保護用戶端電腦不受網路攻擊

更新日期: 2006 年 10 月 26 日

本頁內容

簡介
開始之前
Windows Live OneCare
Windows Defender
Windows 防火牆
相關資訊

簡介

許多企業組織極度仰賴網路防火牆的保護,以避免其工作站和伺服器受到來自網際網路的威脅。這種防護措施通常稱為「外如銅牆鐵壁,內實軟弱無力」。Microsoft 建議您依照本文件所描述的方式,使用網路防火牆和工作站的安全性功能。這樣就能讓您的安全性防護措施從裡到外都固若金湯。從入侵企業組織防火牆內部的網路蠕蟲來看,光有防火牆是不夠的。

網際網路上的攻擊者會製造各種蠕蟲和病毒,以破壞或造成資訊的損失,或竊取用戶端電腦上所儲存的資訊。這類攻擊會造成隱私資訊和公司機密的洩露、使電腦無法開機,或甚至用來對其他電腦發動攻擊。這樣的攻擊對連線至網際網路的電腦來說,的確是千真萬確的威脅。

大部份的攻擊方法都是利用已知的電腦安全性漏洞。對於執行 Microsoft® Windows® XP Service Pack 2 (SP2) 的用戶端電腦而言,使用下列功能可以提供相當安全性的防護:

  • 個人防火牆 (Windows 防火牆)

  • 更新 Service Pack 和補充程式 (自動更新)

  • 有最新簽章的防毒軟體 (Windows Live OneCare)

  • 有最新簽章的反間碟軟體 (Windows Defender)

本文件的目的

到本文件最後,讀者將會熟悉 Microsoft 所提供的各種工具與功能,以提高在中小型企業網路內,執行 Windows XP SP2 之用戶端電腦的安全性。

開始之前

在您套用本文件所建議的步驟之前,請先閱讀下列資訊。

需要認證

本文件所描述的大部份工作,都需要有系統管理帳戶才能執行。一般使用者無法執行這些工作。

建議事項

Microsoft 建議您將所有的 Windows 工作站都升級為 Windows XP SP2。Windows XP SP2 包含最新的安全性功能,其中大部份都預設為啟用。

Microsoft 也建議您將目前安裝的 Internet Explorer 各種版本升級為最新版本。

預設值

Microsoft 建議您採用本文件所討論之工具的安全性設定預設值。這些建議值在 Windows XP SP2 的功能與安全性之間取得了平衡點。多數的企業組織都有其獨特的安全性需求,而 Windows XP SP2 所提供的安全性功能,都能依照實際需要加以設定或停用。

Windows Live OneCare

Microsoft 提供 Windows Live OneCare,它是一個在背景執行的服務,可自動更新電腦的防護功能。它不僅可以協助您的電腦防禦病毒、駭客和其他威脅的攻擊,也能協助維持電腦的最新狀態並協助您備份重要文件。如需其他詳細資訊,請參閱 Windows Live OneCare (英文),網址是 www.windowsonecare.com。

Windows Live OneCare 能讓您在單一主控台上,檢查 Windows XP 工作站上,數種和安全性有關的服務狀態。在單一畫面上將說明病毒防護狀態、補充程式的層級、系統狀況和上一次的資料備份。

病毒防護

電腦病毒是刻意設計來干擾電腦作業的軟體程式。這類程式會記錄、破壞、刪除資料,或散播至其他電腦或整個網際網路,結果通常會減慢程序的執行速度,並造成其他問題。

就像人類病毒的嚴重性範圍,可從 24 小時的流感到伊波拉病毒,電腦病毒的範圍也可歸類為溫和侵擾到完全毀滅。電腦病毒也會以全新或不同的形式呈現。還好,只要一點防護措施和基本的防毒常識,就能避免成為病毒的受害者,並降低病毒所造成的影響。

Windows Live OneCare 具有會自動更新的防毒簽章與作業系統安全性補充程式,無須手動干預,就能保持電腦的最新狀態。

如需其他提供和 Windows XP 相容之防毒軟體廠商的清單 (中文),請參閱 http://support.microsoft.com/kb/49500/zh-tw。

防火牆監控

「Windows 防火牆」在單一電腦上執行,可以在您傳送或接收檔案時,保護電腦不受駭客攻擊。Windows Live OneCare 會持續監控「Windows 防火牆」。  

Windows Defender

您可以從 Microsoft 網站下載 Windows Defender,它能保護電腦隱私資訊不受來自網際網路的攻擊。Windows Live OneCare 會監控 Windows Defender 的狀態。

更新

Windows Live OneCare 會自動更新,以保持病毒、防火牆和間諜軟體防護的最新狀態,隨時保護您避免受到最新威脅。

檔案備份與還原

Windows Live OneCare 可以讓您備份重要的檔案與文件,並儲存在 CD、DVD 或外接式硬碟上,以應緊急之需。您可以手動執行,或是由 Windows Live OneCare 自動執行,這樣您就無須記住要定時備份檔案與文件。如果您在還原檔案時遇到問題,Windows Live OneCare 也能協助您將備份檔案還原到電腦上。

Windows Defender

間諜軟體通常和廣告軟體或是會追蹤個人或敏感資訊的軟體相互關連。這不表示所有提供廣告或者會追蹤您線上活動的軟體都是不好的。舉例來說,您所註冊的音樂服務可能是免費的,但是您必須同意接收特定廣告作為交換條件。若您了解並同意相關條款,可能會認為這是相當公平的交易。您可能也同意讓對方追蹤您的線上活動,以決定要對您顯示何種廣告。

其他不受歡迎的軟體會變更您的電腦設定,造成您的困擾,並降低電腦的執行速度或造成電腦當機。這類程式能夠變更「網頁瀏覽器」的首頁或搜尋頁面,或是將您不需要或不想要的元件加入您的瀏覽器。這類程式也讓您難以將變更過的設定值,改回原來的設定值。這類不受歡迎的程式通常稱為間諜軟體。

Windows Defender (Beta2) 是一種安全性技術,可協助 Windows 使用者防禦間諜軟體和其他潛在有害軟體的攻擊。它可以偵測並移除電腦中的已知間諜軟體,以協助降低間諜軟體所造成的負面影響,包括電腦效能降低、煩人的快顯廣告、網際網路設定遭受不必要的變更,以及未經授權使用您的私人資訊。它可以抵擋 50 種以上間諜軟體入侵電腦的的方式,提供連續的防護以提高瀏覽網際網路的安全性。全球性 SpyNet™ 社群的參與者扮演重要的角色,他們會決定將哪些可疑程式歸類為間諜軟體。Microsoft 研發人員會快速開發抵抗這些威脅的方法,而且會自動下載更新到您的電腦,讓您的防護功能隨時保持最新狀態。

您可以從 http://www.microsoft.com/taiwan/athome/security/spyware/software/default.mspx 下載 Windows Defender (中文)。最新版為 Beta 2 版。檔案名稱是 WindowsDefender.msi,大約 5.5MB 大小。(正式版發行之後,檔案名稱和檔案大小可能會變更。)

檔案下載之後,請執行下列步驟以安裝 Windows Defender (Beta 2)。

  1. 當您下載 Windows Defender (Beta 2) 時,會出現下列對話方塊。按一下 [執行]

    PCNA01.GIF


  2. 這時會出現以下的 [歡迎使用 Windows Defender 安裝精靈] 畫面。按一下 [下一步]

    PCNA02.GIF


  3. 接著會出現 [Windows Defender 授權合約]] (請見下列螢幕擷取畫面)。檢視合約條款。

    若要繼續安裝,請選取 [我接受這份授權合約],並按一下 [下一步]

    PCNA03.GIF


  4. 在接著出現的 [協助保護 Windows] 畫面 (請見下列螢幕擷取畫面) 上,選取 [使用建議的設定]。若您想閱讀隱私權聲明,請在 [隱私權聲明] 按鈕上按一下。接著按一下 [下一步]

    PCNA04.GIF


  5. 在接下來的 [設定類型] 畫面 (請見下列螢幕擷取畫面) 上,選取 [完成],並按一下 [下一步]

    PCNA05.GIF


  6. 在接著出現的 [準備安裝 Windows Defender] 畫面上,按一下 [安裝] 按鈕以開始安裝。

    PCNA06.GIF


  7. 安裝程序完成後,應該會出現以下的 [Windows Defender 安裝完成] 畫面。

    請確實選取 [檢查更新過的病毒定義,立即執行快速掃描] 選項,接著按一下 [完成]

    附註   這個步驟需要連線至網際網路。

    PCNA07.GIF


  8. 出現下列畫面時,請按一下 [檢查更新] 按鈕,以取得最新的程式更新。

    PCNA08.GIF


如需有關 Windows Defender (Beta 2) 的詳細資訊與進階功能,請參閱 Windows Defender (Beta 2) (中文),網址是 http://www.microsoft.com/taiwan/athome/security/spyware/software/default.mspx。

Windows 防火牆

防火牆是個安全性系統,如同網路和外部世界間的保護邊界。Windows XP SP2 中包括「Windows 防火牆」,此防火牆軟體在每部用戶端電腦上的執行方式大致相同。

「Windows 防火牆」會自動安裝於 Windows XP Professional SP2,並能隨著需要自行設定。依預設會啟用此功能,並協助保護您不受網路攻擊。Windows Live OneCare 也會監控「Windows 防火牆」,並能讓您從單一主控台檢查 PC 的整體安全性狀態。本文件其餘內容將說明如何經由「Windows 資訊安全中心」(位於 [控制台] 上),來變更「Windows 防火牆」的設定。

附註   「Windows 防火牆」不是要用來取代網路防火牆的功能。Windows 網路連線功能呈啟用狀態,並且能通過「Windows 防火牆」,表示您還是可以和網路上的其他電腦溝通、列印和存取網路共用資源。建議您還是要啟用網路防火牆,以保護由這些功能所開啟的連接埠。

一般設定

「Windows 防火牆」的一般設定允許您設定以下選項:

  • [開啟] (建議)。

  • [關閉] (不建議)。若您關閉「Windows 防火牆 」,會讓您的電腦容易受到病毒、蠕蟲或入侵者的破壞。

  1. 若要開啟「Windows 資訊安全中心」,請按一下 [開始],再按 [控制台]。這時會顯示以下畫面。

    PCNA09.GIF


  2. 請在 [選取類別目錄] 區,按一下 [資訊安全中心]。這時會出現 [Windows 資訊安全中心] 畫面 (請見下列螢幕擷取畫面)。

    PCNA10.GIF


設定通知

依預設,每當「Windows 防火牆」封鎖從您的電腦與其他電腦進行通訊的程式時,就會顯示通知對話方塊。此對話方塊看起來就像以下螢幕捕捉畫面所示:

PCNA11.GIF


此對話方塊會顯示所封鎖的程式為何,並允許您選擇是否要執行該程式。可用的選項包括:

  • [保持封鎖]。若您選擇此選項,程式未取得您的許可之前,不會接受來自網際網路或網路的連線。

  • [解除封鎖]。使用此選項可以將程式列入「Windows 防火牆」的例外清單中。

  • [稍後詢問我]。若您不知道要封鎖程式,還是要解除對程式的封鎖,請選擇此選項。此選項會基於安全性考量而封鎖程式。下次當此程式又被封鎖時,會再次出現同樣的訊息。

瞭解應用程式使用連接埠的方法

連接埠是程式用來與其他程式進行通訊的連接點,特別是在其他電腦上執行的程式。每個連接埠都是由傳輸方式加上連接埠編號組合而成。每種類型的應用程式或服務,都有它所關聯的特定連接埠。例如,網頁伺服器的標準連接埠是 TCP 連接埠 80,檔案傳輸通訊協定 (File Transfer Protocol,FTP) 伺服器的標準連接埠是 TCP 連接埠 21,網頁伺服器服務提供的檔案及列印共用,會接收下列四個連接埠的訊息:UDP 連接埠 137 和 138,以及 TCP 連接埠 139 和 445。

「Windows 防火牆」會封鎖所有的連接埠,以避免接收來路不明的連入訊息。這項功能可以保護您的電腦,因為它會封鎖通常會被惡意程式用來取得電腦存取權的訊息。「Windows 防火牆」不會干擾大多數的合法商業軟體,因為依常理而言,這些軟體不會傳送來路不明的訊息給用戶端電腦。

由於防火牆會限制您的電腦與網際網路之間的通訊,因此您可能需要針對偏好開啟連線的某些程式,來調整防火牆設定。您可以為這些程式設定例外情形,讓它們能夠透過「Windows 防火牆」進行溝通。

允許例外情形—風險

每次當您允許程式透過「Windows 防火牆」進行溝通時,您的電腦受到攻擊的機率就會提高一點。允許例外情形就如同在防火牆上戳個洞一樣。如果洞太多,防火牆的保護就所剩無幾了。駭客通常使用軟體來掃描網際網路,看看哪些電腦在沒有保護的情況下連線至網路。若您的電腦有許多例外情形和開啟的連接埠,那麼就很容易受到攻擊。

若要協助降低安全性風險:

  • 只有在真的需要時,才允許例外情形。

  • 千萬不要針對您不認識的程式設定例外情形。

  • 移除您不再需要的例外情形。

即使有風險,仍允許例外情形

有時候即使有風險,您還是要讓他人連線至您的電腦-例如說您希望透過網際網路,接收由即時通訊程式所傳來的檔案。

如果和您進行即時通訊的對象要傳送檔案給您 (如試算表),「Windows 防火牆」會顯示提示,詢問您是否要取消連線的封鎖,並允許檔案傳輸。或者您也可以將即時通訊程式新增為例外,這樣「Windows 防火牆」就會允許連線至您的電腦。

若要將程式新增到例外清單上,請完成下列程序中的各項步驟。

  1. 按一下 [開始],再按 [控制台]

  2. 在 [控制台] 上,按一下 [資訊安全中心],再按 [Windows 防火牆]

  3. [例外] 索引標籤上,於 [程式和服務]] 之下 (請見下列螢幕擷取畫面),勾選您想要允許的程式或服務旁的核取方塊。接著按一下 [確定]

    PCNA12.GIF


若您想要允許的程式 (或服務) 未出現在清單上:

  1. 按一下 [新增程式]

  2. [新增程式] 對話方塊上,選取您要新增的程式,然後按一下 [確定]

  3. 按一下 [確定]


秘訣   若您要新增的程式 (或服務) 未列在 [新增程式] 對話方塊中,請按一下 [瀏覽],找出您要新增的程式,然後在上面按兩下。(程式通常儲存在電腦的 [Program Files] 資料夾中。)程式會出現在 [新增程式] 對話方塊的 [程式] 底下。

最後一個辦法是 [開啟連接埠]

如果還是找不到該程式,可以開啟連接埠。連接埠就像防火牆上的一個小門,允許穿過防火牆進行通訊。若要指定所要開啟的連接埠,請在 [例外] 索引標籤上,按一下 [新增連接埠]。(開啟連接埠之後,請記得要在使用後再次關閉連接埠。)

建議您在新增例外程式時要開啟連接埠,原因如下:

  • 比較容易執行。

  • 您不必知道要使用哪個連接埠編號。

  • 新增例外程式較開啟連接埠更安全,因為防火牆只有在程式等待接收連線時才會開啟。

進階選項

進階使用者可以開啟個別連線的連接埠,或是設定個別連線的範圍,將入侵者連線至電腦或網路的機會降至最低。若要執行此步驟,請開啟「Windows 防火牆」,按一下 [進階] 索引標籤,然後使用 [網路連線設定] 底下的設定。

如要進一步瞭解進階功能,請參閱「了解 Windows 防火牆 (中文)」,網址是 http://www.microsoft.com/taiwan/windowsxp/using/security/internet/sp2_wfintro.mspx。

相關資訊

如需關於開啟連接埠的詳細資訊,請參閱下列文件:

如需更多有關防火牆的一般資訊,請參閱下列文件:

如需有關 Windows XP SP2 安全性的詳細資訊,請參閱下列連結:

  • 位於 Microsoft 下載中心網站的「Windows XP 安全性指南」(英文),網址是 http://go.microsoft.com/fwlink/?linkid=35309。

如需安全性相關術語的定義,請參閱下列連結:


下載

取得 [保護用戶端電腦不受網路攻擊] (英文)



顯示: