保障遠端用戶端及可攜式電腦的安全
Overview
發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日
本頁內容
簡介
保護資料並進行加密
備份您的檔案
建立強性密碼
安裝最新的防毒軟體
取得電腦更新資訊
使用網際網路防火牆
提供無線網路的安全性
使用 VPN 連線
相關的資訊
簡介
由於與網際網路永遠保持連線的 DSL 及纜線數據機日漸普及,從遠端位置連線到網際網路或其他網路的居家電腦系統及可攜式電腦,越來容易遭受到來自網際網路的外部攻擊。惡意程式碼 (例如蠕蟲及病毒) 的威脅與日俱增,加上其他人可能企圖非法存取您的電腦,這使得確保桌上型電腦及可攜式電腦的安全成了非常重要的議題。
本文件提供了安全性措施的指南,您可用於保護家用及可攜式電腦,在遠端連線至公司網路時無後顧之憂。其中亦包含提供詳細說明的相關文件連結,以協助保護公司網路外部的電腦維持安全狀態。此外,本文件的多項建議可協助保護位於公司網路的用戶端電腦,主要是針對從外部連線至受到保護公司內部網路的電腦 (尤其是可攜式電腦)。
可攜式電腦的優勢在於輕薄尺寸和攜帶方便的結合,這也成了容易遭竊的原因。再說,偷竊者可能並非為了可攜式電腦,而是覬覦內含資料的緣故。更重要的是,公司網路通常會從防護邊界中移除可攜式電腦,而改連線至其他網路,例如高傳真無線區域網路 (Wi-Fi)、無線上網據點 (HotSpot) 或網路咖啡館。當可攜式電腦連線至其他網路,儘管網路可能使用安全性技術來解決已知的安全性問題,抑或根本毫無安全性可言,電腦皆可能遭到惡意攻擊,甚至透過未受保護網路的電腦感染病毒。家居電腦和小型辦公室網路也有此種困擾。將可攜式電腦設定在「安全」狀態是不夠的。使用者在將可攜式電腦連入、連出公司網路時,請務必留意:切勿連線到未提供企業安全性標準層級的網路。
本文件的目的在於介紹協助保護電腦的方式,且主要針對執行 Microsoft® Windows® XP Professional 作業系統的電腦。然而,其中絕大部分的資料亦適用於其他 Windows 作業系統。
保護資料並進行加密
Microsoft Windows 2000 Professional、Microsoft Windows 2000 Server、Windows XP Professional 及 Microsoft Windows Server™ 2003 作業系統具有兩種技術,除了提供效能、安全性、可靠性之外,亦提供在 FAT 檔案系統版本中找不到的進階功能:NTFS 檔案系統及「加密檔案系統 (EFS)」。NTFS 是將磁碟格式化的一種方式。EFS 是與儲存在 NTFS 硬碟之檔案搭配使用的加密技術。
NTFS
Windows 2000 Professional、Windows 2000 Server、Windows XP Professional 及 Windows Server 2003 皆提供可使用 NTFS 檔案系統將硬碟、資料夾及內容格式化的功能。NTFS 是較 FAT 或 FAT32 更為進階的檔案系統。NTFS 使用標準異動記錄及復原技術,能維持磁碟機的穩定度。若系統當機的話,NTFS 會使用記錄檔及檢查點資訊,恢復檔案系統的穩定度。NTFS 亦提供諸如檔案/資料夾許可權和壓縮等進階功能。作業系統中的 NTFS 版本亦支援 EFS,以用來針對個別及數個檔案進行加密。
**注意:**攻擊者若侵入以 NTFS 格式化的硬碟進行實體存取,通常可略過 NTFS 許可權,但要破解 EFS 加密就困難多了。NTFS 並未針對實體存取提供保護措施,但若適當的設定 EFS,則可提供某些防護。
若要使用 NTFS 來協助保護資料,在此建議您在電腦上執行 Windows 2000 Professional、Windows 2000 Server、Windows XP Professional 或 Windows Server 2003 等作業系統。Microsoft Windows 95、Microsoft Windows 98 及 Microsoft Windows Millennium Edition 作業系統則建議使用 FAT 或 FAT32 檔案系統。FAT 及 FAT32 並不支援檔案層級的安全性,因此若有人進入您的電腦,便能存取整個系統。若您尚未使用 NTFS 將 Windows 2000、Windows Server 2003 或 Windows XP 作業系統格式化,在此建議您使用網站上所述的程序將 FAT 轉譯為 NTFS,請連至 Microsoft 網站上的《How to Convert FAT Disks to NTFS (英文)》,網址是 https://go.microsoft.com/fwlink/?LinkId=22806。
**注意:**其他稍舊的程式可能無法在 NTFS 磁碟區上執行,因此您應研究目前軟體的需求再進行轉譯。
EFS
加密址的是將資料編碼以防止未經授權的存取。EFS 是結合 Windows 2000 Professional、Windows 2000 Server、Windows XP Professional 及 Windows Server 2003 作業系統的 Microsoft 技術。EFS 使用對稱加密金鑰及公開金鑰結構的技術。您可使用 EFS 針對儲存在 NTFS 磁碟區的檔案及資料夾進行加密。若發生電腦遭竊的事件,EFS 可透過將硬碟架設在其他電腦,並轉移檔案所有權,以防止他人對您的檔案進行存取。
**注意:**啟用資料夾加密 (不僅是檔案而已),如此資料夾中的檔案皆會執行加密。
關於保護執行 Windows XP Professional 電腦連線狀態的詳細資訊,請參閱《Security Guidance Kit (英文)》中的<Protecting Data by Using EFS to Encrypt Hard Drives>。
備份您的檔案
備份檔案可防止因意外刪除資訊,以及電源激增、硬碟發生錯誤或惡意使用者所造成的資料損毀。請務必採用經濟、預防的方式,定期備份檔案來保護珍貴的資料。關於如何備份及使用備份來復原資料的詳細資訊,請參閱 TechNet 網站上的《HOW TO:Use Backup to Back Up Files and Folders on Your Computer in Windows XP (英文)》,網址是 https://go.microsoft.com/fwlink/?LinkId=22755。
建立強性密碼
若要防止未經授權存取電腦上的資訊,最簡易的方法便是建立及使用強性密碼。因為密碼破解工具持續在改進,用於此目的之電腦功能也日益強大,強性密碼成了重要的關鍵。您可在家居或小型辦公室網路、抑或不屬於任何網路的個人電腦上使用強性密碼,以防止他人未經授權存取您的資訊。
關於建立強性密碼的詳細資訊,請參閱《Security Guidance Kit (英文)》中的<Enforcing Strong Password Usage Throughout Your Organization>。
安裝最新的防毒軟體
病毒通常是透過電子郵件或網際網路的位址進行傳輸。蠕蟲及病毒可能造成電腦資料喪失、不佳或異常的作業狀態,甚至停止運轉。他們不但未經授權地存取您的電腦,甚至使用您的電腦攻擊擊其他的電腦。若您尚未在電腦上安裝防毒軟體,目前市面上有許多不錯的產品可供參考。Microsoft 夥伴公司亦提供免費的解決方案:《Protect your PC Web site (英文)》,網址是 https://go.microsoft.com/fwlink/?LinkId=22645。
您應考慮在每台電腦上皆安裝防毒軟體,並針對電腦上所有檔案排程防毒程式,每週至少掃描一次。由於新的病毒每隔一段時間就會浮現,請定期更新防毒軟體的病毒碼,以避免電腦遭到感染或攻擊。若發現感染,防毒軟體可將特定的檔案加以修復或隔離。
**注意:**您可使用 Windows Task Scheduler 來進行定期掃描病毒的排程。請參閱 TechNet 網站上的《To schedule a new task (英文)》,網址是 https://go.microsoft.com/fwlink/?LinkId=22646。
取得電腦更新資訊
若能針對作業系統及其他軟體定期執行更新資訊,這樣可減少未經授權存取您的網路的風險。定期維護排程通常是套用更新最有效的方式。
另一個確保電腦維持最新狀態的有效方式,便是將電腦設定為透過網際網路或集中更新伺服器自動更新軟體 (例如 Windows XP 中的自動更新公用程式)。其他的方式包括:經常造訪 Microsoft Windows Updates,位於 https://go.microsoft.com/fwlink/?linkid=3326,以手動安裝更新資訊。
關於啟用「自動更新」的實際步驟過程指引,請參閱位於《Security Guidance Kit (英文)》中的<Deploying Patches with Windows Update and Automatic Updates>以及 <Protect your PC Web site>。
使用網際網路防火牆
防火牆可保護公司網路上的電腦,防止入侵者透過網際網路連線取得系統的存取權。可攜式電腦一旦離開公司網路安全結構範圍,並連上網際網路,則內含資料和與網際網路/公司網路的連線很容易受到攻擊。連線至網際網路或公司網路的家居電腦也容易受到攻擊。
若您使用電腦從遠端位置連線至網際網路或公司網路,則應使用防火牆。您可能會找到相反的資訊,但仍建議您針對「網路連結」資料夾中尚未啟用防火牆的連線方式,啟用 [網際網路連線防火牆 (ICF)]。Windows XP Professional 內含 ICF 軟體,您可用於限制在網際網路及家庭網路之間通訊的資訊。ICF 是免費的軟體,位於防禦前線以圍堵電腦病毒及網際網路上可能有害的資訊。ICF 無法阻擋所有形式的攻擊,例如電子郵件及惡意網站可能會規避您的防火牆。
注意: ICF 設定為每次連線即啟動的模式。例如若您有時使用撥接數據機、有時使用 DSL 數據機將電腦連至網際網路,則需針對每次連線分別進行 ICF 設定。
關於如何保護執行 Windows XP Professional 電腦連線的詳細資訊,請參閱《Security Guidance Kit (英文)》中的<Protecting Clients From Network Attacks>。
提供無線網路的安全性
近年來,無線網路的部署明顯增加,至今已有 802.11 個無線網路。此種趨勢大部分歸功於「高傳真無線區域網路」標準,它讓公司或居家的無線網路部署變得簡單。802.11 無線產品經過 Wi-Fi 認證且具有整合式設計,任何經過 Wi-Fi 認證的無線介面卡皆能連至 Wi-Fi 存取點。
當各處部署了具已知安全性問題的無線安全性技術,或所部署的 Wi-Fi 存取點並未啟用任何無線安全措施,安全性問題開始出現。此時,使用者必須留意,千萬別連線到未達到企業安全性標準層級的網路。許多人認為 802.11b 無線訊號只能傳送到膝上型電腦天線所及之處。他們相信廣播範圍有限的話,網路安全應不足為慮。事實上,其他人若有啟用 Wi-Fi 功能的電腦,加上長距離的天線範圍,便能偵測到 802.11b 符號。
各種 Wi-Fi 裝置的互通性亦簡化了無線網路的部署。若您尚未啟用及設定無線安全性的措施,則他人可能會使用無線電腦,存取您的 802.11b 無線網路,或收集在無線電腦和存取點之間傳送的資訊。
若要針對使用 802.11b 無線元件的居家或小型辦公室網路,提供安全性措施,請依照 TechNet 網站上《Configuring Windows XP IEEE 802.11b Wireless Networks for the Home and Small Business (英文)》所列的步驟進行,位於 https://go.microsoft.com/fwlink/?LinkId=22647。
使用 VPN 連線
虛擬的私人網路 (VPN) 是指在兩個以上周遊至其他網路的電腦之間,進行安全、虛擬的連線方式。VPN 結合了認證、加密、使用者及電腦驗證等方式,以確保系統之間的通訊維持隱密,且資料不致遭到竄改。VPN 連線可將您的電腦與遠端網路相連,看起來似乎是直接連結至網路。例如遠端使用者可在檢查電子郵件或做其他工作時,連線到公司網路。若您的公司網路提供遠端電腦使用的 VPN,在此建議您參閱《Security Guidance Kit (英文)》中的<Securing Remote Access>,以保護您的電腦及網路。
**注意:**若您使用網際網路連線共用 (ICS) 功能,允許數個家用電腦共用一個網際網路連結,請勿從 ICS 主機電腦使用撥接或 VPN 連線至公司網路。這樣做的話,家用 ICS 網路產生的流量將遞迴至公司網路。對於多數公司而言,如此便違反了公司安全原則。此外,從 ICS 網路的用戶端電腦啟用 VPN 或撥接連線是可行的,因為 ICS 執行的網址轉譯 (NAT) 具有其他的安全性功能。請諮詢您的合格 IT 人員和法律顧問,以建立有效的電腦存取原則,並減少 VPN 的相關風險。
相關的資訊
關於防火牆、電腦更新,以及防毒軟體的詳細資訊,請參閱下列連結: