確保 Windows Server 環境中 Windows XP Professional 用戶端的安全

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
下載 Windows XP 安全性範本
建立新的群組原則物件與匯入安全性範本
確認應用於桌上型與膝上型電腦的原則
驗證新的設定值
啟用 Microsoft 網際網路連線防火牆
安裝防毒軟體
維護目前的補充程式等級
將檔案系統轉換成 NTFS
相關資訊

簡介

入侵者及惡意程式碼的威脅,例如:病毒與蠕蟲,不斷地持續成長;因此,各大小組織必須採取立即的行動,提升桌上型和膝上型電腦的安全性。病毒是一種會影響電腦檔案的侵入程式,此程式透過插入自我複製程式碼的檔案複本,進而感染電腦檔案;而蠕蟲則是一種獨立運作的程式,透過網路連線在電腦間遊走。這份文件說明如何在使用 Microsoft Active Directory® 目錄服務的中小企業環境內,執行《Microsoft® Windows® XP 安全性指南》所建議的安全性措施。

這份文件的目標是提供簡單明瞭的指示,以便下載 Windows XP Security Templates、設定網路中網域控制站的 Active Directory 網域基礎結構,並建立新的群組原則物件 (GPO),進而匯入安全性範本協助提升網路上電腦的安全性。同時也提供有關如何驗證新設定值、安裝分散式防火牆與防毒軟體、維護目前的補充程式等級、以及將您的檔案系統轉換為 NTFS 等詳細資訊。本文中所有逐步教學指示,都需從 Windows XP 預設的「開始」功能表上開始執行。

以下將概括列出本文所討論的主題與內容:

  • 下載已預先設定好組態的安全性範本,自動變更您的系統使電腦更安全。

  • 設定 Active Directory 網域基礎結構的組態,管理您的網路中所有執行 Windows XP Professional 的電腦的安全性等級。

  • 將原則應用在您的桌上型電腦及膝上型電腦。

  • 驗證新的設定值。

  • 安裝防毒軟體。

  • 將電腦的檔案系統轉換為 NTFS 格式,可以比 FAT 檔案系統提供更高的安全性等級。

  • 設定您的系統使用網際網路連線防火牆 (Internet Connection Firewall,ICF),能夠避免外來者透過網際網路存取您的電腦。

  • 使用安全性補充程式讓系統保持最新狀態。

這些建議將協助您確保系統中所有執行 Windows XP Professional SP1 的桌上型及膝上型電腦更為安全,可以免於目前大多數的安全性威脅,讓使用者的電腦更具效率及生產力。本文中除了詳細的逐步說明指南外,也將告訴您有關 Microsoft 提供給所有客戶 (包括家庭及企業使用者),最高安全性建議的詳細資訊。

注意:實作本指南的建議,有助於您的 Windows XP 桌上型及膝上型電腦,與其他執行 Windows XP、Microsoft Windows® 2000,以及 Windows Server™ 2003 的電腦溝通時更具有安全性。然而,Windows XP 桌上型及膝上型電腦可能與其他執行 Microsoft Windows® 98 或 Windows NT® 4.0 的電腦分享檔案、資料夾或印表機有困難。因為 Windows 98 與 Windows NT 4.0 是較早期的作業系統,也比較難對付目前安全性的威脅。

重要事項:本文件所包括的逐步指引,會從安裝作業系統時預設出現的「開始」功能表中開始。如果您修改過「開始」功能表,步驟就會有稍許不同。

開始之前

在提供任何安全性建議的同時,本指引會努力找出增強型安全性與可用性之間的最佳平衡點。本文件所提供的建議可有效運用於各種環境中的 Windows XP Professional 部署。但是在執行這些建議之前,必須特別注意幾個關鍵點。

本文並未特別說明在大型企業中可能需要的許多不同需求及組態。此外,本指引不能完全解決某些組織的特定安全性需求。

符合 Service Pack 需求

本文建議僅適用於執行有 Service Pack 1 (SP1) 或 SP1 (a) 的 Windows XP Professional 電腦,因其屬於 Active Directory 網域的成員。如果 Service Pack 1 並未安裝於特定的電腦,或者您不確定是否已安裝,請造訪下列 Microsoft 網站上的 Windows Update (英文) 頁面,網址是 http://go.microsoft.com/fwlink/?LinkID=22630,讓 Windows Update 掃描您的電腦查看是否有可用的更新。如果 Service Pack 1 顯示為可用的更新,請在繼續執行本文件程序之前完成其安裝。

避免使用系統管理權限帳戶

許多組織面臨一項共同的問題:使用者喜歡以系統管理認證執行他們的桌上型或膝上型電腦。最佳實務就是讓所有使用者帳戶都成為使用者群組的成員,不應該允許使用者例行地使用系統管理員群組的成員帳號登入系統;透過強制性的改變,使用者將無法再安裝未經核准的軟體,因為這些軟體可能會有病毒,或是其他具潛在危險性的程式碼。

執行這些需求極具挑戰性,但是使用具有標誌認證應用程式的 Windows XP Professional,將使執行變得容易許多。沒有系統管理權限的使用者,將無法正確執行尚未通過認證的應用程式。如果要搜尋標誌認證應用程式的清單,請在位於下列 Microsoft 網站上 http://go.microsoft.com/fwlink/?LinkId=22382Windows Catalog (英文) 網頁,搜尋標示為「Designed for Windows XP」的軟體。

系統管理員必須執行本文的建議,但這些設定也提供一些功能,讓非系統管理員群組的成員,能在日常工作中將其應用於桌上型或膝上型電腦。一旦執行了本文所建議的安全性設計,將可應用至所有登入桌上型或膝上型電腦的使用者,包括本機系統管理員群組在內。

下載 Windows XP 安全性範本

安全性範本是含有安全性組態設定的檔案。如果要將之應用在系統上,需將安全性範本先匯入桌上型或膝上型電腦;

以下程序將告訴您如何下載已預先設定組態的安全性範本,以建立桌上型或膝上型電腦的安全性。

此說明程序到何處取得 Windows XP 安全性範本,以及如何將它儲存於您的電腦網路中的網域控制站上。取得範本讓您有效率地使用此文件的相關程序,可以幫助改善您電腦的安全性。

需求

為完成此工作,您需要下列:

  • 認證 :您必須以 Domain Admins 群組的成員身份,登入網域控制站及成員電腦中。

  • 工具:網頁瀏覽器、Windows 檔案總管。

  • 若要若要若要下載安全性範本

    1. 在成員電腦上,開啟網頁瀏覽器並瀏覽至《 Windows XP 安全性指南 》網頁,位於 Microsoft 下載中心網站 http://go.microsoft.com/fwlink/?linkid=14840

    2. 在本網頁下方的 [Files in this Download] 部份,按一下 Windows_XP_Security_Guide.exe。

    3. 在 [檔案下載] 對話方塊中,按一下 [儲存]。

    4. 儲存位置的提示出現時,展開 [儲存於:] 下拉式清單,按一下 [桌面],然後按一下 [儲存]。

    5. 在 [下載完成] 對話方塊中,按一下 [關閉]。

    6. 複製下載的檔案 Windows_XP_Security_Guide.exe 到網域控制站的 [我的文件] 資料夾。

      注意:逐步地將您電腦的檔案複製到網域控制站的步驟,會因為您的網路組態設定之不同而有所差異。您必須開啟一個新的檔案總管視窗,在網域控制站上指向共用的 C$,先按一下 [開始],再按一下 [執行],然後鍵入 \\Your_Domain_Controller_Name\c$

    7. 在網域控制站,按一下 [開始],依序選取 [所有程式]、[附屬應用程式],再按一下 [檔案總管]。

    8. 使用檔案總管瀏覽至 [我的文件] 資料夾,再按兩下 Windows_XP_Security_Guide.exe 檔案。

    9. 在 [Winzip Self-Extractor] 對話方塊中,按一下 [Browse]。

    10. 按一下 [我的文件],再按一下 [確定]。

    11. 在 [Winzip Self-Extractor] 對話方塊中,按一下 [Unzip]。

    12. 所有檔案都完成解壓縮之後,按一下 [確定]。

    13. 在 [Winzip Self-Extractor] 視窗,按一下 [關閉]。

設定 Active Directory 網域基礎結構

群組原則是 Active Directory 的一項特性,有助於 Windows Server 2003、Windows 2000 Server 網域的變更與組態管理。然而,在您將群組原則套用至環境中的 Windows XP Professional 用戶端之前,需要先在您的網域中進型特定的預備步驟。

請使用下列程序為您的電腦網路設定 Active Directory 基礎結構;建立這些結構之後,您就可以運用本文提到的相關程序,協助改良電腦的安全性。

需求

為完成此工作,您需要下列:

  • 認證:您必須以 Domain Admins 群組的成員身份,登入網域控制站。

  • 工具:Active Directory 使用者及電腦嵌入式管理單元。

  • 若要若要若要設定 Active Directory 網域基礎結構
    使用嵌入式管理單元在網域中建立下列新的組織單元如下:

    • 安全的電腦 OU 此 OU 包括了系統環境中每一個作業系統的子 OU。

    • Windows XP OU:此 OU 包括了系統環境中每一種類型的 Windows XP 用戶端的子 OU。此處涵蓋了桌上型和膝上型用戶端的指引。

      注意:即使您依照本文的指示說明,將完全一樣的安全性設定應用於桌上型和膝上型電腦;但本指南亦提出如何為每一個系統建立個別的 OU,使您更容易針對系統中某個等級的用戶端電腦,建立特定的其他安全性組態。

    • 桌上型電腦 OU:此 OU 包含與您的公司網路經常保持連線的桌上型電腦。

    • 膝上型電腦 OU:此 OU 包含並未與您的公司網路始終保持連線之行動使用者的膝上型電腦。

下圖簡略列出所欲建立的 OU 結構:

OU 結構
  1. 按一下 [開始],按一下 [控制台],按一下 [效能及維護],再按兩下 [系統管理工具],再按兩下 [Active Directory 使用者及電腦]。

  2. 在網域的根容器,按一下滑鼠右鍵,滑鼠指標指向 [新增],然後選取 [組織單位]。

    Active Directory 使用者及電腦

    注意:本文的「螢幕擷取畫面」係顯示測試環境的資訊,與您的電腦所顯示的資訊未必相同。

  3. 鍵入 Secured Computers OU 為新的 OU 命名,再按一下 [確定]。

  4. 在 [安全的電腦 OU] 按一下滑鼠右鍵,滑鼠指標指向 [新增],然後選取 [組織單位]。

  5. 鍵入 Windows XP OU 為新的 OU 命名,再按一下 [確定]。

  6. 在 [Windows XP OU] 按一下滑鼠右鍵,滑鼠指標指向 [新增],然後選取 [組織單位]。

  7. 鍵入 Desktop OU 為新的 OU 命名,再按一下 [確定]。

  8. 在 [Windows XP OU] 按一下滑鼠右鍵,滑鼠指標指向 [新增],再選取 [組織單位]。

  9. 鍵入 Laptop OU 為新的 OU 命名,再按一下 [確定]。

  10. 將所有執行 Windows XP 的桌上型電腦,以拖曳方式從目前的 OU 位置搬移到新的 Desktop OU

  11. 將所有執行 Windows XP 的膝上型電腦,以拖曳方式從目前的 OU 位置搬移到新的 Laptop OU

    注意:新電腦物件在 Active Directory 預設的新位置位於「電腦」容器中。

新的 OU 結構應該和下圖所顯示的一樣。

新的 OU 結構

建立新的群組原則物件與匯入安全性範本

改良電腦安全性的下一個步驟,是要設定許多內建安全性的組態。然而這似乎是一項令人怯步的工作,以下將逐步說明如何使用《Windows XP 安全性指南》隨附的 Enterprise Client-Desktop.inf Enterprise Client-Laptop.inf 檔案,來執行此項工作。

這些原則將設定組態,以確保只有有效的使用者可以連接到電腦,也只有系統管理員才可以在電腦上備份、儲存檔案,以及在系統上增加新的驅動程式。

使用下列程序建立新的 GPO,以便為網路上的桌上型電腦設定安全性的量值。GPO 讓您可以使用本文所提到的相關程序,以協助您改良電腦的安全性。

需求

為完成此工作,您需要下列:

  • 認證:您必須以 Domain Admins 群組的成員身份,登入網域控制站。

  • 工具:Active Directory 使用者及電腦內嵌是管理單元、命令提示字元。

  • 若要若要為桌上型電腦建立 GPO

    1. 如果需要的話,重新開啟Active Directory 使用者及電腦的嵌入式管理單元:按一下 [開始],按一下 [控制台],按一下 [效能及維護],再按兩下 [系統管理工具],再按兩下 [Active Directory 使用者及電腦]。

      瀏覽至 [Desktop OU]。

    2. 在 [Desktop OU] 按一下滑鼠右鍵,再選取 [內容]。

      Active Directory 使用者和電腦
    3. 在 [Desktop OU 內容] 對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [新增]。

    4. 鍵入 XP Desktop 原則為 GPO 命名,再按一下 [編輯]。

      Desktop OU 內容
    5. 將開啟「群組原則物件編輯器」工具,並顯示您剛才在 [群組原則物件連結] 方塊中所建立的 GPO。

    6. 在 [電腦組態] 之下,展開 [Windows 設定] 資料夾,接著在 [安全性設定] 按一下滑鼠右鍵,然後選取 [匯入原則]。

      群組原則物件編輯
    7. 在 [原則匯入自] 對話方塊,在下拉式清單方塊中展開 [Templates] 資料夾,然後瀏覽至 \My Documents\Windows XP Security Guide\Tools and Templates\Security Guide\Security Templates\

    8. 選取 [Enterprise Client – Desktop.inf] 安全性範本,按一下 [開啟]。

      注意:如果沒有看到 Enterprise Client – Desktop.inf 檔案,您可能將檔案儲存在別的地方。那麼就必須將這個 Windows_XP_Security_Guide.exe 自我解壓縮檔,再重新解壓縮一次。

      原則匯入來源
    9. 關閉 [群組原則物件編輯] 工具。

    10. 關閉 [Desktop OU 內容] 對話方塊。

使用下列程序建立新的 GPO,以便為網路上的膝上型電腦設定安全性的量值。GPO 讓您可以使用本文所提到的相關程序,以協助您改良電腦的安全性。

  • 若要為膝上型電腦建立 GPO:

    1. 如果需要的話,重新開啟「Active Directory 使用者及電腦的嵌入式管理單元」,按一下 [開始],按一下 [控制台],按一下 [效能及維護],再按兩下 [系統管理工具],再按兩下 [Active Directory 使用者及電腦]。

    2. 在 [Laptop OU] 按一下滑鼠右鍵,再選取 [內容]。

    3. 在 [Laptop OU 內容] 對話方塊中,按一下 [群組原則] 索引標籤,再按一下 [新增]。

    4. 鍵入 XP Laptop 原則為 GPO 命名,再按一下 [編輯]。

    5. 將開啟「群組原則物件編輯器」工具,並顯示您剛才在 [群組原則物件連結] 方塊中所建立的 GPO。

    6. 在 [電腦組態] 之下,展開 [Windows 設定] 資料夾,接著在 [安全性設定] 按一下滑鼠右鍵,然後選取 [匯入原則]。

    7. 在 [原則匯入自] 對話方塊在下拉式清單方塊中展開 [Templates] 資料夾清單,然後瀏覽至 \My Documents\Windows XP Security Guide\Tools and Templates\Security Guide\Security Templates\

    8. 選取 [Enterprise Client - Laptop.inf] 安全性範本,按一下 [開啟]。

      注意:如果沒有看到 Enterprise Client - Laptop.inf 檔案,您可能將檔案儲存在別的地方。那麼就必須將這個 Windows_XP_Security_Guide.exe 自我解壓縮檔,再重新解壓縮一次。

    9. 關閉 [群組原則物件編輯] 工具。

    10. 關閉 [Laptop OU 內容] 對話方塊。

    11. 等到所有的網域控制站之間都複製完成,用戶端電腦不管是用哪一台網域控制站登入,都可以使用新的群組原則。


確認應用於桌上型與膝上型電腦的原則

您現在可以準備將安全性設定應用在桌上型或膝上型電腦,使用 gpupdate.exe 命令,可以確認此設定是否能應用於電腦。您可以使用下列程序強制更新群組原則,完成這些程序之後,再重新啟動系統,就可以確認您是否可以成功地應用這些安全性原則。

需求

為完成此工作,您需要下列:

  • 認證:您必須以 Domain Admins 群組的成員身份,登入桌上型或膝上型電腦。

  • 工具:命令提示字元,gpupdate.exe。

  • 若要若要執行 Gpupdate

    1. 按一下 [開始],按一下 [執行],鍵入 cmd,再按一下 [確定]。

    2. 在命令提示字元,鍵入 gpupdate.exe /force,然後按 ENTER。

    3. 您收到「您確定要重新開機」的訊息時,鍵入 Y,然後按 ENTER。有些情況下,您可能不會看到這個訊息,如果沒有看到的話,您就必須以手動方式重新啟動電腦。

      GPUpdate

      一旦系統重新啟動,就可以成功地應用安全性原則。按下 CTRL+ALT+DEL 登入後,您應該會看到以下的對話方塊內容:

      未經適當授權而繼續視同違法行為。

      按一下 [確定] 並以正常方式登入電腦。

    4. 在應用程式事件記錄檔中,要驗證已成功下載的原則,按一下 [開始],按一下 [控制台],按一下 [效能及維護],然後按一下 [系統管理工具]。

    5. 在 [系統管理工具] 中,按兩下 [事件檢視器]。

    6. 在 [事件檢視器] 中,按一下 [應用程式記錄檔],從中尋找最近以下列方式定義的事件:

      • 類型為 Information。

      • 原始檔為 SceCli。

      • 事件識別碼號碼為 704。


驗證新的設定值

驗證您的本機電腦是否使用合適的安全設定。請使用下列程序來檢視您機器上的本機電腦設定值,驗證這些設定值,可以進一步確認您的電腦已經有效地啟用正確的安全性設定。

需求

為完成此工作,您需要下列:

  • 認證:您必須以 Domain Admins 群組的成員身份登入。

  • 工具:本機安全性原則 (Local Security Policy) 嵌入式管理單元、控制台。

  • 若要若若要在您的電腦上驗證安全性原則

    1. 按一下 [開始],按一下 [控制台],按一下 [效能及維護],按一下 [系統管理工具],然後按兩下 [本機安全性原則]。

    2. 在 [本機安全性原則] 主控台樹狀目錄,展開 [本機原則] 資料夾,再按一下 [安全性選項] 資料夾。

      本機安全性設定值
    3. 在 [安全性選項] 資料夾的詳細資料窗格右邊,檢視可應用的安全性選項原則設定值。

    4. 您只需要檢視少數的設定值,是否已經從原始數值變更為更新、更安全的設定。因此,請謹慎地檢視下列設定值:

      1. 驗證 [裝置:允許卸除而不需登入] 這個原則設定為 [停用]。

      2. 驗證 [互動式登入:給登入使用者的訊息本文] 這個原則包含的訊息本文開頭如下:「本系統限制為...」

      3. 驗證 [互動式登入:先前網域控制站無法使用時的登入快取次數] 這個原則設定值設為 2


啟用 Microsoft 網際網路連線防火牆

Microsoft 網際網路連線防火牆 (Internet Connection Firewall,ICF) 是 Windows XP 的內含功能,可協助保護您的系統或網路連線。如果「Windows XP 網路設定精靈」偵測到您的系統直接連線到網路,就能輕易啟用 ICF。

使用以下步驟來啟用您網路上執行 Windows XP 電腦上的 ICF。防火牆會新增到網路的整體安全性。

需求

為完成此工作,您需要下列:

  • 認證:您必須以 Domain Admins 群組的成員身份登入桌上型或膝上型電腦。

  • 工具:控制台。

  • 若要若要啟用 ICF

    1. 在 [開始] 選單,按一下 [控制台]。

    2. 在 [控制台],按一下 [網路及網際網路連線],然後按一下 [網路連線]。

    3. 在想要啟用的 ICF 的 [連線] 上按一下滑鼠右鍵,再按一下 [內容]。

    4. 按一下 [進階] 索引標籤,選取 [限制或避免從網路存取本電腦以保護我的電腦] 核取方塊,再按一下 [確定]。

      區域連線屬性

這些變更會立刻生效,以便藉由限制或避免存取電腦或網路,開始保護您的網路。雖然強烈建議您啟用 ICF,它目前不會包含部份協力廠商提供的防火牆產品內的所有功能。如需更多關於 ICF 的資訊,請參閱《Security Guidance Kit (英文)》的<Protecting Clients From Network Attacks>文件。如需更多關於使用防火牆協助保護網路的資訊,請參閱位於 Microsoft 的 Microsoft Internet Security and Acceleration Server (英文) 網頁,網址是 http://go.microsoft.com/fwlink/?LinkId=22495

安裝防毒軟體

電腦病毒是在未經您的通知、或核准時載入到系統的程式。最近這幾年來,病毒與其他形式的惡意軟體已大肆流竄。今日的病毒可以複製自身,並透過網際網路與電子郵件應用程式,不斷地擴散到全世界。

防毒軟體會不間斷地掃瞄電腦中的病毒,以協助偵測、並移除搜尋到的病毒。安裝防毒軟體僅能解決部分的問題,隨時保持最新的防毒軟體病毒碼,對於維護桌上型與膝上型電腦的安全性也很重要。

教育使用者關於安全電子郵件操作實務是另一項保護病毒攻擊的重要步驟。使用者不應該隨意開啟電子郵件或電子郵件的附加檔案,除非他們原先已預期會收到郵件,而且可以驗證郵件來源沒有問題;確定所有電子郵件的附加檔案均以防毒軟體掃瞄過之後,才能開始執行這些檔案。

如果您要尋找更多有關軟體廠商提供的防毒軟體與 Windows XP 相容性的詳細資訊,請參閱 Microsoft 網站 List of Antivirus Software Vendors (英文) 的知識庫資源,網址是 http://go.microsoft.com/fwlink/?LinkId=22381

維護目前的補充程式等級

要確認您的膝上型電腦和桌上型電腦處於最新狀態,Microsoft 強烈建議您利用所有發行的 Windows XP 安全性補充程式,來修補您的電腦。只要您的電腦連線至網路,Windows XP 就能輕鬆執行這項動作。使用下列程序,可以簡單地設定電腦從 Microsoft 自動下載及安裝最近的更新程式。

下列程序會將您的電腦設定成可接收自動更新,若您的電腦能夠接收自動更新,有助於保護系統以對付企圖透過網際網路入侵您網路上的電腦的新病毒與蠕蟲。

需求

為完成此工作,您需要下列:

  • 認證:您必須以 Domain Admins 群組的成員身份登入桌上型或用戶端電腦。

  • 工具:控制台。

  • 若要設定您的機器為自動更新

    1. 按一下 [開始] 功能表,再按一下 [控制台]。

    2. 按一下 [效能及維護],然後按兩下 [系統]。

    3. 按一下 [自動更新] 標籤,然後選擇標示的核取方塊:[保持我的電腦在最新狀態]。啟用這個設定值後,Windows Update 軟體可能會在套用其他更新之前,優先自動更新。

    4. 在 [設定] 之下,選取下列選項:[自動下載更新,並在我指定的排程安裝它們]。

    5. 選取要執行更新的日期與時間,然後按一下 [確定] 結束 [系統內容] 視窗。

      系統內容

一旦啟用自動更新,新的更新就會依據您指定的排程,自動套用於電腦上。您可以任意設定自動下載的時間,不論白天或晚上,只要確定您的電腦是處於連線狀態。(為了避免速度降慢,Microsoft 建議您最好選擇不需使用電腦的時間進行下載,然而,電腦必須開著。)如果設定自動更新於執行時必須先通知您,或者您忘了將電腦開機,請參閱 [通知提示]。按一下 [通知提示],檢視說明並安裝更新。

將檔案系統轉換成 NTFS

檔案系統會決定電腦組織目錄和檔案的方式。Windows XP 安裝過程中,電腦可以設定為使用 FAT32 或 NTFS 檔案系統。

FAT32 是較早期的技術,使用於先前的 Windows 版本;NTFS 檔案系統比 FAT32 及其他舊版的檔案系統更迅速又更安全。為了獲得作業系統的最佳效能,請使用 NTFS 保護您電腦上所有磁碟分割的檔案系統。下列有兩項程序,第一項先確認您電腦的檔案系統類型,接著 (如果有需要的話),再將檔案系統轉換成 NTFS。

  • 若要若要檢查電腦的檔案系統類型

    1. 按一下 [開始] 功能表,再按一下 [我的電腦]。

    2. 在要檢查的「磁碟機代號」上面按一下滑鼠右鍵,然後按一下 [內容]。

    3. 檔案系統應該是 NTFS。如果不是,可以使用 convert.exe 公用程式,將 FAT6 或 FAT32 轉換成 NTFS。

      本機磁碟 (C:)Properties

    重複此項程序,檢查並轉換電腦上所有硬碟的磁碟分割。即使安裝作業系統時,檔案系統被設定成 FAT32,您也可以輕易地將它轉換成 NTFS 以提供更加的安全性。

    轉換檔案系統為 NTFS 時,請標記磁碟名稱,或稱為磁碟區標籤 (在上圖中的磁碟 C),並且完成下列步驟。

    請執行下列程序將檔案系統轉換成 NTFS,因為 NTFS 將提供電腦較高等級的安全性。

  • 若要轉換成 NTFS 檔案系統 „h

    1. 在 [開始] 功能表,按一下 [執行],鍵入 cmd,再按一下 [確定]。

    2. 在 [命令提示字元] 鍵入下列文字,其中 drive letter 是指您想要轉換的磁碟機:

      a. Convert drive letter: /fs:ntfs

    3. 接著將提示您輸入磁碟機目前的磁碟區標籤,請輸入先前已識別過的磁碟區標籤,再按下 ENTER。

    4. 轉換完成後,鍵入 EXIT,再按下 ENTER,關閉 [命令提示字元]。

      注意:如果您想在已經安裝好作業系統的磁碟上進行轉換,可以先將轉換列入排程,於下一次重新啟動系統時立即進行轉換。若發生這種情況,鍵入 Y 然後重開機。


相關資訊

如需更多關於保障 Windows XP 安全的詳細資訊,請參閱下列參考文件:

如需更多關於確保 Windows XP 安全的相關主題資訊,請造訪下列網址:

  • Threats and Countermeasures Guide (英文)》網頁,位於 Microsoft 網站的 http://go.microsoft.com/fwlink/?LinkID=15159

  • 《Security Guidance Kit (英文)》中的<Selecting Secure Passwords>文件裡的<Develop Password Policy Guidelines>一節。

  • 《Security Guidance Kit (英文)》中的<Enforcing Strong Password Usage Throughout Your Organization>文件裡的<Enforce a Strong Password Policy on All Machines>一節。


顯示: