[資安小常識] 透過Windows Azure Pack 安全地管理您的網站

編者:Cho-Han Wu   圖一、 Windows Azure Pack 讓您更輕易地管理網路服務  (圖片來源)   Windows Azure Pack 是一套 System Center 2012 R2 上的套件,讓您的資料中心可以提供類似 Windows Azure 的簡易管理網站、部屬虛擬機器或是 Service Bus 等服務的自助入口網站,並且同時可以整合 Windows Server 2012 R2 Hyper-V 和 System Center 2012 R2 的功能,讓您的私有雲也可以享受 Windows Azure 的操作體驗。   近幾年有許多網站接受到 阻斷攻擊 (Denial of Service, DoS),原因是因為主機的伺服器受到駭客大量且密集的封包請求而導致網站無法立即處理這些封包而被癱瘓,造成一定程度的損失。本次的資安小常識將會整理幾項設定方法讓您部屬於 Windows Azure Pack 的網站服務更加安全。   本篇文章提供您三種設定方法來防範阻斷服務 (Dos) 的攻擊: 1….


[資安小常識] Microsoft 資訊安全情報報告第 15 卷內容摘要

作者:Cho-Han Wu     微軟資訊安全情報報告書 (Microsoft® Security Intelligence Report)呈現的是每半年一次的產業資安觀察,提供企業資安負責人更深入的見解。本期的資訊安全情報報告書主要觀察的時間是在2013年上半年(一月至六月),並歸納了全球Windows 使用者以及網際網路上所提供的一些熱門線上服務所收集到的資料。針對軟體公開弱點、惡意程式分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本期資安小常識將針對第十五期的資訊安全情報報告書的內容做一個重點整理及報導。   本報告主要以幾個主要分類進行探討: 1. 資訊安全漏洞 (Vunerabilities) 2. 入侵程式 (Exploit) 3. 惡意程式 (Malware) 4. 電子郵件威脅 (Email threats) 5. 惡意網站 (Malicious websites)   資訊安全漏洞 (Vunerabilities)   資訊安全漏洞是指某些軟體內的弱點,讓攻擊者有機可趁並在使用者不知情的情況下,藉由在軟體內放置惡意的程式碼,得以竊取資料庫內機密資料或是讓軟體崩壞。     上圖為2013年上半年度的資安漏洞外洩程度,根據共通弱點評估系統 (Common Vulnerability Scoring System, CVSS) 把嚴重的等級分為0~10 分作為評估的依據。可以看到有超過一半以上的比例(52.9%) 是屬於中等程度的外洩,並有 36.7% 的程度是屬於高嚴重程度的外洩。     以上系列圖為2010年下半年度到2013年上半年度的,依順時鐘順序為資安外洩嚴重程度、資安外洩複雜程度、外洩的類別以及微軟產品及非微軟產品的比較。從上圖中可以看到的在複雜度部分,高複雜度的外洩在這段期間內維持約 5%以下的比率,低複雜度的外洩從2011年上半年度以來就是維持著最高的比率,大約維持在50%左右。而在外洩類型的部份,則是以應用程式的外洩為大宗,其次為作業系統以及瀏覽器的外洩。另外,對於微軟產品和非微軟產品的比較部分,可以看到非微軟的產品所受到的外洩比率較高,而微軟產品所佔的比率大約為10%以下。     上圖為近兩年來全球受到資安攻擊的數目和感染率之比較,可以看到的是雖然每一季每一千台電腦大約有180台左右會受到資安攻擊事件,但是實際上真的受到感染的比例仍不高,大約為0.6%左右,顯示大部分的系統都有受到良好的保護。  …


資訊安全與文件保護

編者:Cho-Han Wu   圖一、 Share Point 2013  (來源) 前言:無論任何系統,只要涉及使用者文件或資訊儲存,都可能面臨個資洩漏,即便雲端系統也不例外;因此企業莫不期盼打造安全無虞的文件平台,並結合適當技術,讓各項重要資料即使攜出,也毋需擔心外洩問題。   個資法上路迄今屆滿一年,雖然這段期間,多數企業並非因觸法而慘遭鉅額求償,但這並不代表企業都已將個資保全做到滴水不漏,尚有很大進步空間。 環顧個資保全議題,不可諱言,文件的管理與保護確實是重要一環;只因企業的機密資訊,皆埋藏於一份份電子文件,若這些文件被有心或無意流傳出去,也意謂公司機密旁落外人之手,連同個資都可能因此而外洩。 著眼於此,台灣微軟舉辦的資安應用系列研討會之二,特別將主題訂於「資訊安全與文件保護」,旨在協助企業運用SharePoint 2013或SharePoint Online 2013,從最基本的身份驗證與權限控管、到外部系統安全連線,以及整個系統的稽核機制,循序打造安全的文件與系統平台,並結合RMS(Rights Management Services),確保各項重要資料即使攜出,也絕無外洩之虞。 值得一提的,新版RMS雖然尚在Preview階段,但蘊含重大玄機,其中最引人關注的,無非是支援加密的範圍,不再侷限於微軟Office,而是擴及到諸如PDF、AutoCAD…等形形色色的文件格式,讓不少IT人員亟欲先睹為快。 以下的篇幅,將先行鋪陳台灣微軟資深講師曹祖聖所闡述的「SharePoint 2013文件安全規劃與設定」內容,接著再緊扣台灣微軟技術經理蔡宗佑講述的「新版RMS在文件安全上實作與應用」內容   SharePoint 2013文件安全規劃與設定 曹祖聖指出,所謂文件安全不外三件事-Who、What與How,主要記載了讀取、修改、刪除、登入或登出等資訊的稽核記錄,記錄的事項也不脫三個W。SharePoint的權限架構亦是呼應此一脈絡,內含三大要素,其一是身份確認(Who),系統預設的確認範圍為Active Directory的User Account或Global Groups,但假使企業採用其他認證機制,也可經由ADFS(Active Directory Federation Services )予以納入,同樣受到支援;另基於方便管理,SharePoint自身也有群組設定機制,不論是否出自Active Directory的帳戶皆可加入,完成加入後,用戶可據此進行階層式權限設定。 SharePoint權限架構的第二要素,則是Securable Objects(What),也就是權限設定的標的物,包括了單一文件、資料夾或網站集合,其權限會隨著不同的人或群組而異。第三項要素是Permission(How),SharePoint可繼承上層網站(此指網站集合的根網站)的權限,其下所有網站與其他物件通通適用,但用戶若有其他考量,也可以選擇放棄繼承,全部予以重設;但SharePoint與NTFS在於權限繼承,有一個極大不同,後者容許既繼承、又修改,兩者可並存,SharePoint則僅容許二選一。   文件權限與版本控制 用戶進入SharePoint 2013網站,選定任一文件庫,即可開始設定權限,用以界定不同人或群組(預設身份包括了成員、訪客、擁有人),究竟能夠對它行使設計、編輯、讀取…等等權利;如前所述,用戶可選擇繼承上層網站的權限,否則即可點選「停止繼承權限」、或進入「管理上層」修改權限,運用這些途徑授予文件、文件庫或網站集合之權限。 不可否認,如果企業未做好版本控制,任何文件只要一經覆寫,原本內容即告消逝無蹤,避免此事發生,用戶即需善用SharePoint文件庫版本管理功能。曹祖聖表示,有關SharePoint版本設定,區分為「主要版本」(例如1、2、3、4)、「次要版本」(例如1.0、1.1、1.2、2.0;意指草稿),用戶可選擇是否建立版本。 一般而言,啟用文件庫版本控管的用戶,都會加上核准功能,因此任一份文件的主要與次要版本,舉凡編號、修改時間、修改者、大小、註解等細部資訊,都會透過「版本歷程記錄」清楚呈現。當然,為避免留存版本過多而佔用儲存空間,用戶可透過「選擇性限制要保留的版本數量」來設定上限,一旦版本多到超過此數值,較舊版本就會為系統自動清除。 此外,為滿足使用者的RSS訂閱需求,管理者可預先進行相關設定,包括定義RSS摘要的通道元素(例如是否截斷多行文字欄位為256個字元,並填入標題、描述、圖像URL),及設定RSS項目的連結與隨函附件。   存取稽核與資訊管理原則 值得一提的,SharePoint 2013提供完善的文件存取稽核、文件資訊管理原則、文件核准與發佈等機能。有關存取稽核,用戶可選擇是否自動為某網站修整稽核記錄,並指定要稽核的事件,譬如針對文件的開啟或下載、編輯、存回或取出、移動或複製、刪除或還原等項目,或是針對清單/文件庫/網站編輯內容類型及欄、搜尋網站內容、編輯使用者及權限;用戶可定期檢視稽核報告,但因報告日積月累數量必然龐大,因此曹祖聖建議,用戶可一個月做一次整理,選擇將舊報告加以封存、移至其他位置,或打包成為zip檔。 至於文件資訊管理原則,就好比Metadata編輯器,可允許產生可插入至微軟Office文件的標籤、唯一識別條碼,以方便搜尋文件(註:『標籤』另有助於確保列印文件時,都將包含文件摘要資訊或其他重要資訊),可允許啟動稽核,也允許透過「保留」設定來進行自動排程內容的處理,例如針對到期的文件版本或稽核報告,選擇將之移至資源回收筒、永遠刪除、移至其他位置,甚或啟動工作流程。 而在文件核准與發佈方面,是屬於文件生命週期(「建立」→「編輯檢視」→「發佈」→「核准」→「收藏」)其間重要環節。當文件進行發佈時,其狀態旋即從原本「草稿」變成「擱置」,準備接受核准,而當核准(或拒絕)結論產生,文件狀態又將轉變為「已核准(或已拒絕)」,一旦核准,所有授權使用者皆可看到此文件,然若是拒絕,則僅有建立者、審核者可以看得到。   新版RMS在文件安全上實作與應用 當然,藉由SharePoint,確實可滿足內部存取限制(文件權限)、監控與追究責任(文件稽核)、安全標示與封存(資訊管理原則),但企業若欲針對外部施行存取限制,便需結合資訊版權管理(IRM)功能,IRM旨在限制使用者對從清單或文件庫下載之檔案採取必要動作,一方面將下載的檔案加密,並限制能夠解密文件的使用者與程式功能,另一方面則進一步限制允許讀取檔案的使用者權限,譬如無法採取列印、複製、修改、傳真、Print Screen等動作,或設定使用期限,倘若逾期,使用者必須重新通過認證。 曹祖聖說明,欲啟用IRM,必須安裝PowerShell,其步驟很簡單,當系統管理者開啟PowerShell後,依序完成Import-Module AADRM、Connect-AadrmService、Enable-Aadrm與Disconnect-AadrmService等程序,再分別至Office 365管理中心啟動版權管理、至SharePoint文件庫執行資訊版權管理設定即可。…


[資安小常識] 使用 Windows Intune 讓您安全地管理行動裝置

作者:Cho-Han Wu   圖一、 使用 Windows Intune 管理各種裝置  (圖片來源)   Windows Intune 是一套行動裝置與個人電腦的整合性管理系統,功能上類似System Center 2012 Configuration Manager,但實際運作則是建立在雲端架構上,讓企業用戶可以更便利的使用。它除了可以在管理中心統一替所有的裝置進行應用程式的佈署外,也可以提供升級授權的資訊,讓您的裝置保持在最新的韌體版本,並定期接收更新,以保護裝置不會受到惡意軟體的侵入。本次資安小常識將介紹如何設定 Windows Intune 來管理您的行動裝置。   Windows Intune 所提供的管理和保護功能除了支援個人電腦外,也提供行動電話和平板電腦等裝置。下表列出支援每種裝置類型的作業系統:   表一、 Windows Intune 支援裝置類型作業系統  (圖片來源) Windows Intune 最具安全指標的特色就是可以統一的佈署應用程式給企業內的使用者,使其裝置避免受到惡意程式的侵擾,也讓您可以更有效及更安全的管理行動裝置。若您的使用者使用的是Windows Phone 8 或是 Windows RT的裝置,可以參考以下的步驟來設定如何佈署應用程式:   1. 請先確認您的使用環境是否符合 Windows Phone 8 或 Windows RT 的行動裝置管理需求。其中包含要先在Windows Intune 的主控台設定行動裝置的授權,並且將裝置擁有者定義為受管理的使用者 等等。   2. 啟用Windows Intune…


[資安小常識] 如何安全的使用第三方支付來進行網路購物

作者:Cho-Han Wu   圖一、 使用第三方支付進行網路購物 (圖片來源)   所謂的第三方支付就是指在進行網路交易時,消費者將應付的款項匯入一個線上的帳號並透過第三方的仲介交給商家,而非直接的將錢轉到商家戶頭。此種型態的付款方式對於使用者來說除了可以加速付款流程,同時也可以避免因為將信用卡或是個人帳戶資訊暴露給商家而造成個人隱私的損失。   台灣已經在今年的8/7正式拍板定案了第三方支付的業務開放問題,將全面開放銀行、非銀行業者經營第三方支付服務,也將訂定專門的法條來規範。消費者在未來也將會面臨許多選擇,本期的資安小常識將提供您如何安全的使用這項服務。   如何選擇安全的付款服務和商家:   1. 在創立帳號之前請先調查這個服務提供者是否有不良的紀錄。在美國有類似的網站會對服務提供者加以認證,消費者可以將欲前往的網域名稱加以搜尋來查看認證狀態。台灣目前還沒有相關的認證服務,但消費者也可以選用較多人評價的服務,或是使用與大型商家配合的支付服務,較有保障。   2. 在瀏覽網站前應先看該服務網站是否有經過加密認證,有經過加密的網站,在瀏覽器的網域名稱前會包含 https 並且在瀏覽器的右側或是右下側會有一個鎖頭的標誌,如此一來,消費者在傳送敏感資料如信用卡卡號和地址時就會得到更多的保障。   圖二、通過安全憑證的加密網站    3. 由於網路購物無法親自看到貨品,所以在挑選商家時更要注意挑選評價較高的賣家或是商場,才可避免買到不實或是昂貴的商品,損失自己的權益。   如何安全地使用第三方支付:   1. 在網路購物後不要隨意回覆不明的 e-mail 。有些惡意的釣魚軟體會隨機寄信給消費者要求索取帳號密碼或是信用卡資訊,這些很有可能是詐騙,要確認資訊前請先和服務提供者確認,若想更了解釣魚的手法,請參考資安部落格-最新的釣魚攻擊。   2.設定安全的密碼。安全的強式密碼應有14位數以上並包含大小寫,針對如何設定不易被破解的密碼可以參考此篇資安部落格文章。   3.不要使用公共電腦進行網路購物。公共電腦由於無法確認是否有被植入惡意程式,而且網路也無法確定有無被監聽,所以較不安全。   4. 使用IE 提供的SmartScreen篩選工具來過濾掉惡意的釣魚網站。在瀏覽商場或網頁時,有時會有不知名的網頁跳出,並冒充成商場確認系統,此時消費者可能會誤認而受騙,使用微軟 IE 內建的篩選工具可以減少此事件的發生。   5.隨時將瀏覽器更新成最新版本。微軟的最新瀏覽器提供您更全面的保護,定期更新將讓您使用網路購物起來更安心。   圖三、第三方支付示意圖 (圖片來源)     參考資料   如何選擇安全的支付服務 (英文)http://www.microsoft.com/security/online-privacy/online-paying.aspx 如何安全地使用第三方支付服務 (英文)http://www.bullguard.com/zh-tw/bullguard-security-center/pc-security/computer-security-resources/safe-payment-services.aspx 第三方支付服務爭議行政院拍板定案http://www.ithome.com.tw/itadm/article.php?c=81932 第三方支付服務起跑…


[資安小常識] 如何安全地開發軟體及應用程式

作者:Cho-Han Wu   圖一、 使用微軟SDL的比例統計 (圖片來源)   根據最新的 Trust in Computing 報告 (註1)指出, 42% 的開發者在開發軟體或是應用程式時並非把資訊安全當成最優先考慮的因素。且雖然使用安全的軟體發展過程被視為是減少軟體遭受攻擊的有效方法,仍有 44% 的開發者並不使用。不使用的原因包括了:1) 花費 (34%)。 2)缺乏技術資源 (33%)。 3) 缺乏主管的同意 (24%) 等等。 在安全的軟體開發過程的使用者中,又以使用安全性開發生命週期(Security Development Lifecycle, SDL) 的比例最多(47%),故本期資安小常識將針對微軟的 SDL 做一個統整性的介紹。   圖二、微軟安全性開發生命週期(SDL) (圖片來源)   微軟提出的安全性開發生命週期 (SDL)主要分成七個階段: 1. 訓練階段 在這個階段需要建立一些基礎的概念,微軟建議相關的開發人員每一年都應接受一次的資安訓練課程。以下提供了一些各階段的相關參考資料:包括了SDL 模式的緒論(英文)、軟體的安全性設計(英文)、將可能的威脅模式化(英文)、撰寫及測試安全的程式碼(英文)、並找出維護隱私的實作方法(英文)。   2. 建立需求階段 在執行計畫之前需要先定義並整合此應用程式的資安和隱私最基本的需求,確立一個清楚的目標或里程碑,以減少執行計畫時的可能被分散的風險。並且建立一套資安漏洞的追蹤系統,並指派專門的資安專員來處理。 針對需求的建立方法,可以參考以下資料:資安需求問卷(英文)、Visual Studio Team System的SDL模版、如何區分資安漏洞的強度(英文)、資安風險評估(英文)。   3. 設計階段 確認需求之後,必須要設計一套完整且結構性的途徑,此設計必須避免系統潛在的資安漏洞暴露於攻擊者之中,或是將可能的危害減為最低。完成此階段的設計之後,可使得往後的開發更有效率並減少不必要的花費。針對此階段的建立方法,可以參考以下資料:避免將程式碼暴露於不信任的使用者中(英文)、減少可能的攻擊(英文)、利用STRIDE方法設計更好的資安模組(英文)、防火牆的設定及需求(英文)。   4. 實行階段…


設定具有進階安全性的 Windows 防火牆的步驟、技巧與觀念

編者:Chohan Wu   圖一、 防火牆的運作方式示意圖  (來源)   本篇文章主要針對 Windows Server 2008 及 Windows Server 2008 R2 的防火牆設定做介紹,使用這兩個版本的使用者可以參考。使用其他版本 Windows Server 的使用者,若有資安上更新的運用,我們將會在第一時間與大家分享。   本文作者為黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。   Windows 防火牆其實是個非常不錯的玩意,只是一般人比較不清楚要如何游刃有餘的設定他,我這幾年經手過不少 Windows 伺服器,我發現設定錯誤的人其實蠻多的,而更有大部分的伺服器主機根本預設關閉 Windows Firewall 服務,只依賴客戶額外採購的硬體式防火牆來保護主機的網路安全,這篇文章裡我打算分享一些我在設定這些輸入/輸出規則的一些經驗與檢查現有防火牆規則的一些步驟,跟大家一起分享與探討,看是否有更好的方式能將 Windows 防火牆設定的更安全。 以下是開啟「具有進階安全性的 Windows 防火牆」的方式,你也可以直接執行 wf.msc 開啟此視窗: 我在替客戶設定與檢查防火牆規則時,會區分「輸入規則」與「輸出規則」,檢查的方法與步驟都類似: 1. 先以群組排序,找出所有「自訂」的防火牆規則 因為自訂防火牆規則無法歸類到特定群組,因此可以找出是否有系統管理員自行設定的防火牆規則,看是否有不適當的連線被開啟。 備註:如果以 Windows Server 內建的服務來說,幾乎所有內建的服務都會有相對應的規則定義,在大部分的情況下,系統管理者應該不需要自行定義規則才對,如果有的話,一定要在描述欄提供非常詳細的描述,否則就會被我停用或刪除。   2. 設定「依已啟用狀態篩選」…


如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

編者:Chohan Wu   圖一、 Windows 8 遠端桌面連線  (來源)   本篇文章主要介紹如何安全的使用 Windows 遠端桌面連線功能,各版本的 Windows 用戶皆可參考本篇文章來設定。若有更新的資安應用,我們會在第一時間跟大家分享。   本文作者為黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。   去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年,結案後他們就自己管理主機,怎麼管到會中毒我不清楚(其實是被值入木馬),當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機,不過才剛連上沒多久,我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理,一開始還以為防毒軟體秀逗了,但不斷跳出警告後開始覺得不對勁,查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟,過程中我的硬碟已經被值入 70 多支木馬,實在恐怖! 有了這次經驗,我就對遠端桌面連線作業更加小心,沒事千萬不要重新導向本機裝置和資源到遠端,也就是不要掛載本機磁碟機到遠端的意思,請參考以下設定畫面: 這個功能雖然好用,但是卻很危險,要是遠端主機中毒了,就很有可能直接從遠端電腦直接侵門踏戶到你的電腦來。反之亦然,如果用戶端中毒了,一樣很容易會危害到遠端的伺服器主機,因此站在資安的立場上來說,這一點不得不防範! 以下是 Windows Server 2008 的 本機群組原則編輯器 設定方式: [開始] > [執行] >  輸入 gpedit.msc 後按下確定 展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [遠端桌面服務] >…


在 IIS7 IIS7.5 安裝 SSL 憑證的注意事項

編者:Chohan Wu   圖一、 Windows IIS  (來源)   本篇文章提供了 Windows IIS 7 / IIS 7.5 在安裝伺服器憑證的操作說明,針對新版本的 Windows IIS ,若有最新資安上的應用,我們也會在第一時間提供給您。   本文作者為黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。   先前我曾經寫過一篇【購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例) 】文章,文章裡鉅細靡遺的解說如何從購買 SSL 憑證到安裝 SSL 憑證到 IIS 上的過程,而且都有詳細的圖文解說,不過我最近卻發現當透過 IIS7/IIS7.5 管理員匯入 SSL 憑證且將憑證設定為「不允許匯出此憑證」時,就會導致該憑證無法正確繫結到站台的狀況,所以特別撰文提醒各位如何才能夠安全的管理憑證使用,又能正常運作於 IIS7 之中。 基本上匯入憑證的過程非常簡單,我們開啟 IIS 管理原之後先點選伺服器節點,也就是下圖 “WEB” 這裡,然後點選「伺服器憑證」這一項: 接著我們在右側視窗的空白處按下滑鼠右鍵,點選「匯入」功能 在選取…


上傳檔案至 IIS 的檔案名稱有三個字元最好禁止使用 % # +

編者:Chohan Wu   本篇文章中,將由微軟的 MVP 分享 Microsoft IIS 取用檔名時所需要注意的事項, Microsoft IIS 的使用者可以參考。若有更新的資安應用,我們會在第一時間跟大家分享。   本文作者為黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。   上個月有個客戶提到他們從後台上傳的檔案不知為何在前台就是看不到,我查看了一下發現檔名中有個加號 ( + ),但奇怪的是原本網站明明就是好的。後來我才想起來客戶最近主機升級了,從 Windows Server 2003 升級到 Windows Server 2008 R2,可能是因為這樣才導致這個問題發生,我研究了一會兒終於明白問題發生的原因,並不是 IIS7 有問題,而是變的更安全了,也因為這個問題讓我更加意識到在實做檔案上傳功能時應該注意到的事情!  我們都知道在 Windows 裡還是有一些特殊字元是可以當成檔名的,像是百分比符號 ( % )、井號 ( # )、加號 ( + ) 以及一些其他字元,但是有些特殊符號由於在 Web 世界裡有其他的特殊用途,並不適合用在 Web 存取的環境中當成 URL 路徑的一部分,而這幾個字元就是我這邊文章想強調的…