保護用戶端遠離網路攻擊

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
決定哪些電腦應該受保護
識別必須保持開啟的連接埠
啟用 ICF
開啟連接埠
啟用安全性記錄
相關資訊

簡介

網際網路上心懷惡意的使用者或攻擊者,會建立曝露或破壞有用資訊的蠕蟲及病毒,並執行工具來嘗試入侵您的電腦。為了達到這些目的,工具、病毒及蠕蟲會傳送訊息到用戶端電腦,並找出不同程式用來接收合法訊息的連接埠。如果惡意程式碼可以和特定連接埠聯繫,那麼就有可能取得進入您電腦的權限。如果要限制安全性威脅,您可以啟用防火牆軟體,除了刻意開放的連接埠之外,它可以封鎖所有的連接埠。網際網路連線防火牆 (Internet Connection Firewall,ICF) 是 Microsoft® Windows XP® 內建的防火牆軟體。

本文件中的步驟向您說明如何:

  1. 決定哪些電腦應該受保護

  2. 識別必須保持開啟的連接埠

  3. 啟用 ICF

  4. 依需要開啟額外連接埠

  5. 依需要啟用安全性記錄

透過本文件中的下列步驟,您可以經由啟用及設定 ICF 來改變您的電腦。然後,ICF 會執行並協助避免電腦回應來路不明的訊息,這些訊息是惡意程式用來散播及破壞系統和資料。

重要:本文件中所有逐步操作指示,是由「開始」功能表展開,依預設,「開始」功能表會在作業系統安裝完成後出現。如果您曾經修改「開始」功能表,操作步驟可能會有些微不同。

開始之前

這一節會向您說明,在啟用 ICF 之前您應該:

  • 確認作業系統及 Service Pack

  • 瞭解應用程式使用連接埠的方法

  • 部署之前先在用戶端上測試 ICF

  • 疑難排解

確認作業系統及 Service Pack

本文件中建議的主要系統,是執行已安裝 Service Pack 1 (SP1) 或 SP1(a) 的 Windows XP Professional。如果特定電腦上沒有安裝 SP1 或 SP1a,或您不清楚是否已安裝,可以前往 Microsoft 網站上的 Windows Update 網頁,網址是 http://go.microsoft.com/fwlink/?LinkID=22630。然後使用 Windows Update 為電腦掃描可用的更新。如果顯示 Service Pack 1 是可用的更新,請先安裝它,然後再進行本文件中的程序。

本指南並不是為了解決大型企業可能面對的各種不同需求和設定問題。此外,它也可能無法完全解決部分組織的特定安全性需求問題。

本指南中的大多數任務,也適用於執行 Microsoft® Windows Server™ 2003 的電腦,但在伺服器上啟用 ICF,一般來說需要更深入的研究與問題排解,而這些並不在本指南的討論範圍。

Windows XP 之前版本的 Windows 沒有內建 ICF。如果要保護這些系統,您可以使用硬體防火牆或軟體防火牆。若要進一步瞭解關於其他公司出品的軟體防火牆、硬體防火牆及網路路由器,以及關於如何選取公司適用之防火牆的詳細資訊,請參閱 Microsoft 網站上的《Install a firewall to help protect your computer (英文)》,網址是 http://go.microsoft.com/fwlink/?LinkID=22496

瞭解應用程式使用連接埠的方法

連接埠是程式用來與其他程式進行通訊的連接點,特別是在其他電腦上執行的程式。每個連接埠都是由傳輸方式加上號碼組合而成。傳輸方式可以是傳輸控制通訊協定 (Transmission Control Protocol,TCP),或是使用者資料包通訊協定 (User Datagram Protocol,UDP)。每種類型的應用程式或服務,都有它所關聯的特定連接埠。例如,網站伺服器的標準連接埠是 TCP 連接埠 80,檔案傳輸通訊協定 (File Transfer Protocol,FTP) 伺服器的標準連接埠是 TCP 連接埠 21,Windows Server 服務提供的檔案及列印共用,會接收下列四個連接埠的訊息:UDP 連接埠 137 和 138,以及 TCP 連接埠 139 和 445。

當您啟用了 ICF,依預設它會封鎖所有連接埠,以避免接收來路不明的連入訊息。這麼做可以保護您的電腦,因為它會封鎖通常會被惡意程式用來取得電腦存取權的訊息。ICF 不會干擾大多數的合法商業軟體,因為依常理而言,這些軟體不會傳送來路不明的訊息給用戶端。然而,如果發生例外情況,而 ICF 阻擋了合法通訊,您可以設定 ICF 開啟合法軟體所使用的連接埠。

大多數服務會使用一或多個特定連接埠,但有一些服務及許多軟體,也會從範圍中隨機挑選一或多個連接埠,這個範圍視應用程式而有不同。如果這一類應用程式的設計包含通知 ICF 挑選的連接埠,那麼這個應用程式就可以和 ICF 共同運作。否則,您通常必須在應用程式與 ICF 之間擇一執行。雖然開啟應用程式範圍中所有連接埠是可行之道,但要一個一個地開啟範圍內為數不少的連接埠就不切實際。即使這項工作很容易,但絕非明智之舉,因為增加連接埠開啟的範圍,一般來說只會降低電腦的安全性。

部署之前先在用戶端上測試 ICF

當您在所有用戶端電腦上啟用 ICF 之前,先行在網路環境中測試 ICF 與一般應程式是必要步驟。分別在每一部用戶端電腦上啟用 ICF,如果需要設定 ICF,您也必須分別在每一部用戶端電腦上進行設定。假設有 50 部用戶端電腦,而您不執行測試就在這些電腦上啟用 ICF,並且發生了會影響所有用戶端的問題,唯一的解決方案是單獨地設定每一部電腦。

疑難排解

一般來說,在用戶端電腦上執行 ICF 並不會干擾商業軟體,但如果發生衝突情形時,疑難排解不免千頭萬緒,因為問題與解決方案,通常要依據用戶端所執行軟體的組合而定。因此,疑難排解不在本文件的討論範圍。如需關於 ICF 疑難排解的詳細資訊,請參閱 Microsoft 網站上的《Troubleshooting Internet Connection Firewall on Microsoft Windows XP (英文)》,網址是 http://go.microsoft.com/fwlink/?LinkId=22499

決定哪些電腦應該受保護

建議您在所有用戶端電腦上啟用 ICF,包括僅與組織網路連線的桌上型電腦。大多數組織網路包含的硬體或軟體防火牆,會監視組織網路與網際網路之間的每個連線,在這種情形下,啟用網路用戶端上的防火牆似乎顯得多此一舉。然而,透過直接連線到網際網路的未受保護行動電腦,惡意程式碼可以經由感染這些電腦來通過網路防火牆,並在稍後連線到組織網路。藉由在用戶端電腦上啟用 ICF,可以協助限制惡意程式碼透過網路散播並破壞系統的能力。

直接連線到網際網路的用戶端,是最常處於攻擊風險的用戶端,尤其是筆記型電腦這一類的行動裝置。如果您僅能選擇保護部分用戶端電腦,建議您優先保護行動裝置。

考慮在伺服器電腦上啟用 ICF,但必須先瞭解下列狀況:

  • 防火牆干擾伺服器軟體的可能性比用戶端軟體大,因為伺服器軟體的用途是為了接收來路不明的連入訊息。

  • 如果防火牆干擾伺服器軟體,可能會引發難以解決的問題。

  • 發生在防火牆與伺服器軟體之間的每個衝突,都會對為數眾多的用戶端產生影響。

防火牆與伺服器軟體之間的衝突範例,是應用程式所需的連接埠被防火牆封鎖,本文件稍後會有詳細說明。

識別必須保持開啟的連接埠

如果要將 ICF 干擾合法軟體的可能性降到最低,請先識別必須保持開啟的連接埠,然後再啟用 ICF。ICF 使用者介面會列出最常需要存取連接埠的程式,您無需調查每個程式所用的連接埠,可以直接依據名稱來選取它們:

  • FTP 伺服器

  • 使用 IMAP3、IMAP4、SMTP 或 POP3 的電子郵件伺服器

  • 遠端桌面

  • 標準及安全網站伺服器

  • Telnet 伺服器

接著是需要開放連接埠常用程式:

  • 網際網路檔案共用或音樂共用軟體。

  • 多人連線遊戲。

  • 依賴伺服器將最新資訊通知給用戶端的商業軟體。電子郵件伺服器通常會在新電子郵件到達時通知用戶端,部分電子郵件伺服器甚至會傳送訊息給用戶端。資料庫伺服器可以在特定資料庫欄位變更時通知用戶端。

  • 允許用戶端電腦當成伺服器的點對點功能及應用程式。Windows XP 電腦可以和其他用戶端共用檔案及印表機,這需要電腦具有接收連入訊息的能力。即時訊息用戶端可以傳送檔案給其他人,這需要傳送來路不明訊息的能力。

這些程式和它們所使用的連接埠,都詳列在下列資源中:

如果文件中的資訊無法指出您應該開啟哪些連接埠,請連絡製造廠商。

啟用 ICF

執行下列程序,在執行 Windows XP SP1 的用戶端電腦上啟用 ICF。

注意:本文件中的螢幕擷取畫面取自於測試環境,因此顯示的資訊可能與您電腦上實際顯示的資訊會有些微不同。

需求

  • 認證:您必須以本機 Administrators 群組成員登入。

  • 工具:控制台。

  • 若要啟用 ICF

    1. 按一下 [開始],再按一下 [控制台]。

    2. 按一下 [網路和網際網路連線]。

      選取類別


      注意:如果沒有顯示 [網路和網際網路連線],請按一下 [切換到類別目錄檢視]。

      控制台

    3. 按一下 [網路連線]。

      選擇一項工作

    4. 反白選取您想要協助保護的連線,然後按一下 [變更這個連線的設定]。

      網路連線

    5. 按一下 [進階] 索引標籤,然後選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦和網路]。這個設定的名稱特別提到網際網路,但這個設定也會限制或防止組織內部網路上其他電腦的存取。

      本機區域連線內容

    6. 按一下 [確定]。

開啟連接埠

啟用 ICF 之後,您可以執行下列程序,開啟合法軟體所使用的連接埠。您必須知道傳輸方式 (UDP 或 TCP),以及您希望開啟的連接埠號碼。如果要取得這項資訊,您可以執行本文件中標題為「識別必須保持開啟的連接埠」的工作。

需求

  • 認證:您必須以本機 Administrators 群組成員登入。

  • 工具:控制台。

  • 若要開啟連接埠

    1. 重複前一個程序的步驟 1 到步驟 4。

    2. 按一下 [進階] 索引標籤,然後按一下 [設定]。

      本機區域連線內容

    3. 出現 [進階設定] 對話方塊。按一下 [服務] 索引標籤,檢視常用服務清單如果您需要開啟連接埠,以啟用一或多個清單中的服務,請選取它們。

      進階設定

      • 如果這些是您僅需要開啟連接埠的服務,按一下 [確定],然後略過這項工作的其餘步驟。

      • 如果您需要開啟其他應用程式或服務的連接埠,請在 [服務] 索引標籤上按一下 [新增]。

    4. 出現 [服務設定] 對話方塊。在 [服務描述] 中,鍵入用來識別您想要開啟之連接埠的名稱。例如:Windows Messenger 檔案傳輸。鍵入可幫助您記住服務及連接埠的名稱。您可以使用任何名稱。這個名稱不會影響功能,僅用於幫助您記住服務。

      服務設定

    5. [您的網路上這個服務所在電腦的名稱或 IP 位址] 的正確值,視需要開啟連接埠的程式,在本機電腦或其他電腦上執行而定:

      • 如果程式在本機電腦上執行,請鍵入這台電腦的名稱。如果您不知道這台電腦的名稱,請鍵入 127.0.0.1

      • 如果執行 ICF 的電腦具有網際網路連線,並使用網際網路連線共用與其他電腦共用連線,且需要開啟連接埠的程式,在這些其他電腦其中一台電腦上執行,請鍵入這台電腦的 IP 位址。

    6. 在 [這個服務的外部連接埠號碼] 及 [這個服務的內部連接埠號碼] 中,鍵入連接埠號碼 (兩個方塊輸入相同號碼)。

    7. 依照程式所需,按一下 [TCP] 或 [UDP],然後按一下 [確定]。

    8. 針對每個需要開啟的連接埠,重複步驟 3 到步驟 7。


啟用安全性記錄

啟用 ICF 之後,您可以啟用安全性記錄,以記錄關於 ICF 管理之連入訊息的資訊。這個資訊可以幫助 ICF 專家疑難排解 ICF 問題,或分析這台電腦所受的攻擊。

需求

  • 認證:您必須以本機 Administrators 群組成員登入。

  • 工具:控制台。

  • 若要啟用安全性記錄

    1. 重複本指南之前在<啟用 ICF>中所展示的步驟 1 到步驟 4。

    2. 按一下 [進階] 索引標籤,然後按一下 [設定]。

    3. 按一下 [安全性記錄] 索引標籤。

      進階設定

    4. 在 [記錄選項] 之下,選取下列其中一個或全部選項:

      • 若要啟用連入連線嘗試失敗的記錄,請選取 [記錄丟棄的封包] 核取方塊。

      • 若要啟用成功連入連線的記錄,請選取 [記錄成功的連線] 核取方塊。

    5. 如果 ICF 專家要求您變更 [記錄檔選項] 之下的值,請變更它們。否則,請接受預設值。

    6. 按一下 [確定],然後再按一下 [確定]。


相關資訊

如需關於開啟連接埠的詳細資訊,請參閱下列文件:

如需更多有關防火牆的一般資訊,請參閱下列文件:


顯示: