確保 Windows XP Professional 在對等網路環境下的安全性 (英文)

更新日期: 2006 年 7 月 21 日


本頁內容

簡介
開始之前
確保檔案系統安全性
Windows 防火牆
更新安全性補充程式
相關資訊

簡介

對等網路將您網路中的資訊與資源的分享變得容易,因而使得產能增加。然而,電腦使用者擁有控制存取他們電腦的能力,會使得資訊容易被竊取、遺失或不慎造成檔案共用。這也是為什麼要額外地加強公司電腦使用原則的原因,您得確定您和您的員工能了解 Windows 對等網路的網路工作及安全性。

隨著與日俱增的惡意程式碼威脅,例如蠕蟲、病毒、特洛伊木馬程式、間諜軟體,以及駭客威脅,客戶能立即採取適當的行動來鎖定桌上型和可攜式電腦是重要的一件事。本文件說明如何對中小企業使用中的對等網路環境,執行安全性方案。這些建議將協助您確保執行 Microsoft® Windows® XP Professional Service Pack 2 (SP2) 的電腦更為安全,同時又能讓使用者的電腦更具效率及生產力。

本文件的目的

熟悉本文件中的資訊之後,您將能增加對等工作群組的安全性。

開始之前

在提供任何安全性建議的同時,本指引會努力找出增強型安全性與可用性之間的最佳平衡點。本文件中的建議可有效運用於各種環境中的 Windows XP Professional SP2 部署。但是在實作這些建議之前,請特別注意,本文件並不能解決大型組織所需要的各種需求與設定。此外,本指引不能完全解決某些組織的特定安全性需求。

符合 Service Pack 需求

本文件中的建議僅適用於同屬工作群組 (而非網域) 成員之執行 Windows XP Professional SP2 的電腦。若特定電腦並未安裝 SP2,或者您不確定是否已安裝 SP2,請前往位於 Microsoft 網站的 Microsoft Update (中文) 網頁,網址是 http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-tw,並掃描是否有適用於您電腦的可用更新。若顯示 SP2 為可用的更新,請先安裝 SP2,再開始執行本文件中的程序。

附註  安裝 SP2 之後,將需要重新啟動電腦。

系統管理需求

您必須以 Administrator 或是 Administrators 群組成員的身分登入,才能完成下列程序。如果您的電腦已連結上網路,網路原則設定也可以確保您完成這些程序。

確保檔案系統安全性

檔案系統是電腦內組織目錄和檔案的方法。有一些方法可以用來保護您的檔案系統,免於遭受未授權的存取、修改或刪除。本節提供完成下列工作以協助確保檔案系統安全性的逐步指示:

  • 轉換檔案系統為 NTFS

  • 使用防毒軟體

  • 使用 Windows Defender (Beta 2)

  • 保護檔案共用

  • 保障共用資料夾安全

  • 停用非必要的服務

  • 停用或刪除非必要的帳戶

將檔案系統轉換成 NTFS

Windows XP 安裝過程中,電腦可以設定為使用 FAT32 或 NTFS 檔案系統。

FAT32 是較早期的技術,使用於先前的 Windows 版本;NTFS 檔案系統比 FAT32 及其他舊版的檔案系統更迅速又更安全。為了獲得作業系統的最佳效能,請使用 NTFS 保護您電腦上檔案系統的所有磁碟分割。下列有兩項程序,第一項先確認您電腦的檔案系統類型,接著 (如果有需要的話),再將檔案系統轉換成 NTFS。

重要 將 FAT 磁碟分割轉換為 NTFS 之前,您必須考慮下列限制:

  • 轉換之後即無法還原。將磁碟分割轉換為 NTFS 之後,就無法將它還原為 FAT。若要將磁碟分割還原為 FAT 磁碟分割,必須將該磁碟分割重新格式化為 FAT,這樣會清除該磁碟分割的所有資料。您必須從備份還原資料。

  • 將電腦上的任何磁碟機轉換為 NTFS 之後,就無法移除 Windows XP 以還原到 Windows 98 或 Windows Millennium Edition (Me)。

  • 要轉換檔案系統的磁碟機上必須有足夠的可用空間,才能執行 Convert.exe。如需有關轉換所需之可用磁碟空間的其他資訊,請參閱 Microsoft 知識庫文章「
    將 FAT 轉換為 NTFS 所需的可用磁碟空間」(英文),網址是 http://support.microsoft.com/kb/156560。

若要檢查您電腦上的檔案系統類型

  1. 按一下 [開始],然後按 [我的電腦]

  2. 在您要檢查的磁碟機代號上按一下滑鼠右鍵,再按 [內容]

  3. 檔案系統類型應該是 NTFS,如下列螢幕捕捉畫面所示。如果不是,可以使用 Convert.exe 公用程式,將 FAT16 或 FAT32 轉換成 NTFS。

    XPP2P01.GIF


重複此項程序,檢查並轉換電腦上所有硬碟的磁碟分割。即使安裝作業系統時,檔案系統被設定成 FAT32,您也可以輕易地將它轉換成 NTFS 以提供更加的安全性。

若要將檔案系統轉換為 NTFS,請標記磁碟機名稱,或稱為磁碟區標籤 (在上圖中的磁碟機 C)。接著完成下列程序,即可將檔案系統轉換為 NTFS。因為 NTFS 將提供電腦較高等級的安全性。

若要將檔案系統轉換成 NTFS

  1. 依序按一下 [開始][執行],鍵入 cmd,然後按 [確定]

  2. 在 [命令提示字元] 中,鍵入下列命令 (其中 <磁碟機代號> 是您要轉換的磁碟機),然後按下 ENTER:

    convert <磁碟機代號> :/fs:ntfs

  3. 接著將提示您輸入磁碟機目前的磁碟區標籤,請輸入先前已識別過的磁碟區標籤,再按下 ENTER。

  4. 轉換完成後,請鍵入 exit,然後按下 ENTER 以關閉 [命令提示字元]。

    附註 如果您嘗試在已經安裝好作業系統的磁碟機上進行轉換,系統可能會提示您先將轉換列入排程,於下一次重新啟動電腦時立即進行轉換。如果收到此提示,請鍵入 y,然後按下 ENTER 以重新啟動電腦。

使用防毒軟體

電腦病毒是在未經您的通知或核准時載入到電腦的程式。最近這幾年來,病毒與其他形式的惡意軟體已大肆流竄。今日的病毒可以複製自身,並透過網際網路與電子郵件應用程式,不到一小時便擴散到全世界。

防毒軟體程式有助於保護您的電腦,對抗已知的病毒、蠕蟲、特洛伊木馬程式及其他惡意的程式碼。防毒軟體會不間斷地掃描電腦中的病毒,以協助偵測、並移除搜尋到的病毒。安裝防毒軟體僅解決部份問題,保持更新防毒簽署檔案到最新狀態,對維持桌上型及可攜式電腦的安全性來說是件重要的事。

很多新電腦在送來的時候,就已安裝好防毒軟體。不過,防毒軟體需要訂閱功能以保持最新內容。如果您沒有訂閱最新的更新程式,您的電腦就難以對抗新的威脅。

教育使用者關於安全電子郵件操作實務是另一項保護病毒攻擊的重要步驟。使用者不清楚檔案內容前,不應打開電子郵件或執行電子郵件附件。確定所有電子郵件附件均以防毒軟體掃描過之後,才能開始執行這些檔案。

Microsoft 提供 Windows Live OneCare,它是一個在背景執行的服務,可自動更新電腦的防護功能。它不僅可以協助您的電腦防禦病毒、駭客和其他威脅的攻擊,也能協助維持電腦的最新狀態並協助您備份重要文件。如需詳細資訊,請參閱 Windows Live OneCare (英文),網址是 www.windowsonecare.com/。

如需有關提供與 Windows XP 相容之防毒軟體廠商的詳細資訊,請參閱位於 Microsoft 網站的「防毒軟體廠商的清單」(中文) 網頁,網址是 http://support.microsoft.com/kb/49500/zh-tw。

使用 Microsoft Defender

Windows Defender (Beta2) 是一種安全性技術,可協助 Windows 使用者防禦間諜軟體和其他潛在有害軟體的攻擊。它可以偵測並移除電腦中的已知間諜軟體,以協助降低間諜軟體所造成的負面影響,包括電腦效能降低、煩人的快顯廣告、網際網路設定遭受不必要的變更,以及未經授權使用您的私人資訊。它可以抵擋 50 種以上間諜軟體入侵電腦的的方式,提供連續的防護以提高瀏覽網際網路的安全性。全球性 SpyNet™ 社群的參與者扮演重要的角色,他們會決定將哪些可疑程式歸類為間諜軟體。Microsoft 研發人員會快速開發抵抗這些威脅的方法,而且會自動下載更新到您的電腦,讓您的防護功能隨時保持最新狀態。

您可以從 http://www.microsoft.com/taiwan/athome/security/spyware/software/default.mspx 下載 Windows Defender (中文)。目前的版本是 Beta 2。檔案名稱是 WindowsDefender.msi,檔案大小約為 5.5MB。(正式版發行之後,檔案名稱和檔案大小可能會變更。)

保護檔案共用

Windows XP Professional 檔案共用是與其他 Windows 型系統使用者共用本機硬碟上之檔案的方式。您可以為整個目錄或資料夾賦予共用名稱,並將該檔案共用的權限指派給個別使用者或整個群組。不論工作站是屬於網域或工作群組的成員,這些檔案共用的功能均相同。在上述兩種設定中,都可以建立共用以允許其他工作站的其他使用者存取本機硬碟上的目錄。在上述兩種設定中,Windows XP Professional 工作站使用者可以將這些共用的權限指派給本機帳戶和群組;但若工作站是 Active Directory 的成員,則只能將權限指派給 Active Directory® 目錄服務帳戶和群組。

依預設,您建立的共用會指派給 Everyone,且他們將具有完整控制權。您必須修改這些權限,以便只將共用提供給需要存取共用的對象。此外,您可以限制使用者帳戶和使用者帳戶群組對於檔案共用的權限。您可以僅授予他們唯讀存取權,或是將建立、變更甚至刪除檔案的權限指派給他們。

檔案共用適用於受防火牆 (例如 Windows XP SP2 提供的 Windows 防火牆) 保護之家用或企業網路的使用者。如果您連上網際網路,並且不在防火牆之後進行連線,記住,您共用的任何檔案都有可能被網際網路上的使用者所存取。

確保共用資料夾安全性

Windows 對等網路允許您和網路上的其他電腦,共用您檔案系統內容。下列程序假定您的檔案系統內,擁有一或多個共用資料夾。您可以變更某些預設檔案系統設定,限制未經授權的使用者無法存取您的共用。

  • 需要從其電腦存取共用的每位使用者,都必須擁有共用所在工作站的使用者帳戶。此必要條件是對等工作群組網路設定的限制。建議您限制可以同時存取共用目錄的電腦數目下限。若所有工作站都要設定共用,則必須在所有工作站上建立使用者帳戶,您將必須花費相當的心力支援如此複雜的設定。

  • 您只能在格式化為使用 NTFS 檔案系統的磁碟機設定權限。

  • 在下列步驟中,您將會移除可提供匿名存取的 Everyone 特殊群組。接著,您會將共用資料夾的讀取變更權限指派給每個本機使用者帳戶。

    • 授予讀取權限,可允許使用者帳戶擁有足夠權限,以列出檔案清單、開啟檔案,以及將檔案從共用複製到其他位置。

    • 授予變更權限,可允許使用者擁有權限,以列出、新增、修改或刪除檔案。

    您必須同時選取變更讀取,才能指派變更權限。請限制指派變更權限的使用者數目。不建議將共用的完整控制權限授予其他使用者帳戶。授予完整控制權限,可允許使用者具有變更的同等權限,但他們還能夠取得檔案/目錄的擁有權,並變更權限。

若要確保共用資料夾安全性

  1. 在您先前已共用的資料夾上按一下滑鼠右鍵,然後選取 [共用和安全性]

  2. [共用] 索引標籤上,按一下 [權限]。這時會顯示類似以下的畫面。

    XPP2P02.GIF


  3. 選取 Everyone 群組,然後按一下 [移除]

  4. 按一下 [新增] 以選取可存取該資料夾的使用者。

  5. [選取使用者 或 群組] 對話方塊中,按一下 [物件類型]

  6. 清除 [內建安全性原則][群組] 核取方塊,然後按一下 [確定]

  7. 按一下 [進階]

  8. 按一下 [立即尋找]

  9. 按一下並反白您打算要允許存取資料夾的使用者。選取使用者之後,按一下 [確定]

  10. 現在在權限清單中的每個使用者,需要給與正確的存取類型。按兩下使用者,接著清除 [完整控制] 旁的 [允許] 核取方塊。接著選擇您要賦予使用者變更讀取存取權,或只賦予讀取存取權。

  11. 按一下 [確定]

  12. 再次按一下 [確定] 以關閉 [資料夾權限] 對話方塊。

    附註  如果無法使用 [權限] 對話方塊的核取方塊,則這些權限會繼承自上層資料夾。

停用非必要的服務

停用非必要的服務可以降低已知或未知安全性漏洞遭受攻擊的機會。請使用 [控制台] 中的 [新增或移除程式] 來停用服務。

如需服務清單及其設定,請參閱位於「Microsoft Windows XP Professional 說明文件」網站 (英文) 的「預設服務設定」網頁 (英文),網址是 www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
en-us/sys_srv_default_settings.mspx?mfr=true。

停用或刪除非必要的使用者帳戶

請停用或刪除不再需要的使用者帳戶。停用或刪除非必要的帳戶,可以降低電腦遭受未經授權存取的機會。

若要停用帳戶

  1. 按一下 [開始],再按 [控制台]

  2. 按兩下 [使用者帳戶]

  3. 按一下 [進階] 索引標籤,再按 [進階] 按鈕。

  4. 按一下 [使用者] 分支。

  5. 按兩下使用者帳戶以顯示其 [內容] 對話方塊。

  6. 選取 [帳戶已停用] 核取方塊。

附註  停用的帳戶仍然存在,不過使用者已無權登入。此帳戶會顯示在 [使用者] 詳細資料窗格中,但圖示上有個 X 號。

若要刪除帳戶

  1. 重複前一個程序的步驟 1 到步驟 4。

  2. 這次不要按兩下帳戶,請在帳戶上按一下滑鼠右鍵,並選取 [刪除]

    • 在您刪除使用者帳戶之前,請先將它停用。在您確認停用帳戶不會造成問題後,您可以安全的刪除這個帳戶。

    • 被刪除的帳戶是無法被復原的。

    • 內建的 Administrator 和 Guest 帳戶是無法被刪除的。

確保使用者帳戶安全性

透過使用密碼或設定帳戶鎖定,可以降低電腦遭受未經授權存取的機會。

使用密碼

請務必為每部工作站上的所有使用者帳戶設定密碼。若未設定密碼,將無法確認存取電腦的使用者身分。

  • 請勿在工作站上使用 Guest 帳戶。您應該停用此帳戶。

  • 每位使用者都應該有自己的使用者帳戶。不應該共用使用者帳戶和密碼。

許多人都會對使用密碼的兩個概念混淆。使用者帳戶會被鎖定,這通常是因為嘗試使用錯誤密碼登入,且錯誤的登入次數過多所致。除非使用者已經忘記密碼,否則只需要解除鎖定此帳戶即可,不需要變更密碼。另外一個好例子 (通常也是最常見的情況) 是,某個使用者帳戶被鎖定,因為當他們輸入密碼時,鍵盤上的 CAPS LOCK 鍵為開啟狀態。

重設密碼之後,必須為使用者提供新的密碼 (通常是暫時密碼)。提供暫時密碼能允許使用者利用其帳戶登入。建議將這類密碼設定為首次使用之後即到期,避免使用者登入之後忘記變更該暫時密碼。強制使用者登入並立即建立新密碼,可確保只有該使用者知道自己的密碼。

若要解除鎖定使用者帳戶

  1. 按一下 [開始],再按 [控制台]

  2. 按兩下 [使用者帳戶]

  3. 按一下 [進階] 索引標籤,再按 [進階] 按鈕。

  4. 按一下 [使用者] 分支。

  5. 找出受影響的使用者帳戶,然後按兩下該帳戶。

  6. 清除 [帳戶已鎖定] 核取方塊,然後按一下 [確定]

若要設定或重設一個存在的使用者帳戶的密碼

  1. 重複前一個程序的步驟 1 到步驟 5。

  2. 選取 [使用者必須在下次登入時變更密碼] 選項。接著按一下 [確定]

  3. 在有問題的帳戶上按一下滑鼠右鍵,然後按 [設定密碼]。將會顯示警告訊息提示您。繼續之前請記下可能會造成的影響。

  4. 若您按下 [繼續] 按鈕,請在兩個密碼欄位中輸入暫時密碼。

  5. 按一下 [確定],並將暫時密碼告知使用者。


Windows 防火牆

Windows 防火牆是主機型防火牆解決方案,它隨附於 Windows XP Professional SP2,而且您可以視需要設定 Windows 防火牆。依預設會啟用此功能,並協助保護您不受網路攻擊。Windows Live OneCare 也會監控 Windows 防火牆,讓您利用單一主控台來檢查電腦的整體安全性狀態。

Windows 防火牆的目的並非取代網路防火牆的功能。Windows 防火牆會啟用 Windows 網路功能所使用的連接埠,因此對等工作群組可以互相通訊並共用資源。您仍應該使用網路防火牆來保護整個網路,因為 Windows 防火牆只會保護已安裝並啟用 Windows 防火牆的工作站。目前有許多製造商都提供適用於中小型網路的網路防火牆。

若要驗證 Windows 防火牆並未停用

  1. 按一下 [開始],再按 [控制台]

  2. 按兩下 [Windows 防火牆] 圖示。

  3. 確定已選取 [開啟 (建議選項)]


更新安全性補充程式

維持安全性補充程式最新狀態的方式是訂閱 Microsoft 安全性公告,訂閱之後即可透過電子郵件接收安全性公告。 您可以從資訊安全 (中文) 網站訂閱安全性公告,網址是 http://www.microsoft.com/taiwan/security/default.mspx。除了透過公告來獲取最新資訊之外,我們也提供數種技術可協助您套用自動化安全性補充程式。

自動更新

Windows XP 的「自動更新」功能,可以從 Microsoft 自動偵測並下載最新安全性補充程式。您可以將其設定為在背景自動下載修正程式,並在下載完成後,提示使用者安裝修正程式。

若要設定您電腦為自動更新

  1. 按一下 [開始],再按 [控制台]

  2. 按兩下 [自動更新] 圖示。

  3. 將所有 Windows XP 工作站設定為 [自動]。請注意,您可以設定更新頻率和更新時間。

  4. 按一下 [確定]

附註 Microsoft 也會透過「安全性通知服務」來發行安全性公告。這些公告是為所有發現有安全性問題的 Microsoft 產品發行的。

相關資訊

如需有關保障 Windows XP 安全的詳細資訊,請參閱下列連結:

如需有關確保 Windows XP 安全之相關主題的詳細資訊,請參閱下列連結:

  • 位於 Microsoft TechNet 網站的《潛在威脅及因應對策指南 (中文)》,網址是 http://www.microsoft.com/taiwan/technet/security/topics/serversecurity/tcg/tcgch00.mspx。



下載

取得「確保 Windows XP Professional 在對等網路環境下的安全性」 (英文)



顯示: