確保 Windows 2000 Professional 對等網路環境的安全
Overview
發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日
本頁內容
簡介
開始之前
保障檔案系統安全
保障使用者帳戶安全
使用防火牆
更新安全性補充程式
使用 Microsoft Baseline Security Analyzer 來檢查安全性
相關資訊
簡介
對等網路可以讓您更容易共用網路的資訊和資源,因此可增加產能。然而,電腦使用者對電腦控制存取的能力,可以減少資訊遭竊、損失、或因疏忽分享資訊的情形。這就是為什麼除了要強制施行公司電腦運作原則,您還需要確定您和員工都瞭解 Windows 對等網路與安全性的基本概念。有些基本的最佳實務包括:
隨時跟上最新的 Windows 安全性更新
使用防毒軟體
使用網際網路連線防火牆
使用強性密碼
不要與網際網路上的主機共用檔案或資料夾
限制共用資料夾存取權限給最少的必要人員
僅共用最少的必要資料夾
停用不必要的共用
隨著惡意程式碼所日漸增生的威脅,例如蠕蟲、病毒和駭客威脅,所有客戶是否能夠立即採取行動來協助保護自己的桌上型和可攜式電腦,已經成為關鍵性問題。這份文件將說明如何為使用對等網路的小型、或中型商業環境實作安全性測量。這些建議可協助您確保執行 Microsoft Windows 2000 Professional 的電腦更能夠抵抗現今所面臨的大量安全性威脅,並同時確保使用者可以繼續使用自己的電腦,來達到有效率的工作效能。
本文件所包括的任務如下:
保障檔案系統安全
保障使用者帳戶安全
保障網路存取安全
使用 Microsoft Baseline Security Analyzer (MBSA) 來檢查安全性
在本文件中,除了進階式的逐步指引,您還可以找到 Microsoft 為所有客戶 (從家用個人客戶到企業型客戶) 所提出頂級安全性建議的相關資訊。
**重要:**本文件所包括的逐步指引,將會從使用預設在安裝作業系統時出現的「開始」功能表開始。如果您有修改過「開始」功能表,這些步驟可能會有些許不同。
開始之前
在提供任何安全性建議的同時,本指引會努力找出增強型安全性與可用性之間的最佳平衡點。本文件所提供的建議可有效運用於各種環境中的 Windows 2000 Professional 部署。但是在實作這些建議之前,請特別注意,本文件並不能解決大型公司所需要的各種需求與設定。此外,本指引不能完全解決某些組織的特定安全性需求。
符合 Service Pack 需求
本文件所提建議僅適用於同屬「工作群組」成員的執行 Windows 2000 Professional Service Pack 4 電腦。如果特定電腦尚未安裝 Service Pack 4,或是您不清楚是否已經安裝,請造訪 Microsoft 網站的 Windows Update (英文) 頁面,網址為:https://go.microsoft.com/fwlink/?LinkID=22630;並透過 Windows Update 為電腦掃描可用的更新。如果 Service Pack 4 顯示為可用的更新,請在繼續執行本文件程序之前完成其安裝。
系統管理需求
您必須以系統管理員身份、或 Administrators 群組成員身份登入系統,才可以完成接下來的程序。如果電腦有連線到網路,完成這些程序時也可能會受到網路原則設定的阻止。
保障檔案系統安全
檔案系統是將目錄和檔案整理於電腦的一種組織方式。有許多方法可以保護檔案系統免遭未授權存取、竄改或刪除。本段落內容接下來將提供保障檔案系統安全的逐步指示:
轉換成 NTFS 檔案系統
使用防毒軟體
保護檔案共用
保障共用資料夾安全
停用或刪除不必要的帳戶
轉換成 NTFS 檔案系統
在 Windows 2000 安裝程序過程中,電腦會設定成使用 FAT32 或 NTFS 檔案系統。FAT32 是較早版本 Windows 所使用的舊技術。相較於 FAT32,NTFS 檔案系統的速度較快,而且更安全。為了作業系統的最佳化效能與安全性,請為電腦的所有檔案系統磁碟分割使用 NTFS。
檢查電腦的檔案系統類型
您必須在轉換電腦檔案系統之前,先確認目前並沒有在使用 NTFS。使用下列步驟來檢查電腦中的檔案系統類型。如果這些步驟已協助確認目前已經在使用 NTFS,您就可以略過下面的<轉換成 NTFS 檔案系統>。
若要檢查電腦中的檔案系統類型:
按兩下桌面的 [我的電腦]。
對您要檢查的磁碟機代號按一下滑鼠右鍵,再按一下 [內容]。
確認檔案系統類型是否為 NTFS。如果不是,請使用下面所述的 convert.exe 公用程式,將 FAT16 或 FAT32 轉換成 NTFS。
.jpg)
檢查電腦中所有磁碟的檔案系統類型。即使在作業系統完成安裝時已將檔案系統設定成 FAT32,您仍可以輕鬆地轉換成 NTFS 來提供額外的安全性。
轉換成 NTFS 檔案系統
若要將檔案系統轉換成 NTFS,請記錄磁碟名稱或常見的磁碟區標籤 (前面例子中的磁碟機 C),並完成下列步驟。
若要轉換成 NTFS 檔案系統
在 [開始] 功能表,按一下 [執行],鍵入 cmd,再按一下 [確定]。
請在命令提示字元下,鍵入下列指令,其中 drive letter 是指希望轉換的磁碟機: convert drive letter:/fs:ntfs 您將會收到提示輸入目前磁碟機的磁碟區標籤。
鍵入磁碟機的磁碟區標籤,再按下 ENTER。
完成轉換之後,請鍵入 EXIT 關閉命令提示字元。
注意: 如果您正在嘗試轉換安裝有作業系統的磁碟機,您可能會收到提示,要求您排定下次重新啟動系統時的轉換時間。如果收到這類提示,請鍵入 Y,再重新啟動電腦。
使用防毒軟體
電腦病毒是在未經您的通知、或核准時載入到系統的程式。最近這幾年來,病毒與其他形式的惡意軟體已大肆流竄。今日的病毒可以複製自身,並透過網際網路與電子郵件應用程式,不斷地擴散到全世界。
防毒軟體程式則可協助電腦對抗許多知名的病毒、蠕蟲、特洛伊木馬程式和其他的惡意程式碼。防毒軟體會不間斷地掃瞄電腦中的病毒,以協助偵測、並移除搜尋到的病毒。安裝防毒軟體只能夠解決部分問題,保持最新的病毒碼檔案才是維持桌上型、可攜式電腦安全的關鍵步驟。
許多新一代電腦在出廠時已經安裝了防毒軟體。但是,防毒軟體仍需要藉由訂閱,來維持最新版本。如果沒有這些更新的最新訂閱,您的電腦就可能會受到新威脅的攻擊。
教育使用者關於安全電子郵件操作實務是另一項保護病毒攻擊的重要步驟。使用者不應該隨便開啟電子郵件,或是執行電子郵件的附件,除非他們正在等待該檔案。所有的電子郵件附件在執行之前,應該都要經過防毒軟體掃描。
如需取得可提供相容於 Windows 之防毒軟體的《list of the software vendors》,請造訪 https://go.microsoft.com/fwlink/?LinkId=22712。
保護檔案共用
對等網路可讓您建立檔案共用,以便將網路使用者限制成唯讀存取,或是讓網路使用者讀取、建立、變更與刪除檔案。如果已經連線到網際網路,但是沒有在防火牆之後操作,請記住,所有您所建立的檔案共用,有可能會遭到網際網路中的任何使用者存取。
根據預設,Windows 2000 Professional 會授與每個可存取您共用資料夾的使用者「完整控制」、「變更」和「讀取」等存取權限。您應該使用下列程序,從共用資料夾的共用存取權限移除 Everyone 群組,或至少在適當情況下將權限變更成拒絕「完整控制」與「變更」存取權限。如果已經移除共用存取權限的 Everyone 群組,就要為特定使用者授與共用存取權限,因為刪除 Everyone 表示您將不允許任何人存取此共用資料夾。
保障共用資料夾安全
Windows 對等網路可讓您與其他網路電腦共用您的檔案系統內容。下面幾個步驟會假設您已經共用檔案系統中的一個或多個資料夾。您可以變更某些預設檔案系統設定,讓共用資料夾的未授權存取問題更難發生。
若要保障共用資料夾安全
按一下桌面的 [我的電腦],再找出您要保護的檔案或資料夾。
對您要保護的共用資料夾按一下滑鼠右鍵,再按一下 [共用]。
按一下 [共用] 索引標籤的 [權限]。
.jpg)
移除 Everyone 群組來防止未授權的存取。按一下 Everyone 群組,再按一下 [移除]。
.jpg)
按一下要從 [名稱] 清單新增的使用者或群組,再按一下 [新增]。重複此步驟,以新增更多的使用者或群組。在選定使用者之後,按一下 [確定]。
每位在存取權限清單中的使用者都必須授與正確類型的存取權限。對使用者按兩下滑鼠,再清除 [完整控制] 旁邊的 [允許] 核取方塊。接著,選擇該使用者應該擁有 [變更]、[讀取],或只有 [讀取] 存取。
在完成存取權限設定之後,按一下 [確定]。
注意:
您可以僅為已格式化成使用 NTFS 檔案系統的磁碟機設定存取權限。
如果在存取權限對話方塊旁的核取方塊無法使用,表示該存取權限是繼承自父資料夾。
若要變更存取權限,您必須是建立此共用資料夾的使用者,或是從該資料夾建立使用者處取得存取權限。
擁有資料夾「完整控制」存取權限的群組或是使用者可以刪除該資料夾的檔案與子資料夾,無論該檔案和子資料夾是否受到其他存取權限的保護。
停用或刪除不必要的帳戶
在安裝 Windows 2000 Professional 之後,停用或刪除任何非必要的使用者帳戶。
若要停用帳戶
按一下 [開始],按一下 [設定],再按一下 [控制台]。
按兩下 [系統管理工具],再接著按兩下 [電腦管理]。
按兩下主控台樹狀目錄中的 [本機使用者和群組],再按一下 [使用者]。
對您要變更的使用者帳戶按一下滑鼠右鍵,再按一下 [內容]。
選取 [一般] 索引標籤上的 [帳戶已停用] 核取方塊。
.jpg)
注意:
已停用的帳戶仍然存在,但是不允許該使用者登入。它會出現在 [使用者] 詳細窗格中,但圖示中會有一個 X。
如果使用者帳戶沒有停用,就允許該使用者正常登入。
不能停用內建的 Administrator 帳戶。
若要刪除帳戶
按一下 [開始],指向 [設定],再按一下 [控制台]。
按兩下 [系統管理工具],再接著按兩下 [電腦管理]。
按兩下主控台樹狀目錄中的 [本機使用者和群組],再按一下 [使用者]。
對您要刪除的使用者帳戶按一下滑鼠右鍵,再按一下 [刪除]。
注意:
在移除使用者帳戶之前,請先停用該帳戶。在確定該帳戶停用時並不會造成任何問題之後,您就可以安全地刪除它。
不能還原已刪除的使用者帳戶。
不能刪除內建的 Administrator 與 Guest帳戶。
保障使用者帳戶安全
您可以使用密碼、停用或刪除不必要帳戶,以及設定帳戶鎖定等方法,來降低電腦遭到未授權存取的機會。
使用密碼
為 Windows 電腦上所有建立的使用者帳戶設定密碼的重要性乃基於下面兩點理由。第一點是因為當密碼是空白的時候,任何人都可以使用該使用者帳戶來存取電腦。
第二點則是根據預設,沒有密碼的本機使用者帳戶只能從主控台登入畫面直接登入電腦,而不能遠端登入。這項限制不適用於網域帳戶或本機 Guest 帳戶。如果Guest 帳戶已經啟用、且為空白密碼,該帳戶就可以用來登入已授權 Guest 帳戶可存取的對等網路,並存取其中任何資源。
若要設定、或重設現有使用者帳戶的密碼
按一下 [開始],指向 [設定],再按一下 [控制台]。
按兩下 [使用者和密碼]。
按一下您要用的使用者帳戶。 如果按一下該使用者帳戶時沒有任何反應,而且也無法使用 [這台電腦的使用者] 對話方塊,即表示該電腦已設定成登入預設使用者,在這種情況下,就不會顯示任何登入畫面。您可以在一開始安裝作業系統時,選擇使用密碼來存取作業系統,或是讓電腦假設預設使用者 (在安裝過程時建立) 永遠是登入的使用者。在稍後所舉情況中,電腦沒有在作業系統啟動時顯示登入畫面。請永遠選取 [必須輸入使用者名稱和密碼,才能使用這台電腦] 核取方塊。
按一下 [設定密碼]。
在 [新密碼] 欄位中鍵入長度至少有 8 個字元的新密碼。在 [確認新密碼] 欄位中再次鍵入相同的密碼。
按一下 [確定]。
使用防火牆
防火牆,是指可以在您的電腦、與網際網路上潛在傷害性內容之間建立一道保護屏障的軟體或硬體。防火牆可協助抵禦駭客,以及許多電腦病毒與蠕蟲。如果您的電腦正在執行 Windows 2000 Professional,Microsoft 建議您在連線到網際網路之前,先取得並安裝硬體或是軟體防火牆。
Microsoft 沒有製造獨立的軟體防火牆、或是包含防火牆的硬體。下列資源可提供更多關於一些防火牆選項的詳細資訊。
硬體防火牆
對許多早於 Windows XP 的 Windows 作業系統版本來說,硬體防火牆是不錯的選擇。有些家用網路連線硬體 (例如,無線存取點與寬頻路由器) 在出廠時已內建了硬體防火牆。這些設計可協助保護大部分的家用網路。Microsoft Broadband Networking Wireless Base Station 就是一種包含內建硬體防火牆、與其他家用網路連線功能的無線存取點例子。
軟體防火牆
許多廠商都有提供軟體防火牆,其中包括 BlackICE PC Protection、Computer Associates、McAfee Security、Symantec、Tiny Software 與 ZoneAlarm。
若要瞭解更多其他公司所推出的軟體防火牆、硬體防火牆與網路路由器,以及為電腦選取防火牆的相關資訊,請參閱 https://go.microsoft.com/fwlink/?LinkId=22496 的《Install a Firewall (英文)》。
如果您有不同的設定方式、小型網路,或是您希望瞭解更多關於防火牆的詳細資訊,請參閱 https://go.microsoft.com/fwlink/?LinkId=19713 的 《Frequently Asked Questions about Firewalls (英文)》。
更新安全性補充程式
維持最新安全性更新程式的方式,就是訂閱 Microsoft 安全性佈告欄,這份公告會在「自動更新」通知有可用更新的差不多時間,以電子郵件通知您。請在 https://go.microsoft.com/fwlink/?LinkId=22339 訂閱接收這份安全性公告。除了透過公告瞭解最新資訊,您還可以使用眾多技術來協助安全性修補自動化。
自動更新
Windows 2000 Service Pack 4 的自動更新功能可以自動偵測、並從 Microsoft 下載最新的安全性修正檔。您可以將自動更新設定成自動於背景下載修正檔,並接著在完成下載之後,提示使用者進行安裝。
若要設定電腦進行自動更新
在 [開始] 功能表中指向 [設定],按一下 [控制台],再按兩下 [自動更新]。
選取 [保持我的電腦在最新狀態] 核取方塊。啟用這項設定之後,「自動更新」軟體可能會在套用其他更新之前先被自動地更新。
選取 [自動下載更新,並在我指定排程它們] 選項。
.jpg)
選取進行更新的日期與時間。
按一下 [確定] 以關閉 [系統內容] 對話方塊。
**注意:**此外,Microsoft 是透過「安全性通知服務」來發出安全性公告。這些公告會針對已發現具有安全性問題的 Microsoft 產品發出。當這些公告建議安裝安全性補充程式時,您應該立即下載、並在電腦安裝此補充程式。
使用 Microsoft Baseline Security Analyzer 來檢查安全性
為了配合 Microsoft 的 Strategic Technology Protection Program (英文),同時為直接回應客戶在使用流暢方法來識別常見安全性不當設定的需求,因此 Microsoft 開發此 Microsoft Baseline Security Analyzer (MBSA)。
在 Windows 2000、Windows XP 與 Windows Server 2003 中,Microsoft Baseline Security Analyzer 將會報告不安全的設定、以及可用來協助修正此問題的補充程式。測試可以在本機、或是在遠端電腦執行。
若要安裝 Microsoft Baseline Security Analyzer
- 從 https://go.microsoft.com/fwlink/?LinkId=20567 的 MBSA 首頁下載並安裝 MBSA
掃描更新和補充程式
若要使用 MBSA 來掃描更新和補充程式
按一下 [開始],指向 [程式集],再按一下 [Microsoft Baseline Security Analyzer]。
按一下 [Pick a computer to scan]。
確定沒有選取下列選項之後,再按一下 [Start scan]:
Check for Windows vulnerabilities
Check for weak passwords
Check for IIS vulnerabilities
Check for SQL vulnerabilities
.jpg)
掃描安全設定
若要掃描安全設定
清除 [Check for security updates] 對話方塊,確定已經選取下列選項之後,再按一下 [Start scan]:
Check for Windows vulnerabilities
Check for weak passwords
Check for IIS vulnerabilities
Check for SQL vulnerabilities
分析掃描結果。顯示的掃描報告與先前執行的補充程式掃描結果類似。唯一差別之處,就是可以在找到問題時使用 [How to correct this] 連結。按一下該連結時,將會顯示一個頁面,說明已找到問題的詳細資訊、解決方案,以及修正此問題的指示。
您可以選擇 [How to correct this] 連結,以修正任何找到的問題。在結果頁面中的解決方案與指示內容,將解釋修正此問題時所需要採取的步驟。
相關資訊
如需更多關於確保 Windows 2000 安全的詳細資訊,請參閱下列參考文件:
在 Microsoft 網站的《Windows 2000 Security Hardening Guide (英文)》頁面中下載,位於 https://go.microsoft.com/fwlink/?LinkId=22380 的完整指南。
Microsoft 網站的《Guide to Securing Windows XP in Small and Medium Businesses (英文)》頁面,網址為 https://go.microsoft.com/fwlink/?linkid=19453。
如需更多關於確保Windows 2000 安全的相關主題資訊,請參閱下列參考文件:
Microsoft 網站的 Threats and Countermeasures Guide (英文) 頁面,網址為:https://go.microsoft.com/fwlink/?LinkID=15159。
Microsoft 的 HotFix 與安全性公告服務,網址為 https://go.microsoft.com/fwlink/?LinkId=22690