数字取证是将科学调查技术应用于数字犯罪和攻击领域的一门学问。它主要是对电子证据识别、保存、收集、分析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。
计算机取证是数字取证的分支,用于从计算机、虚拟机 (VM) 和数字存储介质捕获数据,并对这些数据进行分析。企业针对终端设备需要数字取证的原因可能有以下几点:
-
防止或应对数据泄露、黑客攻击、恶意软件等网络安全威胁
-
保护企业的知识产权、商业机密、客户信息等重要资产
-
遵守相关的法律法规和行业标准,提高企业的信誉和竞争力
-
调查或处理员工的不当行为,如违反公司政策、滥用职权、盗用资源等
公司必须保证它们为响应法律请求而提供的数字证据在整个证据获取、保留和访问过程中都体现一个有效监管链 (CoC) 的存在。为了确保提供有效的CoC,数字证据存储必须体现充分的访问控制、数据保护和完整性、监视和警报功能,以及日志记录和审核功能。
在具体的电子取证过程中,需要遵循一定流程,数字取证的流程是指对电子证据进行识别、收集、保护、分析和呈堂的一系列步骤。根据网络搜索结果,不同的国家或机构可能有不同的数字取证流程模型,但一般可以划分为以下四个阶段:
-
电子证据的确定和收集:这一阶段要求取证人员尽快进入现场,封锁涉案的计算机系统、设备和存储介质,保护现场不受破坏或篡改,同时详细记录案情、现场情况、设备信息等,并使用专业的工具和方法对涉案的电子数据进行提取和备份。
-
电子证据的保护:这一阶段要求取证人员对收集到的电子数据进行完整性校验,确保备份数据与原始数据一致,并使用写保护技术、防磁技术、防静电技术等对电子数据进行安全存储,避免数据丢失或损坏,并做好标签和登记,建立证据链。
-
电子证据的分析:这一阶段要求取证人员使用相应的软件和技术对备份数据进行非破坏性分析,即在不改变数据内容的前提下,对数据进行恢复、解密、搜索、过滤等操作,从中提取与案件事实相关的信息,并建立时间线、事件链等分析结果。
-
电子证据的呈堂:这一阶段要求取证人员将分析结果整理成图文并茂的报告,报告中应包括详细完整的数据记录、分析方法、分析过程、分析结论等,并能够在法庭上对报告进行说明和回答质询,以提高电子证据的说服力和法律效力。
为了支持这些取证,Windows 365 提供了将云电脑置于审阅状态的功能。此操作将安全地将云电脑的快照保存到客户的Azure存储帐户。转到该帐户后,客户拥有快照的完整所有权。调查员可以附加云电脑快照的磁盘副本,并将其传输到专用于取证分析的安全存储帐户。无需重新创建、开机或访问原始源云电脑即可完成此过程。
在Windows 365中可能有以下场景以将云电脑置于审阅状态:
- 来自内部安全操作中心(SOC)团队的请求。
- 对来自内部或外部第三方审核员的请求的响应。
- 作为对挂起或正在进行的法律调查的响应。
为了响应存储在云电脑上的数据的法律请求,管理员必须证明他们提供的数字证据在整个证据获取、保留和访问过程中展示出有效的监管链 (CoC)。因此,管理员应确保对以下项目提供足够的支持:
-
访问控制
-
数据保护和完整性
-
监视和警报
-
日志记录和审核
登录到Microsoft Intune管理中心,然后选择”设备”>”所有设备”
选择需要进行电子数字取证的设备,选择省略号 (…) >将云电脑置于评审状态
选择 Azure 订阅以及向 Windows 365 服务授予”存储帐户参与者“权限的 Azure 存储账户。管理员可以根据需要,选择评审期间是否允许继续访问云电脑。这里我选择阻止访问。
点击”提交审核”,根据云电脑的大小,可能需要几分钟时间才能将快照保存到存储帐户
并且您会发现针对该云电脑的设备管理功能全部”暂停”,例如重启设备功能。
登录Windows 365 (microsoft.com) 会发现,该设备暂时无法使用
等电子数字取证完成之后,选择”从审核中删除”以及允许访问,之后针对该云电脑恢复正常访问
如果希望针对一批设备进行电子数字取证,我们可以使用批量设备操作。
