確保 Windows XP Professional 在對等網路環境下的安全性e

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13

本頁內容

簡介
在您開始之前
確保檔案系統安全性
確保使用者帳戶安全性
啟用網際網路連線防火牆
更新安全性補充程式
利用 Microsoft Baseline Security Analyzer 檢查安全性
相關資訊

簡介

對等網路將您網路中的資訊與資源的分享變得容易，因而使得產能增加。然而，電腦使用者擁有控制存取他們電腦的能力，會使得資訊容易被竊取、遺失或不慎造成資訊共用。這也是為什麼要額外地加強企業電腦使用原則的原因，您得確定您和您的員工能了解 Windows 對等網路的網路工作及安全性。一些基本的最佳實作包括：

• 保持最新 Windows 安全性更新

• 使用防毒軟體

• 使用網際網路連線防火牆

• 使用強性密碼

• 不與網際網路的主機，共用檔案或資料夾

• 儘量限制共用資料夾的權限

• 儘量減少共用的資料夾

• 非必要時，停用共用項目

隨著與日俱增的惡意程式碼威脅，例如蠕蟲、病毒和駭客威脅，客戶能立即採取行動來鎖定桌上型及可攜式電腦是重要的一件事。本文件說明如何對中小企業使用中的對等網路環境，執行安全性方案。這些建議事項，能確保作業系統為 Microsoft Windows XP Professional Service Pack 1 (SP1) 版的電腦，得到更好的安全性，免除目前多數的安全性威脅，讓電腦使用者能保持應有產能及效率。

本文件包含下列工作：

• 確保檔案系統安全性

• 確保使用者帳戶安全性

• 確保網路存取安全性

• 更新安全性補充程式

• 以 Microsoft Baseline Security Analyzer 進行安全性檢查

除了本文件中的進階步驟指南以外，您也會看到頂級安全性建議資訊，這是 Microsoft 提供給所有客戶的資訊，包含家庭用戶和企業用戶。

**重要：**本文件所包括的逐步指引，將會從使用預設在安裝作業系統時出現的「開始」功能表開始。如果您有修改過「開始」功能表，這些步驟可能會有些許不同。

回到頁首

在您開始之前

如同所有的安全性建議事項，本指南儘可能找出強化安全性和可用性的最佳平衡。本建議事項適用於部署於各種環境的 Windows XP Professional。不過，在執行這些建議事項前，您得記住本文件不會提到在大企業中，會有哪些樣式的需求和設定。此外，本指南可能不會提到某些組織指定的安全性需要。

符合 Service Pack 的需求

本文件的建議事項僅能套用於作業系統為 Windows XP Professional 的 Service Pack 1 (SP1) 或 SP1(a) 版，並且同個工作群組成員的電腦上。如果某台電腦未安裝 Service Pack 1，或您不知道是否已安裝，您可以前往位於 https://go.microsoft.com/fwlink/?LinkID=22630 的 Windows Update (英文) 網頁，並讓 Windows Update 掃描您的電腦，查看是否需要更新。如果 Service Pack 1 顯示可列入更新項目，請在本文件其他程序進行前，先安裝這個項目。

系統管理需求

您必須以 Administrator 或是系統管理員群組成員的身分登入，以讓您能完成下列程序。如果您的電腦已連結上網路，網路原則設定也可以確保您完成這些程序。

回到頁首

確保檔案系統安全性

檔案系統是電腦內組織路徑和檔案的方法。有數個方法可以用來保護您的檔案系統，免於遭受未授權的存取、修改或委派。本節提供下列有關確保檔案系統安全性的逐步教學：

• 轉換檔案系統為 NTFS

• 使用防毒軟體

• 保護檔案共用

• 確保共用資料夾安全性

• 停用或委派不必要的帳戶

轉換檔案系統為 NTFS

在 Windows XP 設定程序期間，可以設定電腦要使用 FAT32 或 NTFS 的檔案系統。FAT32 是比較舊的技術，由 Windows 早期版本所使用。NTFS 檔案系統比 FAT32 快，並有更多的安全性。為了作業系統的最佳效能和安全性，請將您電腦的檔案系統磁碟分割都使用 NTFS。

檢查您電腦上的檔案系統類型

在轉換您電腦上的檔案系統前，您得先查明您目前不是使用 NTFS。使用下列步驟來檢查您電腦上的檔案系統類型。如果這些步驟證實您目前使用的是 NTFS，您可以跳過下面的「轉換檔案系統為 NTFS」步驟。

• 若要檢查您電腦上的檔案系統類型

  1. 在 [開始] 功能表，按一下 [我的電腦]。

  2. 在您想檢查的磁碟機代號上按一下滑鼠右鍵，再按 [內容]。

  3. 驗證檔案系統類型為 NTFS。如果不是，您可以使用下面說明的 Convert.exe 工具，轉換 FAT16 或 FAT32 為 NTFS。

檢查電腦上所有磁碟的檔案系統類型。甚至可以在作業系統已安裝，檔案系統為 FAT32 的情況下，也能輕易的轉換為 NTFS，以提供額外的安全性。

轉換檔案系統為 NTFS

轉換檔案系統為 NTFS，記下磁碟名稱，否則會以磁碟區標籤命名 (如先前範例中的磁碟機 C)，並完成下列步驟。

• 若要轉換檔案系統為 NTFS

  1. 從 [開始] 功能表中，按一下 [執行]，鍵入 cmd，然後按一下 [確定]。

  2. 在命令提示字元中，鍵入哪個 drive letter 是您想轉換的，如下： convert drive letter:/fs:ntfs ，接著會提示請您鍵入這個磁碟機的磁碟區標籤。

  3. 鍵入這個磁碟機的磁碟區標籤，接著請按下 ENTER。

  4. 在轉換完成後，鍵入 EXIT 關閉命令提示字元視窗。

**注意：**如果您試圖轉換的是安裝作業系統的磁碟機，您會被告知，轉換作業被排程在系統下次重新啟動後才開始。如果這動作開始了，鍵入 Y，電腦就會重新啟動。

使用防毒軟體

電腦病毒是種在您不知道且未允許的情況下，載入您系統的程序。病毒及其他形式的惡意軟體已為害多年。今日的病毒可以複製它們自已，並使用網際網路和電子郵件應用程式，在幾個小時內傳遍全世界。

防毒軟體程式有助於保護您的電腦，對抗已知的病毒、蠕蟲、特洛伊木馬程式及其他惡意的程式碼。為了找出病毒，防毒軟體會持續的掃描您電腦，並協助偵測與移除病毒。安裝防毒軟體僅解決部分問題，保持更新防毒簽署檔案到最新狀態，對維持桌上型及可攜式電腦的安全來說是件重要的事。

很多新電腦在送來的時候，就已安裝好防毒軟體。不過，防毒軟體需要訂閱功能以保持最新內容。如果您沒有訂閱最新的更新程式，您的電腦就難以對抗新的威脅。

教育使用者有關安全電子郵件實作，以防備病毒攻擊，也是一個重要步驟。使用者不清楚檔案內容前，不應打開電子郵件或執行電子郵件的附加檔案。所有電子郵件的附加檔案，應在執行前先交由防毒軟體掃描。

如需提供與 Windows XP 相容的防毒軟體《list of the software vendors》，請造訪 https://go.microsoft.com/fwlink/?LinkId=22712。

保護檔案共用

預設上，作業系統為 Windows XP Professional 的電腦，在未連上網域時，會使用一個稱作「簡易檔案共用」的網域存取模型，在這當中，所有從其他網路登入電腦者，會被強制使用 Guest 帳戶。這代表用於檔案及列印存取的伺服器訊息區 (SMB) 網路存取，以及多數遠端管理工具及遠端登錄存取所用的遠端程序呼叫 (RPC)，只有 Guest 帳戶可以使用。

在簡易檔案共用模型中，您可以建立檔案共用，限制網路使用者僅能唯讀存取，或是讓網路使用者可以讀取、建立、變更或刪除檔案。簡易檔案共用是用來給家庭網路使用，並設於防火牆之後，例如 Windows XP 所提供的「網際網路連線防火牆」。如果您連上網際網路，並且不在防火牆之後進行連線，記住，您共用的任何檔案都有可能被網際網路上的使用者所存取。

確保共用資料夾安全性

Windows 對等網路允許您和網路上的其他電腦，共用您檔案系統內容。下列的逐步教學假定您的檔案系統內，擁有一或數個資料夾是共用的。透過變更一些檔案系統預設的設定，可以讓未授權的使用者較不容易對您的共用資料夾進行存取動作。

• 若要確保共用資料夾安全性

  1. 簡易檔案共用需停用。按一下 [開始]，再按 [控制台]，再按 [外觀和主題]，接著按一下 [資料夾選項]。

  2. 按一下 [檢視] 索引標籤。捲動至進階設定清單的底部，接著取消 [使用簡易檔案共用(建議使用)] 核取方塊。按一下 [確定]。

     

  3. 按一下 [開始]，按 [我的電腦]，接著找出您打算要確保安全性的檔案和資料夾。

  4. 在您打算要確保安全性的共用資料夾上按一下滑鼠右鍵，接著按一下 [共用和安全性]。

  5. 在 [共用] 索引標籤，按一下 [權限]。

     

  6. 移除 Everyone 群組，以避免未授權的存取。按一下 Everyone 群組，接著按一下 [移除]。

     

  7. 按一下 [新增] 以選取哪些使用者可以存取本資料夾。

  8. 在 [選取的使用者或群組] 對話方塊，按 [物件類型]。

  9. 清除 [內建安全性原則] 和 [群組] 核取方塊，接著按一下 [確定]。

     

  10. 按一下 [進階]。

  11. 按一下 [立即尋找]。

  12. 按一下並反白您打算要允許存取資料夾的使用者。選取使用者之後，按一下 [確定]。

  13. 現在在權限清單中的每個使用者，需要給與正確的存取類型。按兩下使用者，接著清除 [完全控制] 旁邊的 [允許] 核取方塊。接著選擇哪些是您想要讓使用者擁有的 [變更] 和 [讀取] 或只能 [讀取] 存取權限。

  14. 按下 [確定] 在權限設定之後。再次按下 [確定]，以關閉資料夾的 [權限] 對話方塊。

注意：

• 您可以只在格式化為 NTFS 檔案系統的磁碟機設定權限。

• 如果權限對話方塊的核取方塊是無法使用的，那麼這權限是繼承自上層資料夾。

• 為了變更權限，您得成為建立共用資料夾的使用者，或是成為擁有共用資料夾建立者權限的使用者。

• 擁有一資料夾「完全控制」權限的群組或使用者，可以刪除那個資料夾中的檔案或子資料夾，無論這些檔案或子資料夾有什麼其他權限保護著。

停用或委派不必要的帳戶

在安裝 Windows XP Professional 之後，停用或委派任何不必要的帳戶。

• 若要停用帳戶

  1. 按一下 [開始]，接著按一下 [控制台]。

  2. 按一下 [效能及維護]，按下 [系統管理工具]，接著按兩下 [電腦管理]。

  3. 在主控台樹狀目錄裡，按一下 [本機使用者和群組]，接著按兩下 [使用者]。

  4. 在您打算變更的使用者帳戶上按一下滑鼠右鍵，並且接著按一下 [內容]。

  5. 勾選 [帳戶已停用] 核取方塊。

     

     注意：

     • 停用的帳戶仍然存在，不過使用者已無權登入。這顯示在使用者詳細資料窗格中，圖示上有個 X 號。

     • 使用者的帳戶沒被停用的話，使用者通常是可以登入的。

     • 內建的 Administrator 帳戶是無法被停用的。

• 若要刪除帳戶

  1. 按一下 [開始]，接著按一下 [控制台]。

  2. 按一下 [效能及維護]，按一下 [系統管理工具]，接著按兩下 [電腦管理]。

  3. 在主控台樹狀目錄裡，按一下 [本機使用者和群組]，接著按兩下 [使用者]。

  4. 在您打算刪除的使用者帳戶上按一下滑鼠右鍵，接著按一下 [刪除]。

     注意：

     • 在您移除使用者帳戶前，先停用這個帳戶。在您確認停用帳戶不會造成問題後，您可以安全的刪除這個帳戶。

     • 被刪除的帳戶是無法被復原的。

     • 內建的 Administrator 和 Guest 帳戶是無法被刪除的。

回到頁首

確保使用者帳戶安全性

透過使用密碼、停用或委派非必要的帳戶及設定帳戶鎖定，您可以因此減少您電腦未授權存取的機會。

使用密碼

對每個 Windows 電腦建立的帳戶設定密碼，是很重要的事，有兩點原因。首先，讓密碼空白會允許所有人都能使用那個使用者帳戶存取電腦。

其次，預設上，本機使用者帳戶在不設密碼的情況下，只能直接在主控台視窗登入電腦，而無法在遠端登入。這項限制並不應用在網域帳戶或是本機 Guest 帳戶上。如果 Guest 帳戶被啟用，且密碼為空白的話，那它可以用來登入及存取，任何在對等網路上授權給 Guest 帳戶存取的資源。

• 若要設定或重設一個存在的使用者帳戶的密碼

  1. 按一下 [開始]，接著按一下 [控制台]。

  2. 按一下 [使用者帳戶]。

  3. 按一下您要用的使用者帳戶。

  4. 按一下 [重設密碼]。

  5. 在 [新密碼] 欄位，鍵入長度至少為八個字元的新密碼。再次鍵入一樣的密碼於 [確認新密碼] 欄位。

  6. 按下 [確定]。

停用 Guest 帳戶

這項設定建議，僅套用於執行 Windows XP Professional 且未使用「簡易檔案共用」模型的電腦，或這類網域的電腦。

在未與網域連結並且執行 Windows XP Professional 的電腦上，使用者試圖從別的網路登入，預設上會強制使用 Guest 帳戶。這個需求避免駭客跨越網際網路，藉由使用沒有密碼的本機系統管理員帳戶，試圖存取系統。

允許使用 Guest 帳戶遠端登入，確保 Guest 帳戶能在所有未加入網域，執行 Windows XP Professional 的電腦上被啟用。預設上，本機 Guest 帳戶是啟用的。

• 若要停用 Guest 帳戶

  1. 按一下 [開始]，接著按一下 [控制台]。

  2. 按一下 [效能及維護]，按下 [系統管理工具]，接著按一下兩下 [電腦管理]。

  3. 在主控台樹狀目錄中，按一下 [使用者]。

  4. 以滑鼠右鍵按一下 Guest 帳戶，再按一下 [內容]。

  5. 勾選 [帳戶已停用] 核取方塊。

注意： 使用 Guest 帳戶登入電腦的使用者，無法對受保護的檔案、資料夾和設定進行存取。

回到頁首

啟用網際網路連線防火牆

防火牆是個安全性系統，如同網路和外部世界間的保護邊界。Windows XP Professional 包含有網際網路連線防火牆 (ICF)，您可以使用這來限制何種類型的資料，才能在網際網路和您的網路間通訊。ICF 也可以保護，以電纜數據機、DSL 數據機及撥號數撥機和網際網路連線的單台電腦。然而，如果您的網路已經有防火牆或 Proxy 伺服器，ICF 就不需要。

如果您的網路使用「網際網路連線防火牆 (ICS)」來提供網際網路存取多台電腦，那就將 ICF 使用在共用網際網路的連線上。不過，ICS 和 ICF 可以各自啟用。

如果您正共用網際網路連線，僅對連線網際網路的主機電腦啟用防火牆。主機電腦在網際網路上的顯示，僅為網際網路上的一台電腦，隱藏住您網路中的電腦。主機電腦如果啟用 ICF，可為您的電腦和網路電腦，提供單點的安全性。執行較早版本 Windows 的電腦受到保護，而不需額外的防火牆。

您必須以本機系統管理員的帳戶，登入您的電腦，以啟用「網際網路連線防火牆」。

別在虛擬私人網路 (VPN) 上啟用「網際網路連線防火牆」，通常這是用來確保企業網路的登入安全。別在大型公司的客戶端電腦，或是伺服器-用戶端架構的學校網路上，啟用 ICF。ICF 會在這些方案中，干擾檔案和印表機的共用。

• 若要啟用網際網路連線防火牆

  1. 按一下 [開始]，再按 [控制台]，接著按一下 [網路和網際網路連線]。

  2. 按一下 [網路連線]。

  3. 按一下您要保護的撥號、區域網路或高速網際網路連線。

  4. 按一下 [變更這個連線的設定]。

  5. 在 [進階] 索引標籤，如下圖所示，在 [網際網路連線防火牆] 內，勾選 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。

     

回到頁首

更新安全性補充程式

保持安全性補充程式在最新狀態的好方法是，訂閱 Microsoft Security bulletins，這會在「自動更新」提示您有可用的更新時，同時送至您的電子郵件。簽署收取安全性佈告欄電子郵件，請造訪 https://go.microsoft.com/fwlink/?LinkId=22339。除了保持以公告通知之外，還有一些技術有助於安全性自動進行補充作業。

自動更新

Windows XP 的「自動更新」功能，可以自動偵測並自 Microsoft 下載最新版的安全性修正程式。「自動更新」可設定為，在背後自動下載修正程式，並在下載完成後，提示使用者安裝修正程式。

• 若要設定您電腦為自動更新

  1. 在 [開始] 功能表，按一下 [控制台]，按 [效能及維護]，接著按一下 [系統]。

  2. 按一下 [自動更新] 索引標籤，接著勾選 [將我的電腦保持在最新狀態] 核取方塊。啟用這項設定後，自動更新軟體會比任何其他更新還優先進行更新。

  3. 選擇 [自動下載更新，並在我指定的排成安裝它們]。

     

  4. 選擇更新進行的日期和時間。

  5. 按一下 [確定]，以關閉 [系統內容] 對話方塊。

     **注意：**除此之外，Microsoft 還會透過「安全性通知服務」，發行安全性公告。這些公告是為所有發現有安全性問題的 Microsoft 產品發行的。當這些公告建議安裝安全性補充程式時，您應立即下載安裝補充程式在您的電腦上。

回到頁首

利用 Microsoft Baseline Security Analyzer 檢查安全性

作為 Microsoft Strategic Technology Protection Program (英文) 的一部份，以及回應消費者對有效識別一般安全性錯誤設定的直接需求，Microsoft 開發出 Microsoft Baseline Security Analyzer (MBSA)。

在 Windows 2000、Windows XP 和 Windows Server 2003 中，Microsoft Baseline Security Analyzer 會報告不安全的設定，以及可以用來幫助修正問題的補充程式。測試可以在本機執行，或是在遠端電腦上。

• 若要安裝 Microsoft Baseline Security Analyzer

  1. 從 MBSA 首頁下載 MBSA，位於 https://go.microsoft.com/fwlink/?LinkId=20567。

  2. 取得 MBSA 的更新程式。如果您使用的電腦有網際網路存取權，如果需要的話，會自動下載最新版的安全性 XML 檔案。如果您的電腦沒有網際網路存取權，請使用已簽署的 CAB (位於 https://go.microsoft.com/fwlink/?LinkId=9160)，下載最新版的 MBSA XML 檔案。

  3. 解壓縮這個 CAB 檔案，接著把它儲存在 MBSA 所在的資料夾。CAB 檔案已簽署，以確定不曾被修改。

掃描更新和補充程式

• 若要使用 MBSA 來掃描更新和補充程式

  1. 按一下 [開始]，指向 [程式集]，再按一下 [Microsoft Baseline Security Analyzer]。

  2. 按一下 [Pick a computer to scan]。

  3. 確定沒有選取下列選項之後，再按一下 [Start scan]：

     • Check for Windows vulnerabilities

     • Check for weak passwords

     • Check for IIS vulnerabilities

     • Check for SQL vulnerabilities

       

掃描安全設定

除了掃描遺漏的安全性更新之外，MBSA 還可以掃描電腦設定的不安全。

• 若要掃描安全設定

  1. 清除 [Check for security updates] 對話方塊，確定已經選取下列選項之後，再按一下 [Start scan]：

     • Check for Windows vulnerabilities

     • Check for weak passwords

     • Check for IIS vulnerabilities

     • Check for SQL vulnerabilities

  2. 分析掃描。結果報告會和您先前執行的補充程式掃描相似。唯一不同的是 [How to correct this] 連結，在發現問題時是可用的。當您按下這個連結，會出現一頁有關發現問題的說明、問題的解決方案，以及修正這個問題的教學。

  3. 透過選擇 [How to correct this] 連結，修正任何您發現的問題。在結果頁中，解決方案和教學會告訴您修正問題的必要步驟。

回到頁首

相關資訊

如需更多有關確保 Windows XP 安全性的資訊，請參閱下列：

• 在 Microsoft 網站上的《Windows XP Security Guide》，如要下載完整指南，請造訪 https://go.microsoft.com/fwlink/?LinkID=14839

• 在 Microsoft 網站上的《Guide to Securing Windows XP Professional in Small and Medium Businesses (英文)》，如要下載完整指南，請造訪 https://go.microsoft.com/fwlink/?LinkID=19453

如需更多有關確保 Windows XP 安全性的相關話題資訊，請參閱下列：

• 在 Microsoft 位於 https://go.microsoft.com/fwlink/?LinkID=15159 的 Threats and Countermeasures Guide (英文) 頁面。

• 位於 https://go.microsoft.com/fwlink/?LinkId=22690 的 Microsoft's HotFix & Security Bulletin 服務

回到頁首