重要資料和程式都有定期做備份,並儲存在外地。
- 準備硬體修復,包括冷熱站台的合約、廠商替補確認及 (或) 好鄰居 (例如從其他 LAN 借用伺服器等) 合約。
- 重新安裝資料和程式的程序,包括其任何相依關係在內。
- 識別各事業單位和或應用系統之間的相互依存關係。
- 找出備份工作是依自動或手動方式排定,以及是否有如期執行。
- 驗證有每夜執行所有 LAN 應用程式的備份作業,並且正確標示。
- 驗證備份媒體 (例如磁帶、磁片、原始碼) 有定期儲存在實際上很安全的位置,包括當地和外地。
- 識別重新安裝資料和程式的程序,包括其任何相依關係在內。
- 驗證有提醒遠端員工將重要檔案從其個人電腦上備份到指定的總公司網路上的使用者共用中, 該網路共用有涵蓋在定期備份政策中 (例如每週或每月)。
- 驗證備份的外地儲存設備有涵蓋在意外事件計劃中。
- 驗證所有備份都有正確標示。
- 驗證備份媒體是存放在防火的安全處所或其他防侵入的機制中。
確定已訂定特定的程序,以適當地檢閱修復程序,包括:
- 指定負責檢閱和更新修復計劃的責任歸屬,以確保所有複本都可反映最新的狀況。
- 由適當的管理層次適時檢閱及核准。
- 意外事件計劃的授權發送清單。
應針對下列項目定期測試備份與修復計劃:
- 驗證所有資料和程式都可以從外地儲存處取得。
- 具有從備份中重建系統的能力。
- 具有可在替代站台進行復原的能力。
驗證所有機要檔案伺服器、資料庫伺服器及特殊的裝置 PC 都具有適當的備份電源和磁碟鏡像 (如果極為重要的話)。
- 確定每一部檔案伺服器、資料庫伺服器及特殊的裝置 PC 都具有個自的不斷電電源供應器 (UPS)。
- 確定 UPS 有進行定期測試,或根據製造商的建議間隔進行測試。
- 判定重要的伺服器和特殊的裝置 PC 是否有做鏡像處理。
- 仔細檢驗處理程序,看看若執行自動式備份程序,在一段時間之後會發生什麼情況。
.gif)
](https://technet.microsoft.com/zh-tw/dd548166.datasc02(zh-tw,technet.10).gif)
**磁帶備份程序**
當中會有很多變數存在,因此必須加以規劃,以確保資料的可用性。 訂定一套凝聚的策略,只是在發展過程中的第一步而已,這個過程必須持續不斷地評估、更新和施行。 主管的參與和編訂預算是絕對必須的要項。
[](#mainsection)[回到頁首](#mainsection)
### 第三部份:資料安全性
說明
「資料安全性」所牽涉的不僅僅是套用修補程式、Hot Fix 及登錄設定而已。 這是一種持續的流動狀態。其最終的成功或失敗完全是依賴所投入的知識、資源、技術、用心、培訓、回應及時間。 雖然「資料安全性」有許多不同的層面,但我們在本文中只探討少數幾項。 本文最後會提供詳細的資訊及資源。
**企業環境的殊異與特殊需求**
**是什麼讓企業各有不同?**
企業在「資料安全性」的許多層面中都極為獨特。 交叉功能性的事業線、政策及對可用技術的不同見解等,通常就形成必須明確定義的層面。 的確,事先決定好這些層面,要比決定基礎的技術來得重要。 由於發生錯誤的機率非常高,因此何不投注適當的心力來加以維護? 許多在組織層次套用的規則,若沒有當作基礎實施,將完全沒有意義。 許多被滲透的地方通常是在企業內部。 當您的組織加上連線通勤者、遠端存取及「虛擬私人網路」後, 您的企業範圍就會延伸到不只是桌面和伺服器而已。 在企業中,您至少要針對每一種環境制定一項政策,並對整體組合訂定一項整體政策。
**一般常犯的錯誤及後門**
一般常犯的錯誤通常會在無意識的狀況下,從後門進入您的環境中。 這些後門的效應極為不同,並且會帶來不同的影響層次,只要稍微留意,通常就可以避免。 一些最常犯的錯誤包括:
- 在桌面機器上安裝伺服器軟體。當入侵者侵入您的網路之後,他們就可以在您的桌面系統上安裝後門程式。 不同於伺服器,這些系統通常會被安全維護程序忽略。
- 在伺服器/閘道/路由器上安裝桌面軟體。電子郵件程式、用戶端遠端控制軟體及聊天型程式都會形成不安全和不必要的危險。 這些要維持愈簡單愈好,只要不要減少經過仔細評估的功能作用即可。
- 適時通知用戶端個體群最新的危害訊息。 這可輕易地透過聲音郵件廣播訊息和電子郵件快訊來達成。 未被告知或錯誤告知的使用者個體群最容易受侵害。 讓他們知道威脅所在、要和誰聯絡,並且備妥一個回應團隊,隨時可以處理可能的威脅事件。
- 未將更新的安全性修補程式送到經過評估的環境。
| 功能 |
優點 |
|---|---|
| 多層防火牆 | 使用封包層、電路層及應用程式層次的傳輸篩選提高安全性。 |
| 高效能 Web 快取 | 為使用者提供加速 Web 存取,且可節省網路頻寬。 |
| Windows 2000 整合 | 使用 Windows 2000 Active Directory™ 服務來管理 ISA Server 使用者、設定及規則。驗證、管理工具及頻寬控制等延伸了 Windows 2000 技術。 |
| 狀態式檢驗 | 依資料的通訊協定和連線狀態,檢查通過防火牆的資料。 |
| 延展性 | 新增伺服器來調整快取處理既簡單又有效率, 它使用的是動態負載平衡及 Cache Array Routing Protocol (CARP)。 透過分散式和階層式快取處理,將網路可用性及頻寬效率放至最大。 |
| 虛擬私人網路 | 使用 Windows 2000 的「虛擬私人網路」服務,提供標準型的安全遠端存取。 |
| 管理流量及執行原則的詳細規則 | 依使用者、群組、應用程式、內容類型、排程及目的地等, 控制網路和網際網路存取。 |
| 廣泛的應用程式支援 | 和主要的網際網路應用程式整合,運用無數預先定義的通訊協定。 |
| 對所有用戶端都完全透通 | 可以和所有平台上的用戶端以及應用程式伺服器相容,不需要另裝用戶端軟體。 |
| 智慧型應用程式篩選 | 以資料察覺篩選器 (只封鎖特定類型的內容) 控制應用程式特定的流量,如電子郵件和資料流媒體。 |
| 智慧型快取 | 透過主動快取熱門的物件, 以及依所定義的排程,將整個網站預先載入快取中,確定每位使用者都可以取得最新的內容。 |
| 豐富的管理工具 | 善用強大的遠端管理功能、詳細的記錄、 可自訂的警示及圖形式工作板等的優點,簡化安全性與快取管理作業。 |
| 動態封包篩選 |
僅在需要時才開啟連接埠,減少被外部攻擊的機會。 |
| 分散式及階層式快取 | 使用多重與備份路由,擴大可用性及節省頻寬,達到有效率地使用網路。 |
| 整合式頻寬控制 | 依群組、應用程式、站台或內容類型等,排定頻寬配置的優先序。 |
| 安全發佈 | 保護 Web 伺服器和電子商務應用程式免受外部攻擊。 |
| 有效率的內容發送 | 分送及快取網站和電子商務應用程式, 讓 Web 內容更接近使用者,以改善回應時間和縮減頻寬成本。 |
| 整合式入侵偵測 | 識別常見的拒絕服務攻擊,如連接埠掃描、WinNuke 及 Ping of Death 等。 |
| 內建報告 | 針對 Web 使用率、應用程式使用率、網路流量模式及安全性等方面,執行已排定的標準報告。 |
| 系統加強保護 | 以多重鎖定方式,保障作業系統的安全。 |
| 資料流媒體支援 | 透過在防火牆上分割媒體資料流,節省頻寬。 |
.gif)
](https://technet.microsoft.com/zh-tw/dd548166.datasc07(zh-tw,technet.10).gif)
周邊是上述三種一般基線的組合。每一個基線至少要注意下列事項:
- 對應裝置之間的實體與網路路由
- 裝置存取權限 (如果是外包廠商,則是以服務層次和機密性合約為主的原則)
- 向外提供資源的期間
- 每一項資源可接受的危險層次
**避免一般常犯錯誤**
在防火牆的設定與技術中,最常犯的一些錯誤包括:
- *不夠嚴密*。當負責設定防火牆路由與原則的人員不瞭解某個應用程式的某項特點時, 最容易做的決策就是開放太多連接埠。不容許通過是比較安全的做法,然後再以需要為原則來開放連接埠。 應用程式和裝置一定要提供詳細的說明文件,供負責設定防火牆的人員參考。
- *防火牆管理員缺乏經驗或缺乏訓練*。經驗不足或缺乏訓練的防火牆管理員極容易犯錯。 新進者常會忽略或遺漏一些細節,導致嚴重影響完整性。職責應該加以區隔。 熟悉防火牆產品與技術者應該協助支配哪些人有適當的權限可以起始/修改/移除防火牆的設定與路徑。
- *錯用或遺漏安全性修補程式*。有時候因缺乏資源無法進行測試及部署, 導致常常未注意和忽略了可用的 Service Pack 以及安全性修補程式。 您應該事先訂定一套移轉或測試計劃,來處理這些臨時事件。 駭客們會注意防火牆的最新弱點,因此防衛防火牆的人員也應該隨時注意。
- *存取路徑規劃不當*。在防火牆設定好之後, 經常會為了因應突然產生的業務需求,而增加一些新路徑。這種情況也應該要預先規劃好。
**存取控制機制**
「存取控制」機制可以分成下列三種,每一種至少具有下列這些子項:
-
實體安全性
- 硬體鎖定
- 安全警衛
- UPS 及火災/高電壓抑制
- 警報及觸發裝置
管理控制與原則
- 職責區分
- 可接受的用途以及其他原則/聲明
- 員工顧用與終止程序/原則
- 系統/原則/控制稽核與報告
技術方面的控制
- 密碼管制
- 入侵偵測與防範技術
- 加密/解密技術
- 檔案與 OS 的存取控制清單
| 資源人員 |
A |
B |
C |
D |
E |
F |
G |
H |
I |
J |
|---|---|---|---|---|---|---|---|---|---|---|
| Fred |
W |
R |
R |
F |
R |
R |
N |
W |
N |
X |
| Jane |
R |
R |
R |
X |
X |
R |
W |
X |
F |
X |
| Bob |
R |
X |
X |
X |
X |
R |
W |
F |
X |
X |
| Alice |
R |
W |
F |
X |
W |
X |
N |
R |
N |
X |
| Mary |
R |
W |
W |
W |
W |
F |
R |
R |
W |
X |
| Ken |
F |
F |
X |
R |
W |
N |
X |
W |
R |
F |
| Joan |
X |
W |
W |
W |
X |
R |
F |
N |
R |
X |
| Mark |
X |
X |
W |
W |
F |
X |
R |
N |
X |
W |
| Harry |
F |
N |
R |
X |
R |
W |
X |
W |
W |
R |
存取類型:R=讀取,W=寫入,X=執行,F=完全控制,N=不能存取
您可以看到,上述矩陣幾乎可以套用在任何資源或主體,並不僅僅適用檔案系統的存取而已。 您只需要適當地取代「人員」群組以及加上資源的索引標籤,就幾乎可以針對任何可控制的資源,建立一套自訂的矩陣。 關於資源擁有者的一般假設及其在組織中的角色,通常一眼就可看出。
有關 Windows NT 的最基本檔案系統 ACL 及 Windows 2000 的一些預設安裝設定值建議如下:
建議的 Windows NT 檔案系統/登錄 ACL
(注意:這些只適用於全新安裝的 Windows NT 系統)
| 目錄 |
權限 |
|---|---|
| \WINNT 及其下的所有子目錄 | Administrators:完全控制 CREATOR OWNE:完全控制 Everyone:讀取 SYSTEM:完全控制 |
現在,在 \WINNT 樹狀目錄下,針對一般安全性套用下列例外:
| 目錄 |
權限 |
|---|---|
| \WINNT\REPAIR | Administrators:完全控制 |
| \WINNT\SYSTEM32\CONFIG | Administrators:完全控制 CREATOR OWNE:完全控制 Everyone:列出 SYSTEM:完全控制 |
| \WINNT\SYSTEM32\SPOOL | Administrators:完全控制 CREATOR OWNE:完全控制 Everyone:讀取 Power Users:變更 SYSTEM:完全控制 |
| \WINNT\COOKIES \WINNT\FORMS \WINNT\HISTORY \WINNT\OCCACHE \WINNT\PROFILES \WINNT\SENDTO \WINNT\Temporary Internet Files |
Administrators:完全控制 CREATOR OWNE:完全控制 Everyone:特殊目錄存取—讀取、寫入和執行; 特殊檔案存取—無 System:完全控制 |
在 Intel 80486 和 Pentium 型的系統上,有許多個重要的作業系統檔案是位在系統磁碟分割的根目錄下。 在嚴密的系統安全中,您可能要為這些檔案指派下列權限:
| 檔案 |
C2 層次權限 |
|---|---|
| \Boot.ini, \Ntdetect.com, \Ntldr | Administrators:完全控制 SYSTEM:完全控制 |
| \Autoexec.bat, \Config.sys | Everybody:讀取 Administrators:完全控制 SYSTEM:完全控制 |
| \TEMP 目錄 | Administrators:完全控制 SYSTEM:完全控制 CREATOR OWNE:完全控制 Everyone:特殊目錄存取—讀取、寫入和執行; 特殊檔案存取—無 |
保護登錄 (NT4.0)
除了要考慮標準的安全性,在極安全的安裝作業中,系統管理員可能也要針對登錄中的一些機碼設定保護。
在預設的情況下,登錄的各種元件已有設定保護,使得既可以完成工作,又能達到提供標準層次安全性的目的。 如果是高層次的安全性,您可能要針對特定的登錄機碼指派存取權限。 在做這項工作時,要極為小心,因為使用者需要用來執行工作的程式, 通常都需要代表使用者存取特定的機碼。
針對以下列出的每一個機碼,做下列變更:
容許存取
| Everyone 群組: | QueryValue、Enumerate Subkeys、Notify 及 Read Control |
在本機機器上的 HKEY_LOCAL_MACHINE 對話方塊中
\SOFTWARE
建議做此變更。它會以誰有權安裝軟體的方式,鎖定系統。請注意, 不建議使用此設定鎖定整個子樹狀目錄,因為那樣做會導致某些軟體無法使用。
\SOFTWARE\Microsoft\Rpc (及其子機碼)
這會鎖住 RPC 服務。
\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Embedding
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontMapper
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Cache
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI Extensions
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
考慮移除此機碼的 Everyone:讀取權。這使得遠端使用者可以看到機器上的效能資料。 您可以改為提供 INTERACTIVE:讀取權,這使得除了 administrators 和 system 以外,只有以互動式登入的使用者,才能存取此機碼。
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports (及所有子機碼)
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Type 1 Installer
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW (及所有子機碼)
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows3.1MigrationStatus (及所有子機碼)
\SYSTEM\CurrentControlSet\Services\Lanmanserver\Shares
\SYSTEM\CurrentControlSet\Services\UPS
請注意,除了設定此機碼的安全性外,也要適當地保護與 UPS 服務相關的命令檔的安全 (如果有的話), 只容許 Administrators:完全控制、System:完全控制。
**\**SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
在本機機器上的 HKEY_CLASSES_ROOT 對話方塊中
\HKEY_CLASSES_ROOT (及所有子機碼)
在本機機器上的 HKEY_USERS 對話方塊中
\.DEFAULT
「登錄編輯器」可支援從遠端存取 Windows NT 登錄。 若要限制從網路存取登錄,可使用「登錄編輯程式」建立下列的登錄機碼:
| Hive: | HKEY_LOCAL_MACHINE |
| 機碼: | System\CurrentControlSet\Control\SecurePipeServers |
| 名稱: | \winreg |
在此機碼設定的安全權限會定義哪些使用者或群組可以連接到系統,進行遠端登錄存取。 預設的 Windows NT 工作站安裝程式並不會定義這個機碼,也不會限制從遠端存取登錄。 Windows NT Server 只容許系統管理員從遠端存取大部份的登錄。
必須讓非系統管理員存取的一些路徑在 HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control SecurePipeServers\winreg\AllowedPaths 機碼中指定。
在伺服器操作員的組員無法完全信任的環境中,建議依如下所示變更下列機碼的安全性:
| 登錄機碼 |
建議的許可權 |
|---|---|
| HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT\CurrentVersion\Winlogon | CREATOR OWNE:完全控制 Administrators:完全控制 SYSTEM:完全控制 Everyone:讀取 |
Windows 2000 預設設定
檔案系統
下表說明在 NTFS 分割區上安裝全新的 Windows 2000 時,會針對 Power Users 和 Users 的檔案系統物件套用的預設存取控制設定。 如果是目錄,除非另有指定 (在括弧中),不然其許可權會套用至目錄、子目錄和檔案。
- %systemdir% 是指 %windir%\system32
- *.* 是指目錄中包含的檔案 (不是目錄)
- RX 表示讀取與執行
| 檔案系統物件 |
預設 Power User 權限 |
預設 User 權限 |
|---|---|---|
| C:\boot.ini | RX | 無 |
| C:\ntdetect.com | RX | 無 |
| C:\ntldr | RX | 無 |
| C:\ntbootdd.sys | RX | 無 |
| C:\autoexec.bat | 修改 | RX |
| C:\config.sys | 修改 | RX |
| \Program Files | 修改 | RX |
| %windir% | 修改 | RX |
| %windir%\*.* | RX | RX |
| %windir%\Config\*.* | RX | RX |
| %windir%\Cursors\*.* | RX | RX |
| %windir%\Temp | 修改 | 同步處理、周遊、新增檔案、新增子目錄 |
| %windir%\repair | 修改 | 列出 |
| %windir%\addins | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %windir%\Connection Wizard | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %windir%\Fonts\*.* | RX | RX |
| %windir%\Help\*.* | RX | RX |
| %windir%\inf\*.* | RX | RX |
| %windir%\java | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %windir%\Media\*.* | RX | RX |
| %windir%\msagent | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %windir%\security | RX | RX |
| %windir%\Speech | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %windir%\system\*.* | 讀取、執行 | RX |
| %windir%\twain_32 | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %windir%\Web | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %systemdir% | 修改 | RX |
| %systemdir%\*.* | RX | RX |
| %systemdir%\config | 列出 | 列出 |
| %systemdir%\dhcp | RX | RX |
| %systemdir%\dllcache | 無 | 無 |
| %systemdir%\drivers | RX | RX |
| %systemdir%\CatRoot | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %systemdir%\ias | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %systemdir%\mui | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %systemdir%\os2\*.* | RX | RX |
| %systemdir%\os2\dll\*.* | RX | RX |
| %systemdir%\ras\*.* | RX | RX |
| %systemdir%\ShellExt | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %systemdir%\Viewers\*.* |
RX |
RX |
| %systemdir%\wbem | 修改 (目錄\子目錄) RX (檔案) |
RX |
| %systemdir%\wbem\mof | 修改 | RX |
| %UserProfile% | 完全控制 | 完全控制 |
| All Users | 修改 | 讀取 |
| All Users\Documents | 修改 | 修改 |
| All Users\Application Data | 修改 | 修改 |
| 登錄物件 | 預設 Power User 權限 | 預設 User 權限 |
|---|---|---|
| HKEY\_LOCAL\_MACHINE | ||
| \\SOFTWARE | 修改 | 讀取 |
| \\Classes\\helpfile | 讀取 | 讀取 |
| \\Classes\\.hlp | 讀取 | 讀取 |
| \\Microsoft | ||
| \\Command Processor | 讀取 | 讀取 |
| \\Cryptography\\OID | 讀取 | 讀取 |
| \\Cryptography\\Providers\\Trust | 讀取 | 讀取 |
| \\Cryptography\\Services | 讀取 | 讀取 |
| \\Driver Signing | 讀取 | 讀取 |
| \\EnterpriseCertificates | 讀取 | 讀取 |
| \\Non-Driver Signing | 讀取 | 讀取 |
| \\NetDDE | 無 | 無 |
| \\Ole | 讀取 | 讀取 |
| \\Rpc | 讀取 | 讀取 |
| \\Secure | 讀取 | 讀取 |
| \\SystemCertificates | 讀取 | 讀取 |
| \\Windows\\CV\\RunOnce | 讀取 | 讀取 |
| \\Windows NT\\CurrentVersion | ||
| \\DiskQuota | 讀取 | 讀取 |
| \\Drivers32 | 讀取 | 讀取 |
| \\Font Drivers | 讀取 | 讀取 |
| \\FontMapper | 讀取 | 讀取 |
| \\Image File Execution Options | 讀取 | 讀取 |
| \\IniFileMapping | 讀取 | 讀取 |
| \\Perflib | 讀取 (透過 Interactive) | 讀取 (透過 Interactive) |
| \\SecEdit | 讀取 | 讀取 |
| \\Time Zones | 讀取 | 讀取 |
| \\Windows | 讀取 | 讀取 |
| \\Winlogon | 讀取 | 讀取 |
| \\AsrCommands | 讀取 | 讀取 |
| \\Classes | 讀取 | 讀取 |
| \\Console | 讀取 | 讀取 |
| \\EFS | 讀取 | 讀取 |
| \\ProfileList | 讀取 | 讀取 |
| \\Svchost | 讀取 | 讀取 |
| \\Policies | 讀取 | 讀取 |
| \\SYSTEM\\CurrentControlSet | 讀取 | 讀取 |
| \\Control\\SecurePipeServers\\winreg | 無 | 無 |
| \\Control\\Session Manager\\Executive | 修改 | 讀取 |
| \\Control\\TimeZoneInformation | 修改 | 讀取 |
| \\Control\\WMI\\Security | 無 | 無 |
| \\HARDWARE | 讀取 (透過 Everyone) | 讀取 (透過 Everyone) |
| \\SAM | 讀取 (透過 Everyone) | 讀取 (透過 Everyone) |
| \\SECURITY | 無 | 無 |
| HKEY\_USERS | ||
| \\USERS\\.DEFAULT | 讀取 | 讀取 |
| \\USERS\\.DEFAULT\\SW\\MS\\NetDDE | 無 | 無 |
| HKEY\_CURRENT\_CONFIG | = HKEY\_LOCAL\_MACHINE \\SYSTEM CurrentControlSet\\HardwareProfiles\\Current | |
| HKEY\_CURRENT\_USER | 完全控制 | 完全控制 |
| HKEY\_CLASSES\_ROOT | = Merge of HKEY\_LOCAL\_MACHINE \\SOFTWARE \\Classes + HKEY\_CURRENT\_USER \\SOFTWARE \\Classes | |
EFS 提供核心檔案加密技術,以加密形式將 Windows NT 檔案系統 (NTFS) 的檔案儲存在磁碟上。 EFS 特別針對可在其他作業系統上使用的工具,讓使用者從 NTFS 磁碟區存取檔案時不需要經過存取檢查,所引起的安全問題。 使用 EFS,在 NTFS 檔案中的資料會在磁碟上加密。 它所使用的加密技術是公開金鑰型,並會以整合式的系統服務執行,因此極好管理,但是卻不易攻擊,對使用者而言完全透明化。 如果嘗試要存取加密的 NTFS 檔案的使用者具有該檔案的私密金鑰時, 使用者就可以開啟該檔案並且如一般文件式地處理該檔案。使用者若沒有該檔案的私密金鑰,就會被拒絕存取。
- Windows 2000 中的 EFS 可讓使用者以強力的公開金鑰型加密系統, 將 NTFS 目錄加密,因此目錄中的所有檔案也會跟著加密。 雖然支援個別加密檔案,但是並不建議您使用,因為應用程式的行為無法完全預期。
- EFS 也支援加密可透過檔案共用存取的遠端檔案。如果使用者具有漫遊設定檔, 則在某些可信任的遠端系統上可以使用相同的金鑰和憑證。在其他系統上,則會建立本機設定檔並使用本機金鑰。
- EFS 讓企業可以設定資料修復原則,因此使用 EFS 加密的資料可在必要時,進行回復。
- 修復原則和整體的 Windows 2000 安全原則完全整合。 此原則的控制權可以交付給具有修復權限的人員負責。組織中的不同部門可以分別設定不同的修復原則。
- 在 EFS 中,資料修復是一種內含作業。它只會呈現要回復的資料,但不會呈現用來將檔案加密的使用者金鑰。
- 使用 EFS 進行檔案加密時,使用者在每一次要使用檔案時,並不需要重覆地解密然後再加密。 當檔案讀取和寫入磁碟時,解密和加密動作是完全透明,使用者並不會察覺到。
- EFS 支援在備份和還原加密的檔案時,不做解密。NTBackup 支援備份加密的檔案。
- EFS 和作業系統整合,因此可以防止金鑰資訊滲漏到分頁檔, 並可確保加密檔案的所有複本,即使被移動,也仍會維持加密。
- 北美版的 EFS 會使用 DESX 作為檔案加密演算法,具有完整的 128 位元金鑰加密。 國際版的 EFS 也會使用 DESX 作為加密演算法,不過,檔案的加密金鑰會縮減為只有 40 個位元金鑰加密。
- 具有多項保護措施,確保若系統完全故障時,可以進行資料修復,且不會喪失資料。
如需有關「加密檔案系統」、其用途、設定與部署的詳細資訊,可在以下網站取得:
https://www.microsoft.com/technet/prodtechnol/windows2000serv/ deploy/confeat/nt5efs.mspx
以及
https://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/efsguide.mspx
數位鑑定
簡介
「數位鑑定 (Digital Forensics)」是長久被使用的技術,在 IT 社群中愈來愈常被使用。 它牽涉到許多方面的事,包括蒐集破碎的證據。來自鑑定業中的許多不同科技可套用到現代的科技環境,來協助判斷完整性和可信賴性。 在本文中有一些這方面的說明。
電腦的鑑定世界中,與生俱來的挑戰不斷的增加,來自每一個新版的作業系統。 一開始,DOS 為主的系統是相當容易瞭解並有軟體工具可用來協助鑑定調查員處理有問題的磁碟媒體。 當作業系統變得更復雜,要求去瞭解這些系統的訓練層級就快速的增加。 雖然基本的處理多少有一些標準可循,新的科技套用到尖端的鑑定工具,對現代電腦犯罪調查員有很大的幫助。
比方說,在 1990 年代初期,大約需要一個星期的時間來檢查 40 MB 的硬碟機。 備份程序極為緩慢,並且系統的說明文件極難瞭解。檢查程序包括搜尋所有叢集、磁區、空間, 以及磁碟上的其他有利區域,以取得任何和所有可用的證據。 今日的檢查程序已演進到需要檢查 4GB 和更大的磁碟機。 想想這種磁碟機中可以容納的資料量,我們就需要具備更有效率的鑑定工具。 現今,透過使用新的 Windows 版的鑑定和影像工具,備份的時間已經縮短了, 再加上用更有時效和緊密的方法來檢查硬碟架構的能力。
一般而言,調察員們要找的證據都是在文書處理文件、試算表或其他類型的檔案中。 被清除的檔案、檔案空間 (slack),或甚至 Windows 的交換檔中都可能會有證據存在, 如果存取不當,這些證據極容易消失和變更。 只要開啟有問題的電腦和啟動 Windows GUI,就可能會觸發一些處理程序, 因而更改甚至於損壞會決定調查成功與否的資料片段。 同時也有可能會啟動使用者特意留在電腦上的特洛依木馬程式,因而導致修改或改變檔案結構。 為了防止發生這種狀況,要建立問題磁碟機的鏡像映像。 鏡像映像是一種位元組對位元組、磁區對磁區的硬碟機複製, 要對初始的映像及還原程序進行 Cyclical Redundancy Checksum (CRC)。 CRC 是一種算術式計算,可以驗證硬碟機上的每一個資料區塊是否完整。
常用工具與術語:其對企業的意義與應用
檔案簽章。 大部份檔案都有一個獨特的簽章。開頭幾個位元組會表示檔案的類型,不論作業系統的應用程式為何。 例如,GIF 檔案的前 6 個位元組可能是 GIF87A 或 GIF89A。 在大部份的情況下,不論檔案使用的副檔名是什麼,鑑定軟體都可以採用這項資訊來判定檔案的真實類型。
雜湊。 雜湊亦稱為 MD5 總和檢查碼。最常被使用的雜湊是 MD5 雜湊。 MD5 雜湊是一種在編譯時產生的獨特 128 位元號碼,用來表示檔案的完整性沒有被破壞。 例如,在 Windows 2000 Advanced Server 上,其 explorer.exe 的 MD5 雜湊為 72 51 75 97 85 c6 0e d0 e3 d3 f8 37 9c 89 a0 79。 兩個不同的檔案具有相同的 MD5 總和的機率約為 2128。 下表列出最常被夾藏或變更的檔案,及其有效的總和檢查碼 (Windows 2000 Advanced Server):
最常被變更的檔案及其有效的總和檢查碼
| 檔案名稱 |
使用 |
MD5 總和檢查碼 |
|---|---|---|
| explorer.exe | Windows 檔案總管 | 72 51 75 97 85 c6 0e d0 e3 d3 f8 37 9c 89 a0 79 |
| taskmgr.exe | 工作管理員 | b2 e4 32 b3 4d cc bc 68 88 fa 3a aa 71 94 c5 c2 |
| logon.scr | 登入畫面 | 79 80 b0 36 2c ce ec f2 55 72 e8 64 f9 7c 2b b1 |
| cmd.exe | 命令提示字元 | 53 fc da 64 f7 12 2b cb 4b 60 12 87 03 9a 80 75 |
| rundll32.exe-* | 將 DLL 當作 App 執行 | 1e d5 27 48 25 cd 1e eb be 10 2b 9f f7 c9 ec 31 |
.gif)
](https://technet.microsoft.com/zh-tw/dd548166.datasc08(zh-tw,technet.10).gif)
*RAM 空間。*從檔案結尾到其包含磁區之間的空間稱為「RAM 空間」(RAM Slack)。 磁區在寫入磁碟之前,會儲存在 RAM 緩衝區中。如果磁區在確定到磁碟之前只填入局部, 則殘留在緩衝區尾端的資訊通常會寫入磁碟。有時可以透過這項資訊回復從未被儲存的資料。
有多種軟體工具可以用來建立問題磁碟機的鏡像映像。 我在影像擷取程序中使用了兩種不同的方法。我個人的偏好是高速備份到 DLT 磁碟機。或將影像捕捉成專用格式,放到其他磁碟機上供稍後檢查。 在現場或需要快速做好幾份備份的場合中,我通常會將磁碟機的影像複製到 DLT 上。 這些影像會被儲存起來,等稍後在我的實驗室中還原,並可重覆地還原,以進行檢查。 這也使得我能將影像還原到經控制的磁碟機上。然後再將這部磁碟機放到原始設備中。 如果影像製作得當,檢驗人員就可以執行程式,如同其原始安裝在問題電腦上一樣。
第二種方法是採用專有配置製作影像。影像可於稍後檢視,或在必要時,在現場預覽。 這些影像是以不更改檔案的方式擷取,因此可以備份到 CD 上,或甚至備份到有連接網路控制的電腦上之共用中。
問題磁碟機還原之後,即會開始進行例行的病毒掃描,然後開始進行檢查程序。 目前,由於眾多鑑定軟體及公用程式所提供的易用介面,分析作業已可更快速完成檢驗文字檔案、 圖形及隱藏的資料區域,如檔案空間、未配置的檔案空間及被清除的檔案等等。 再根據問題及事件的相關事實,針對檔案結構建立及執行一個文字清單。
**證據保存**
在鑑定程序中的另一個重要注意事項是要維持及記錄收到及檢查證據時的流程。 若無法訂定一套固定的原則和程序,很可能會破壞保存鏈結, 使得原本很好的檢查,變成不能用在民事或刑事法庭中使用。 另一個重要事項是媒體的實際儲存位置 (包括位置和類型),因為被損壞的證據是不能使用的證據。
[](#mainsection)[回到頁首](#mainsection)
### 其他資訊來源
拒絕服務
- SANS: