保護內部 Windows File Server 的挑戰

Windows Server 原生安全管理工具就夠了嗎?

Share

Solution Code: CSOT/XF-00-37046-S21SL

檔案伺服器是存放重要資料的地方,通常也會是惡意成下手的重要目標,姑且不論動機是為了破壞還是為財。用來保護伺服器的IT基礎設施也會因為漏洞的關係,反而成了第一犧牲品。可以從新興威脅型態看出,如Samsam利用伺服器漏洞,蒐集憑證用以橫向感染,而並非透過電子郵件附件或者網站下載進入。由於這種不利用基礎設施特性,傳統的安全防禦設備、系統很難有效防範。

伺服器防護新挑戰與問題

  1. 無法更新修補管理
    沒有任何資安專家會否認進行修補的重要性,但這並非是一件簡單的事情。現今的IT環境是複雜的混合式架構,需要管理多種不同的修補更新機制。對於重要的關鍵系統,有的狀況時候甚至需要延遲修補。因為企業根本無法承擔修,補更新機制進行測試和部署更新所需的停機時間。此外,修補管理很難做到很短的時間差,也很難確定修補完整;還有運作中而已終止支援服務的系統(如Windows XP, Server 2003),根本沒有修補程式可用。
  2. 內部伺服器與外部伺服器內部伺服器與提供外部存取服務的伺服器不同的是,內部伺服器通常沒有外圍重兵把守,一般認定在內部網路屬於信任網路。尤其檔案伺服器的可用性,通常是最重要的,可用性受到減損,代表營運中斷。
  3. 本機安全性原則保護不足Windows File Server 本身提供了很多原生管理工具,例如本機原則及群組原則中變更安全性設定和使用者權限指派,以協助加強網域控制站和網域成員電腦的安全性。 不過,加強的安全性可能會帶來用戶端服務和程式不相容的負面影響。
  4. 管理權責不在擁有者手中具備一定規模以上的組織單位,可能AD 是專責部門管理,你的伺服器雖然是網域成員,但很多安全政策的管理權並不在手上。
  5. 稽核記錄的質量有限
    過多的事件記錄混淆了真正追蹤目標,作業系統原生提供的稽核事件記錄,每一次觸發就會產生底層運作的syslog。這種記錄需要很大的功夫集中收集、分析解讀、拼湊事件,才能體現人類可以理解的故事。對稽核人員而言其數量過多,很難找出真正的目標。
  6. 本機原則及群組原則缺乏管理彈性
    本機原則及群組原則屬於預先定義的政策,允許或禁止是事先擬定好的,沒有辦法動態彈性調整,沒有辦法區分惡意活動或是系統正常活動。

監控稽核與存取控制,強化伺服器的安全性

組織有效地控制並取得檔案存取活動記錄能力至為關鍵,這不僅是為了主動防止資料洩露或抵禦攻擊,而且是在資料遭到破壞的當下,有能力做出對應的反應措施。通常,我們將重點放在組織外部的網絡攻擊這一概念上,但根據2018年Verizon資料外洩事件報告,幾乎五分之一的違規事件是由於用戶端的失誤所造成的。不論事件如何發生,”誰在何時、何地、做了什麼?” 這樣的活動記錄,可以提供可能危害安全的早期預警訊號。稽核追蹤的重點是使用檔案資料的各種存取活動。據估計有80%的經常使用檔案屬於非結構化資料,因此組織很難保持有效的追蹤判斷。大型企業通常會遇到幾種非結構化資料,包括各種文件系統,檔案管理系統和Blob儲存方案(如SharePoint),迫使安全管理人員難以一致性地管理這些系統。

最後一道防線,專屬伺服器防護

基於前面描述的種種狀況,的確在很多應用下,檔案伺服器沒有辦法實施修補管理、安裝host based IPS 防護程式,或者作業系統本身原生安全控制不足等。借助第三方的伺服器防護工具,更明確有效的防護伺服器檔案存取,避免遭受破壞。這類工具應該具備這些特色:

  1. 檔案存取記錄、檔案使用軌跡記錄(File trial)
    事件檢視器檢視的事件,大多數沒有高階行為。例如 Event ID : 5142 A network share object was added. 這樣只能知道一點片段,還需要參考整合其他事件記錄,而且須證明有強關聯性,才能知道真相。而資安外洩防護系統,通常具備了檔案軌跡稽核記錄,內容包括電腦名稱、登入使用者帳號、完整的來源、路徑、檔名、目的地、目的裝置類型等。
  2. 中央集中記錄收集
    用戶端所有監測的事件類型,發生的事件記錄,由Client端上傳至Server統一存入資料庫,以便日後調查、統計。也避免了萬一遭受攻擊事件,而記錄卻被抹除的風險。
  3. 保護資料夾防止未授權檔案變更與刪除
    對特定資料夾內的檔案,防止其他未經授權的程式或使用者變更或刪除,但系統程式的更新運作不受影響。資料夾防護應該要更聰明,例如資料夾中.docx 由檔案總管或winword.exe 等文書處理以外的程序存取,則有可能是不正常的行為。
  4. 檔案分享存取控制
    本機使用者登入伺服器,管制可以存取檔案、資料夾,以防止未經授權的應用程式、使用者及非信任裝置利用網芳存取分享資料夾。關閉不必要的分享,或關閉安全性設定不符規定的分享。
  5. 帳號權限管理
    全面清查盤點,所有存在於本機的使用者帳號與群組,不應該存在,或不應該被啟用的帳號。中央控管帳號權限變更,暫停或刪除。可以避免權限不當被利用,或未經授權提升權限。
  6. 應用程式控管
    利用黑名單機制將指定的應用程式禁止執行,使用者也無法自行安裝。應用程式嘗試執行時,不論被禁止或允許都應留存執行記錄。若提供白名單機制,則更適合服務角色固定的伺服器,不允許在鎖定凍結之後,所有新增加、外來的應用程式被執行。
  7. 裝置控管
    檔案伺服器集中存放組織的重要運作檔案,在可以連接裝置或連線的狀態下,使用外接儲存裝置,可能導致大量資料外洩。除了電子檔案之外,也不要忽略印表機的紙本,可以列印輸出到千里之外。有效的裝置管理,還可以防止不明程式藉由儲存媒體感染伺服器。

幾乎在所有行業中,檔案伺服器仍然是被攻擊的首選資產(Verizon, Data Breach Investigations Report 2017)。組織理當希望保護這些檔案的安全,只允許被需要的人存取。為了要了解及證明是這些活動合乎規範,就需要了解誰有存取權,誰正在或曾經存取過檔案,以及對檔案採取什麼樣的操作。

與我們的銷售團隊聯絡

與我們的銷售團隊聯絡

(852) 2893 8860

    電郵:sales@version-2.com.hk
    傳真:(852) 2893 8214

與我們的
銷售團隊聯絡

(852) 2893 8860

    電郵:sales@version-2.com.hk
    傳真:(852) 2893 8214

(852) 2893 8860

    電郵:sales@version-2.com.hk
    傳真:(852) 2893 8214