台式机客户端的配置
上一次修改主题: 2005-04-29
Microsoft Windows 和 Microsoft Office Outlook 的最新版本和 Service Pack 包含许多安全增强功能和病毒防御增强功能。例如,从 Outlook 2002 开始,即包含并默认启用附件阻止和对象模型保护功能。Windows XP Service Pack 2 (SP2) 的网络属性页中内置了 Windows 防火墙(以前称为“Internet 连接防火墙”)。在某些情况下,功能可以通过更新应用于早期版本的 Microsoft 软件。但是,为了维护一个安全的环境,建议您运行最新版本的 Windows 和 Outlook。此部分给出了特定于 Windows 和 Outlook 的客户端更新建议,并提供了指向更深入的详细实施信息的链接。
除了使 Windows 和 Outlook 保持最新以外,使组织中的防病毒签名保持最新也很重要。此外,对组织中的软件实施主动的更新管理解决方案也极其重要。有关对 Microsoft 软件的更新管理的详细信息,请参阅 Understanding Patch and Update Management: Microsoft's Software Update Strategy(英文)。
配置 Windows 防火墙或其他个人防火墙软件
Windows XP SP2 包含 Windows 防火墙(以前称为“Internet 连接防火墙”),该防火墙使得用户只须选中一个复选框,即可阻止很少使用的端口上的通信。在客户端计算机上运行 Windows 防火墙或其他第三方个人防火墙软件,对于帮助抑制或阻止许多病毒至关重要。例如,当 MyDoom 蠕虫感染了某一台计算机时,TCP 端口 3127 到 3198 将响应入站请求。这为攻击者制造了一个潜在的机会,使其能够连接到该计算机,并将该计算机用作代理来访问网络资源。在客户端计算机上安装并配置防火墙将使此类蠕虫无法发挥作用。
.gif "note") 注意: |
|---|
| Windows 提供了三种不同的防火墙解决方案。Internet 连接防火墙和基本防火墙是 Windows Server 2003 中的路由和远程访问服务的组件。Windows XP 和 Windows XP SP1 包含 Internet 连接防火墙,它是一项控制面板功能,可以用来对允许从 Internet 进入您所在网络的通信设置限制。Windows 防火墙指的是 Windows XP SP2 中包含的防火墙。 |
默认情况下,Internet 连接防火墙在 Windows XP 和 Windows XP SP1 中是禁用的。默认情况下,在 Windows XP SP2 中,Windows 防火墙对所有连接都是启用的。此外,Windows 防火墙现在可以通过组策略对象 (GPO) 来管理,这使管理员可以基于移动计算机的位置来配置不同级别的保护。例如,考虑一台便携式计算机连接到企业域的情况。相对于便携式计算机连接到公共无线 Internet 访问点的情况,这种情况的端口限制可能要少一些。
数百个应用程序使用不同的端口进行通信。认识到这一点很重要。一些应用程序定义它们自己的端口,例如即时消息、对等文件共享和通信软件,以及行业应用程序。运行 Windows 防火墙或其他个人防火墙软件可能导致这些应用程序失败。请确保认真阅读所有防火墙文档。在组织中部署配置之前,应先测试配置。
建议
- 将所有 Windows 客户端升级到 Windows XP SP2,或者部署其他第三方个人防火墙软件。
- 开发一组标准的允许端口。如果您部署的是 Windows XP Windows 防火墙,应分别针对“域”和“移动”情况定义所允许的端口。
- 将防火墙配置部署到所有客户端。如果您部署的是 Windows XP Windows 防火墙,应通过组策略对象来部署客户端配置。
资源
- 有关 Windows XP SP2 中 Windows 防火墙的更新的详细信息,请参阅 Changes to Functionality in Microsoft Windows XP Service Pack 2(英文)。
- 有关在企业中使用组策略对象部署和配置 Windows 防火墙的详细信息,请参阅 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(英文)。