確保 Windows XP Professional 在對等網路環境下的安全性e

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13


本頁內容

簡介
在您開始之前
確保檔案系統安全性
確保使用者帳戶安全性
啟用網際網路連線防火牆
更新安全性補充程式
利用 Microsoft Baseline Security Analyzer 檢查安全性
相關資訊

簡介

對等網路將您網路中的資訊與資源的分享變得容易,因而使得產能增加。然而,電腦使用者擁有控制存取他們電腦的能力,會使得資訊容易被竊取、遺失或不慎造成資訊共用。這也是為什麼要額外地加強企業電腦使用原則的原因,您得確定您和您的員工能了解 Windows 對等網路的網路工作及安全性。一些基本的最佳實作包括:

  • 保持最新 Windows 安全性更新

  • 使用防毒軟體

  • 使用網際網路連線防火牆

  • 使用強性密碼

  • 不與網際網路的主機,共用檔案或資料夾

  • 儘量限制共用資料夾的權限

  • 儘量減少共用的資料夾

  • 非必要時,停用共用項目

隨著與日俱增的惡意程式碼威脅,例如蠕蟲、病毒和駭客威脅,客戶能立即採取行動來鎖定桌上型及可攜式電腦是重要的一件事。本文件說明如何對中小企業使用中的對等網路環境,執行安全性方案。這些建議事項,能確保作業系統為 Microsoft Windows XP Professional Service Pack 1 (SP1) 版的電腦,得到更好的安全性,免除目前多數的安全性威脅,讓電腦使用者能保持應有產能及效率。

本文件包含下列工作:

  • 確保檔案系統安全性

  • 確保使用者帳戶安全性

  • 確保網路存取安全性

  • 更新安全性補充程式

  • 以 Microsoft Baseline Security Analyzer 進行安全性檢查

除了本文件中的進階步驟指南以外,您也會看到頂級安全性建議資訊,這是 Microsoft 提供給所有客戶的資訊,包含家庭用戶和企業用戶。

重要:本文件所包括的逐步指引,將會從使用預設在安裝作業系統時出現的「開始」功能表開始。如果您有修改過「開始」功能表,這些步驟可能會有些許不同。

在您開始之前

如同所有的安全性建議事項,本指南儘可能找出強化安全性和可用性的最佳平衡。本建議事項適用於部署於各種環境的 Windows XP Professional。不過,在執行這些建議事項前,您得記住本文件不會提到在大企業中,會有哪些樣式的需求和設定。此外,本指南可能不會提到某些組織指定的安全性需要。

符合 Service Pack 的需求

本文件的建議事項僅能套用於作業系統為 Windows XP Professional 的 Service Pack 1 (SP1) 或 SP1(a) 版,並且同個工作群組成員的電腦上。如果某台電腦未安裝 Service Pack 1,或您不知道是否已安裝,您可以前往位於 http://go.microsoft.com/fwlink/?LinkID=22630Windows Update (英文) 網頁,並讓 Windows Update 掃描您的電腦,查看是否需要更新。如果 Service Pack 1 顯示可列入更新項目,請在本文件其他程序進行前,先安裝這個項目。

系統管理需求

您必須以 Administrator 或是系統管理員群組成員的身分登入,以讓您能完成下列程序。如果您的電腦已連結上網路,網路原則設定也可以確保您完成這些程序。

確保檔案系統安全性

檔案系統是電腦內組織路徑和檔案的方法。有數個方法可以用來保護您的檔案系統,免於遭受未授權的存取、修改或委派。本節提供下列有關確保檔案系統安全性的逐步教學:

  • 轉換檔案系統為 NTFS

  • 使用防毒軟體

  • 保護檔案共用

  • 確保共用資料夾安全性

  • 停用或委派不必要的帳戶

轉換檔案系統為 NTFS

在 Windows XP 設定程序期間,可以設定電腦要使用 FAT32 或 NTFS 的檔案系統。FAT32 是比較舊的技術,由 Windows 早期版本所使用。NTFS 檔案系統比 FAT32 快,並有更多的安全性。為了作業系統的最佳效能和安全性,請將您電腦的檔案系統磁碟分割都使用 NTFS。

檢查您電腦上的檔案系統類型

在轉換您電腦上的檔案系統前,您得先查明您目前不是使用 NTFS。使用下列步驟來檢查您電腦上的檔案系統類型。如果這些步驟證實您目前使用的是 NTFS,您可以跳過下面的「轉換檔案系統為 NTFS」步驟。

  • 若要檢查您電腦上的檔案系統類型

    1. 在 [開始] 功能表,按一下 [我的電腦]。

    2. 在您想檢查的磁碟機代號上按一下滑鼠右鍵,再按 [內容]。

    3. 驗證檔案系統類型為 NTFS。如果不是,您可以使用下面說明的 Convert.exe 工具,轉換 FAT16 或 FAT32 為 NTFS。

本機磁碟 (C:)

檢查電腦上所有磁碟的檔案系統類型。甚至可以在作業系統已安裝,檔案系統為 FAT32 的情況下,也能輕易的轉換為 NTFS,以提供額外的安全性。

轉換檔案系統為 NTFS

轉換檔案系統為 NTFS,記下磁碟名稱,否則會以磁碟區標籤命名 (如先前範例中的磁碟機 C),並完成下列步驟。

  • 若要轉換檔案系統為 NTFS

    1. 從 [開始] 功能表中,按一下 [執行],鍵入 cmd,然後按一下 [確定]。

    2. 在命令提示字元中,鍵入哪個 drive letter 是您想轉換的,如下:
      convert drive letter:/fs:ntfs
      ,接著會提示請您鍵入這個磁碟機的磁碟區標籤。

    3. 鍵入這個磁碟機的磁碟區標籤,接著請按下 ENTER。

    4. 在轉換完成後,鍵入 EXIT 關閉命令提示字元視窗。

注意:如果您試圖轉換的是安裝作業系統的磁碟機,您會被告知,轉換作業被排程在系統下次重新啟動後才開始。如果這動作開始了,鍵入 Y,電腦就會重新啟動。

使用防毒軟體

電腦病毒是種在您不知道且未允許的情況下,載入您系統的程序。病毒及其他形式的惡意軟體已為害多年。今日的病毒可以複製它們自已,並使用網際網路和電子郵件應用程式,在幾個小時內傳遍全世界。

防毒軟體程式有助於保護您的電腦,對抗已知的病毒、蠕蟲、特洛伊木馬程式及其他惡意的程式碼。為了找出病毒,防毒軟體會持續的掃描您電腦,並協助偵測與移除病毒。安裝防毒軟體僅解決部分問題,保持更新防毒簽署檔案到最新狀態,對維持桌上型及可攜式電腦的安全來說是件重要的事。

很多新電腦在送來的時候,就已安裝好防毒軟體。不過,防毒軟體需要訂閱功能以保持最新內容。如果您沒有訂閱最新的更新程式,您的電腦就難以對抗新的威脅。

教育使用者有關安全電子郵件實作,以防備病毒攻擊,也是一個重要步驟。使用者不清楚檔案內容前,不應打開電子郵件或執行電子郵件的附加檔案。所有電子郵件的附加檔案,應在執行前先交由防毒軟體掃描。

如需提供與 Windows XP 相容的防毒軟體《list of the software vendors》,請造訪 http://go.microsoft.com/fwlink/?LinkId=22712

保護檔案共用

預設上,作業系統為 Windows XP Professional 的電腦,在未連上網域時,會使用一個稱作「簡易檔案共用」的網域存取模型,在這當中,所有從其他網路登入電腦者,會被強制使用 Guest 帳戶。這代表用於檔案及列印存取的伺服器訊息區 (SMB) 網路存取,以及多數遠端管理工具及遠端登錄存取所用的遠端程序呼叫 (RPC),只有 Guest 帳戶可以使用。

在簡易檔案共用模型中,您可以建立檔案共用,限制網路使用者僅能唯讀存取,或是讓網路使用者可以讀取、建立、變更或刪除檔案。簡易檔案共用是用來給家庭網路使用,並設於防火牆之後,例如 Windows XP 所提供的「網際網路連線防火牆」。如果您連上網際網路,並且不在防火牆之後進行連線,記住,您共用的任何檔案都有可能被網際網路上的使用者所存取。

確保共用資料夾安全性

Windows 對等網路允許您和網路上的其他電腦,共用您檔案系統內容。下列的逐步教學假定您的檔案系統內,擁有一或數個資料夾是共用的。透過變更一些檔案系統預設的設定,可以讓未授權的使用者較不容易對您的共用資料夾進行存取動作。

  • 若要確保共用資料夾安全性

    1. 簡易檔案共用需停用。按一下 [開始],再按 [控制台],再按 [外觀和主題],接著按一下 [資料夾選項]。

    2. 按一下 [檢視] 索引標籤。捲動至進階設定清單的底部,接著取消 [使用簡易檔案共用(建議使用)] 核取方塊。按一下 [確定]。

      資料夾選項
    3. 按一下 [開始],按 [我的電腦],接著找出您打算要確保安全性的檔案和資料夾。

    4. 在您打算要確保安全性的共用資料夾上按一下滑鼠右鍵,接著按一下 [共用和安全性]。

    5. 在 [共用] 索引標籤,按一下 [權限]。

      共用文件內容
    6. 移除 Everyone 群組,以避免未授權的存取。按一下 Everyone 群組,接著按一下 [移除]。

      對文件的權限
    7. 按一下 [新增] 以選取哪些使用者可以存取本資料夾。

    8. 在 [選取的使用者或群組] 對話方塊,按 [物件類型]。

    9. 清除 [內建安全性原則] 和 [群組] 核取方塊,接著按一下 [確定]。

      物件類型
    10. 按一下 [進階]。

    11. 按一下 [立即尋找]。

    12. 按一下並反白您打算要允許存取資料夾的使用者。選取使用者之後,按一下 [確定]。

    13. 現在在權限清單中的每個使用者,需要給與正確的存取類型。按兩下使用者,接著清除 [完全控制] 旁邊的 [允許] 核取方塊。接著選擇哪些是您想要讓使用者擁有的 [變更] 和 [讀取] 或只能 [讀取] 存取權限。

    14. 按下 [確定] 在權限設定之後。再次按下 [確定],以關閉資料夾的 [權限] 對話方塊。

注意:

  • 您可以只在格式化為 NTFS 檔案系統的磁碟機設定權限。

  • 如果權限對話方塊的核取方塊是無法使用的,那麼這權限是繼承自上層資料夾。

  • 為了變更權限,您得成為建立共用資料夾的使用者,或是成為擁有共用資料夾建立者權限的使用者。

  • 擁有一資料夾「完全控制」權限的群組或使用者,可以刪除那個資料夾中的檔案或子資料夾,無論這些檔案或子資料夾有什麼其他權限保護著。

停用或委派不必要的帳戶

在安裝 Windows XP Professional 之後,停用或委派任何不必要的帳戶。

  • 若要停用帳戶

    1. 按一下 [開始],接著按一下 [控制台]。

    2. 按一下 [效能及維護],按下 [系統管理工具],接著按兩下 [電腦管理]。

    3. 在主控台樹狀目錄裡,按一下 [本機使用者和群組],接著按兩下 [使用者]。

    4. 在您打算變更的使用者帳戶上按一下滑鼠右鍵,並且接著按一下 [內容]。

    5. 勾選 [帳戶已停用] 核取方塊。

      Guest 內容

      注意:

      • 停用的帳戶仍然存在,不過使用者已無權登入。這顯示在使用者詳細資料窗格中,圖示上有個 X 號。

      • 使用者的帳戶沒被停用的話,使用者通常是可以登入的。

      • 內建的 Administrator 帳戶是無法被停用的。

  • 若要刪除帳戶

    1. 按一下 [開始],接著按一下 [控制台]。

    2. 按一下 [效能及維護],按一下 [系統管理工具],接著按兩下 [電腦管理]。

    3. 在主控台樹狀目錄裡,按一下 [本機使用者和群組],接著按兩下 [使用者]。

    4. 在您打算刪除的使用者帳戶上按一下滑鼠右鍵,接著按一下 [刪除]。

      注意:

      • 在您移除使用者帳戶前,先停用這個帳戶。在您確認停用帳戶不會造成問題後,您可以安全的刪除這個帳戶。

      • 被刪除的帳戶是無法被復原的。

      • 內建的 Administrator 和 Guest 帳戶是無法被刪除的。


確保使用者帳戶安全性

透過使用密碼、停用或委派非必要的帳戶及設定帳戶鎖定,您可以因此減少您電腦未授權存取的機會。

使用密碼

對每個 Windows 電腦建立的帳戶設定密碼,是很重要的事,有兩點原因。首先,讓密碼空白會允許所有人都能使用那個使用者帳戶存取電腦。

其次,預設上,本機使用者帳戶在不設密碼的情況下,只能直接在主控台視窗登入電腦,而無法在遠端登入。這項限制並不應用在網域帳戶或是本機 Guest 帳戶上。如果 Guest 帳戶被啟用,且密碼為空白的話,那它可以用來登入及存取,任何在對等網路上授權給 Guest 帳戶存取的資源。

  • 若要設定或重設一個存在的使用者帳戶的密碼

    1. 按一下 [開始],接著按一下 [控制台]。

    2. 按一下 [使用者帳戶]。

    3. 按一下您要用的使用者帳戶。

    4. 按一下 [重設密碼]。

    5. 在 [新密碼] 欄位,鍵入長度至少為八個字元的新密碼。再次鍵入一樣的密碼於 [確認新密碼] 欄位。

    6. 按下 [確定]。

停用 Guest 帳戶

這項設定建議,僅套用於執行 Windows XP Professional 且未使用「簡易檔案共用」模型的電腦,或這類網域的電腦。

在未與網域連結並且執行 Windows XP Professional 的電腦上,使用者試圖從別的網路登入,預設上會強制使用 Guest 帳戶。這個需求避免駭客跨越網際網路,藉由使用沒有密碼的本機系統管理員帳戶,試圖存取系統。

允許使用 Guest 帳戶遠端登入,確保 Guest 帳戶能在所有未加入網域,執行 Windows XP Professional 的電腦上被啟用。預設上,本機 Guest 帳戶是啟用的。

  • 若要停用 Guest 帳戶

    1. 按一下 [開始],接著按一下 [控制台]。

    2. 按一下 [效能及維護],按下 [系統管理工具],接著按一下兩下 [電腦管理]。

    3. 在主控台樹狀目錄中,按一下 [使用者]。

    4. 以滑鼠右鍵按一下 Guest 帳戶,再按一下 [內容]。

    5. 勾選 [帳戶已停用] 核取方塊。

Guest 內容

注意: 使用 Guest 帳戶登入電腦的使用者,無法對受保護的檔案、資料夾和設定進行存取。

啟用網際網路連線防火牆

防火牆是個安全性系統,如同網路和外部世界間的保護邊界。Windows XP Professional 包含有網際網路連線防火牆 (ICF),您可以使用這來限制何種類型的資料,才能在網際網路和您的網路間通訊。ICF 也可以保護,以電纜數據機、DSL 數據機及撥號數撥機和網際網路連線的單台電腦。然而,如果您的網路已經有防火牆或 Proxy 伺服器,ICF 就不需要。

如果您的網路使用「網際網路連線防火牆 (ICS)」來提供網際網路存取多台電腦,那就將 ICF 使用在共用網際網路的連線上。不過,ICS 和 ICF 可以各自啟用。

如果您正共用網際網路連線,僅對連線網際網路的主機電腦啟用防火牆。主機電腦在網際網路上的顯示,僅為網際網路上的一台電腦,隱藏住您網路中的電腦。主機電腦如果啟用 ICF,可為您的電腦和網路電腦,提供單點的安全性。執行較早版本 Windows 的電腦受到保護,而不需額外的防火牆。

您必須以本機系統管理員的帳戶,登入您的電腦,以啟用「網際網路連線防火牆」。

別在虛擬私人網路 (VPN) 上啟用「網際網路連線防火牆」,通常這是用來確保企業網路的登入安全。別在大型公司的客戶端電腦,或是伺服器-用戶端架構的學校網路上,啟用 ICF。ICF 會在這些方案中,干擾檔案和印表機的共用。

  • 若要啟用網際網路連線防火牆

    1. 按一下 [開始],再按 [控制台],接著按一下 [網路和網際網路連線]。

    2. 按一下 [網路連線]。

    3. 按一下您要保護的撥號、區域網路或高速網際網路連線。

    4. 按一下 [變更這個連線的設定]。

    5. 在 [進階] 索引標籤,如下圖所示,在 [網際網路連線防火牆] 內,勾選 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。

      本機區域連線內容

更新安全性補充程式

保持安全性補充程式在最新狀態的好方法是,訂閱 Microsoft Security bulletins,這會在「自動更新」提示您有可用的更新時,同時送至您的電子郵件。簽署收取安全性佈告欄電子郵件,請造訪 http://go.microsoft.com/fwlink/?LinkId=22339。除了保持以公告通知之外,還有一些技術有助於安全性自動進行補充作業。

自動更新

Windows XP 的「自動更新」功能,可以自動偵測並自 Microsoft 下載最新版的安全性修正程式。「自動更新」可設定為,在背後自動下載修正程式,並在下載完成後,提示使用者安裝修正程式。

  • 若要設定您電腦為自動更新

    1. 在 [開始] 功能表,按一下 [控制台],按 [效能及維護],接著按一下 [系統]。

    2. 按一下 [自動更新] 索引標籤,接著勾選 [將我的電腦保持在最新狀態] 核取方塊。啟用這項設定後,自動更新軟體會比任何其他更新還優先進行更新。

    3. 選擇 [自動下載更新,並在我指定的排成安裝它們]。

      系統內容
    4. 選擇更新進行的日期和時間。

    5. 按一下 [確定],以關閉 [系統內容] 對話方塊。

      注意:除此之外,Microsoft 還會透過「安全性通知服務」,發行安全性公告。這些公告是為所有發現有安全性問題的 Microsoft 產品發行的。當這些公告建議安裝安全性補充程式時,您應立即下載安裝補充程式在您的電腦上。


利用 Microsoft Baseline Security Analyzer 檢查安全性

作為 Microsoft Strategic Technology Protection Program (英文) 的一部份,以及回應消費者對有效識別一般安全性錯誤設定的直接需求,Microsoft 開發出 Microsoft Baseline Security Analyzer (MBSA)。

在 Windows 2000、Windows XP 和 Windows Server 2003 中,Microsoft Baseline Security Analyzer 會報告不安全的設定,以及可以用來幫助修正問題的補充程式。測試可以在本機執行,或是在遠端電腦上。

掃描更新和補充程式

  • 若要使用 MBSA 來掃描更新和補充程式

    1. 按一下 [開始],指向 [程式集],再按一下 [Microsoft Baseline Security Analyzer]。

    2. 按一下 [Pick a computer to scan]。

    3. 確定沒有選取下列選項之後,再按一下 [Start scan]:

      • Check for Windows vulnerabilities

      • Check for weak passwords

      • Check for IIS vulnerabilities

      • Check for SQL vulnerabilities

        Microsoft Baseline Security Analyzer

掃描安全設定

除了掃描遺漏的安全性更新之外,MBSA 還可以掃描電腦設定的不安全。

  • 若要掃描安全設定

    1. 清除 [Check for security updates] 對話方塊,確定已經選取下列選項之後,再按一下 [Start scan]:

      • Check for Windows vulnerabilities

      • Check for weak passwords

      • Check for IIS vulnerabilities

      • Check for SQL vulnerabilities

    2. 分析掃描。結果報告會和您先前執行的補充程式掃描相似。唯一不同的是 [How to correct this] 連結,在發現問題時是可用的。當您按下這個連結,會出現一頁有關發現問題的說明、問題的解決方案,以及修正這個問題的教學。

    3. 透過選擇 [How to correct this] 連結,修正任何您發現的問題。在結果頁中,解決方案和教學會告訴您修正問題的必要步驟。


相關資訊

如需更多有關確保 Windows XP 安全性的資訊,請參閱下列:

如需更多有關確保 Windows XP 安全性的相關話題資訊,請參閱下列:


顯示: