FineArt News

資安新知

保護內部Windows File Server 的挑戰

Windows Server 原生安全管理工具就夠了嗎?

檔案伺服器是存放重要資料的地方,通常也會是惡意成下手的重要目標,姑且不論動機是為了破壞還是為財。用來保護伺服器的IT基礎設施也會因為漏洞的關係,反而成了第一犧牲品。可以從新興威脅型態看出,如Samsam利用伺服器漏洞,蒐集憑證用以橫向感染,而並非透過電子郵件附件或者網站下載進入。由於這種不利用基礎設施特性,傳統的安全防禦設備、系統很難有效防範。

 

伺服器防護新挑戰與問題

  1. 無法更新修補管理
    沒有任何資安專家會否認進行修補的重要性,但這並非是一件簡單的事情。現今的IT環境是複雜的混合式架構,需要管理多種不同的修補更新機制。對於重要的關鍵系統,有的狀況時候甚至需要延遲修補。因為企業根本無法承擔修,補更新機制進行測試和部署更新所需的停機時間。此外,修補管理很難做到很短的時間差,也很難確定修補完整;還有運作中而已終止支援服務的系統(如Windows XP, Server 2003),根本沒有修補程式可用。

  2. 內部伺服器與外部伺服器
    內部伺服器與提供外部存取服務的伺服器不同的是,內部伺服器通常沒有外圍重兵把守,一般認定在內部網路屬於信任網路。尤其檔案伺服器的可用性,通常是最重要的,可用性受到減損,代表營運中斷。

  3. 本機安全性原則保護不足
    Windows File Server 本身提供了很多原生管理工具,例如本機原則及群組原則中變更安全性設定和使用者權限指派,以協助加強網域控制站和網域成員電腦的安全性。 不過,加強的安全性可能會帶來用戶端服務和程式不相容的負面影響。

  4. 管理權責不在擁有者手中
    具備一定規模以上的組織單位,可能AD 是專責部門管理,你的伺服器雖然是網域成員,但很多安全政策的管理權並不在手上。

  5. 稽核記錄的質量有限
    過多的事件記錄混淆了真正追蹤目標,作業系統原生提供的稽核事件記錄,每一次觸發就會產生底層運作的syslog。這種記錄需要很大的功夫集中收集、分析解讀、拼湊事件,才能體現人類可以理解的故事。對稽核人員而言其數量過多,很難找出真正的目標。

  6. 本機原則及群組原則缺乏管理彈性
    本機原則及群組原則屬於預先定義的政策,允許或禁止是事先擬定好的,沒有辦法動態彈性調整,沒有辦法區分惡意活動或是系統正常活動。

 

監控稽核與存取控制,強化伺服器的安全性

組織有效地控制並取得檔案存取活動記錄能力至為關鍵,這不僅是為了主動防止資料洩露或抵禦攻擊,而且是在資料遭到破壞的當下,有能力做出對應的反應措施。通常,我們將重點放在組織外部的網絡攻擊這一概念上,但根據2018年Verizon資料外洩事件報告,幾乎五分之一的違規事件是由於用戶端的失誤所造成的。不論事件如何發生,”誰在何時、何地、做了什麼?” 這樣的活動記錄,可以提供可能危害安全的早期預警訊號。稽核追蹤的重點是使用檔案資料的各種存取活動。據估計有80%的經常使用檔案屬於非結構化資料,因此組織很難保持有效的追蹤判斷。大型企業通常會遇到幾種非結構化資料,包括各種文件系統,檔案管理系統和Blob儲存方案(如SharePoint),迫使安全管理人員難以一致性地管理這些系統。

 

最後一道防線,專屬伺服器防護

基於前面描述的種種狀況,的確在很多應用下,檔案伺服器沒有辦法實施修補管理、安裝host based IPS 防護程式,或者作業系統本身原生安全控制不足等。借助第三方的伺服器防護工具,更明確有效的防護伺服器檔案存取,避免遭受破壞。這類工具應該具備這些特色:

  1. 檔案存取記錄、檔案使用軌跡記錄(File trial)
    事件檢視器檢視的事件,大多數沒有高階行為。例如 Event ID : 5142 A network share object was added. 這樣只能知道一點片段,還需要參考整合其他事件記錄,而且須證明有強關聯性,才能知道真相。而資安外洩防護系統,通常具備了檔案軌跡稽核記錄,內容包括電腦名稱、登入使用者帳號、完整的來源、路徑、檔名、目的地、目的裝置類型等。

  2. 中央集中記錄收集
    用戶端所有監測的事件類型,發生的事件記錄,由Client端上傳至Server統一存入資料庫,以便日後調查、統計。也避免了萬一遭受攻擊事件,而記錄卻被抹除的風險。

  3. 保護資料夾防止未授權檔案變更與刪除
    對特定資料夾內的檔案,防止其他未經授權的程式或使用者變更或刪除,但系統程式的更新運作不受影響。資料夾防護應該要更聰明,例如資料夾中.docx 由檔案總管或winword.exe 等文書處理以外的程序存取,則有可能是不正常的行為。

  4. 檔案分享存取控制
    本機使用者登入伺服器,管制可以存取檔案、資料夾,以防止未經授權的應用程式、使用者及非信任裝置利用網芳存取分享資料夾。關閉不必要的分享,或關閉安全性設定不符規定的分享。

  5. 帳號權限管理
    全面清查盤點,所有存在於本機的使用者帳號與群組,不應該存在,或不應該被啟用的帳號。中央控管帳號權限變更,暫停或刪除。可以避免權限不當被利用,或未經授權提升權限。

  6. 應用程式控管
    利用黑名單機制將指定的應用程式禁止執行,使用者也無法自行安裝。應用程式嘗試執行時,不論被禁止或允許都應留存執行記錄。若提供白名單機制,則更適合服務角色固定的伺服器,不允許在鎖定凍結之後,所有新增加、外來的應用程式被執行。

  7. 裝置控管
    檔案伺服器集中存放組織的重要運作檔案,在可以連接裝置或連線的狀態下,使用外接儲存裝置,可能導致大量資料外洩。除了電子檔案之外,也不要忽略印表機的紙本,可以列印輸出到千里之外。有效的裝置管理,還可以防止不明程式藉由儲存媒體感染伺服器。

 

幾乎在所有行業中,檔案伺服器仍然是被攻擊的首選資產(Verizon, Data Breach Investigations Report 2017)。組織理當希望保護這些檔案的安全,只允許被需要的人存取。為了要了解及證明是這些活動合乎規範,就需要了解誰有存取權,誰正在或曾經存取過檔案,以及對檔案採取什麼樣的操作。