確保遠端用戶端及可攜式電腦的安全性

  • 發行項

更新日期: 2006 年 10 月 26 日

本頁內容

簡介
開始之前
Service Pack 和 Hotfix
病毒和蠕蟲
廣告軟體和間諜軟體
還原點
個人防火牆
保護您的檔案
強性密碼
無線網路安全性
VPN 連線
相關資訊

簡介

本文件說明可協助保護執行 Microsoft® Windows® XP Professional 作業系統之行動電腦和遠端電腦的安全性功能。

電腦使用者可能會從世界各地各種場所連線至網際網路,例如飯店或私人住宅。連線方式包括傳統網路纜線或無線網路。目前許多機場、咖啡廳甚至是整個都會地區都提供無線網路服務。行動電腦使用者可以隨時連線至網際網路、瀏覽可能不友善的網站,或是透過虛擬私人網路 (VPN) 連回其組織網路。因此他們可能會面臨惡意程式碼 (包括病毒、蠕蟲和特洛伊木馬程式) 之潛在風險的威脅。不僅筆記型電腦會有風險,就連任何受感染或受到危害的電腦也可能成為感染來源,而影響小型企業網路中的其他電腦。

因此,必須採取適當的預防措施,才能降低遠端電腦和可攜式電腦所面臨的風險。其中某些預防措施 (或安全性功能) 與您可能 (或應該) 在工作站上啟用的設定相同。行動使用者必須考慮更多威脅。因為行動使用者可能會發生筆記型電腦遺失、損毀或遭竊的情況。

本文件提供小型企業可用來降低其行動電腦和遠端電腦使用者所面臨之風險的相關安全性功能資訊。此外,本文件也包含其他相關文件的連結,這些文件提供協助保護這些電腦之安全性的詳細說明。

本文件的目的

本文件的目的是協助您熟悉以上所述保護遠端用戶端和可攜式電腦的工具與功能。閱讀本文件之後,您也能夠確認所提供的安全性層級。

回到頁首

開始之前

在您套用本文件所建議的事項之前,請先檢視下列資訊。

需要認證

您必須使用具有足夠權限的帳戶登入,才能執行本文件中所述的工作。您所使用的帳戶必須是工作站上本機 Administrators 群組的成員。只有在工作站上僅具有此權限層級的帳戶,才能授予本機 Administrators 群組中的其他帳戶成員資格。使用權限不足的帳戶將會收到「拒絕存取」通知

Windows Live OneCare

Windows Live OneCare 提供可保護用戶端電腦不受網路攻擊的安全性功能。所提供的每項功能在 [控制台] 中都有特定的元件。Windows 資訊安全中心整合了這些功能,但仍然依賴某些協力廠商軟體。

Windows OneCare 狀態計量提供清楚、連續之電腦整體防護層級與效能的指標。若 Windows OneCare 偵測到可以改進電腦狀態的項目,該服務將會自動顯示您可以採取的動作,並提供按一下即可執行的解決方案。

Windows OneCare Antivirus、Window OneCare Firewall、Windows OneCare Backup 與 Tune-up 永遠都會開啟並監控您的電腦。這些服務會自動設定為自動更新,並協助保護您的電腦免於最新的威脅。Microsoft 建議安裝並使用 Windows Live OneCare,以整合一系列的工具到單一主控台或使用者介面。

除了 Windows Live OneCare 之外,多使用 Defender 可提供一組功能強大的工具,以協助管理電腦的狀態和安全性。

如需詳細資訊,請參閱 Windows Live OneCare 網站 (英文),網址是 www.windowsonecare.com/。

安全性狀態

要保護行動電腦和遠端電腦不受攻擊,不應該僅依賴單一安全性功能。階層式安全性方式考慮到即使失敗,仍然能夠提供一定的安全性層級。筆記型電腦特別容易遭竊取或遺失。本文章所包含的安全性功能可為所有 Windows XP Professional 電腦提供額外的安全性層級,不過若要在筆記型電腦遭竊時,協助避免資訊洩漏,則需要更多安全性層級。

回到頁首

Service Pack 和 Hotfix

Microsoft 資訊安全中心提供簡單的方式,可用來管理大型系列作業系統和其他 Microsoft 應用程式 (例如, Microsoft Office) 的安全性更新。

完成下列步驟之後,便可以將資訊安全中心設定為視需要自動下載並安裝更新。這樣可讓您管理安全性 Hotfix,而不需要手動套用。

  1. 按一下 [開始],再按 [控制台]

  2. 在 [控制台] 中,按一下 [資訊安全中心] (請見下列螢幕擷取畫面)。

  3. 按一下 [自動更新] (請見下列螢幕擷取畫面)。

  4. 選取 [自動 (建議選項)] (請見下列螢幕擷取畫面),並指定自動下載及安裝更新的週期排程。確定您排程的時間是電腦執行中的時間。

  5. 指定排程之後,請按一下 [確定]

回到頁首

病毒和蠕蟲

電腦病毒是刻意設計來干擾電腦作業的軟體程式。這類程式會記錄、損毀或刪除資料,並散播至其他電腦和整個網際網路,結果通常會減慢程序的執行速度,並造成其他問題。

就像人類病毒的嚴重範圍可從 24 小時的流感到伊波拉病毒,電腦病毒的嚴重範圍也可從一點困擾到徹底破壞。此外,病毒也會持續進化並以全新或不同的形式呈現。還好,只要一點防護措施和基本的防毒常識,就可以大幅降低遭受病毒攻擊的風險,並降低病毒所造成的影響。

使用防毒軟體並隨時更新病毒碼,便可以協助保護電腦的資料和應用程式。目前市面上有許多防毒程式,可安裝以協助保護 Windows 使用者免於病毒的威脅。安裝此類程式之前,請確定您的系統符合需求。購買防毒程式之前,請特別考量下列功能:

  • 具有可監控並防止病毒攻擊的即時服務。

  • 具有可維持病毒簽章最新狀態的自動更新功能。

  • 具有指定和排定掃描及清除功能。

Microsoft 防毒夥伴 (英文) 提供一份清單,網址是 https://www.microsoft.com/security/partners/antivirus.asp。

回到頁首

廣告軟體和間諜軟體

間諜軟體通常會和顯示廣告的軟體 (稱為廣告軟體),或追蹤個人或機密資訊的軟體聯想在一起。這不表示所有提供廣告或者會追蹤您線上活動的軟體都是不好的。舉例來說,您所註冊的音樂服務可能是免費的,但是您必須同意接收特定廣告作為交換條件。若您了解並同意相關條款,可能會認為這是相當公平的交易。您可能也同意讓對方追蹤您的線上活動,以決定要對您顯示何種廣告。

其他不受歡迎的軟體會變更您的電腦設定,造成您的困擾,並降低電腦的執行速度或造成電腦當機。這類程式能夠變更網頁瀏覽器的首頁或搜尋頁面,或是將您不需要或不想要的元件加入您的瀏覽器。這類程式也讓您難以將變更過的設定值,改回原來的設定值。這類不受歡迎的程式通常稱為間諜軟體。

Windows Defender (Beta2) 是一種安全性技術,可協助 Windows 使用者防禦間諜軟體和其他潛在有害軟體的攻擊。它可以偵測並移除電腦中的已知間諜軟體,以協助降低間諜軟體所造成的負面影響,包括電腦效能降低、煩人的快顯廣告、網際網路設定遭受不必要的變更,以及未經授權使用您的私人資訊。它可以抵擋 50 種以上間諜軟體入侵電腦的的方式,提供連續的防護以提高瀏覽網際網路的安全性。全球性 SpyNet™ 社群的參與者扮演重要的角色,他們會決定將哪些可疑程式歸類為間諜軟體。Microsoft 研發人員會快速開發抵抗這些威脅的方法,而且會自動下載更新到您的電腦,讓您的防護功能隨時保持最新狀態。

您可以從 https://www.microsoft.com/taiwan/athome/security/spyware/software/default.mspx 下載 Windows Defender (中文)。目前的版本是 Beta 2。檔案名稱是 WindowsDefender.msi,檔案大小約為 5.5MB。(正式版發行之後,檔案名稱和檔案大小可能會變更。)

檔案下載之後,請執行下列步驟以安裝 Windows Defender (Beta 2)。

  1. 當您下載 Windows Defender (Beta 2) 時,會出現下列對話方塊。按一下 [執行]

  2. 這時會出現以下的 [歡迎使用 Windows Defender 安裝精靈] 畫面。按 [下一步]

  3. 接著會出現 [Windows Defender 授權合約]] (請見下列螢幕擷取畫面)。檢視合約條款。

    若要繼續安裝,您必須選取 [我接受這份授權合約],然後按 [下一步]

  4. 在接著出現的 [協助保護 Windows] 畫面 (請見下列螢幕擷取畫面) 上,選取 [使用建議的設定]。如果有需要,請按一下 [隱私權聲明] 按鈕。接著按 [下一步]

  5. 在接下來的 [設定類型] 畫面 (請見下列螢幕擷取畫面) 上,選取 [完成],並按一下 [下一步]

  6. 在接著出現的 [準備安裝 Windows Defender] 畫面上,按一下 [安裝] 按鈕以開始安裝。

  7. 安裝程序完成後,應該會出現以下的 [Windows Defender 安裝完成] 畫面。

    請確實選取 [檢查更新過的病毒定義,立即執行快速掃描] 選項,接著按一下 [完成]

    附註    這個步驟需要連線至網際網路。

  8. 出現下列畫面時,請按一下 [檢查更新] 按鈕,以取得最新的程式更新。

如需有關 Windows Defender (Beta 2) 的詳細資料和進階功能,請參閱 Windows Defender (Beta 2) 網站 (中文),網址是 https://www.microsoft.com/taiwan/athome/security/spyware/software/default.mspx。

回到頁首

還原點

您可能因為執行不同的操作而導致作業系統及其應用程式損毀。Windows XP Professional 可協助將行動用戶端或遠端用戶端還原回已知正常的還原點。作業系統有時會在您進行某些事件之前自動儲存還原點。

若要瞭解詳細資訊,請參閱「如何復原重大的 Windows 錯誤」(英文),網址是 www.microsoft.com/smallbusiness/resources/technology/business\_software/how\_to\_ undo_a_big_mistake_in_windows.mspx。

回到頁首

個人防火牆

防火牆是個安全性系統,如同網路和外部世界間的保護邊界。Windows XP SP2 中包括「Windows 防火牆」,此防火牆軟體在每部用戶端電腦上的執行方式大致相同。

「Windows 防火牆」會自動安裝於 Windows XP Professional SP2,並能隨著需要自行設定。依預設會啟用此功能,並協助保護您不受網路攻擊。Windows Live OneCare 也會監控 Windows 防火牆,讓您利用單一主控台來檢查電腦的整體安全性狀態。本文件其餘內容將說明如何經由「Windows 資訊安全中心」(位於 [控制台] 上),來變更「Windows 防火牆」的設定。

附註    「Windows 防火牆」不是要用來取代網路防火牆的功能。Windows 網路連線功能呈啟用狀態,並且能通過「Windows 防火牆」,表示您還是可以和網路上的其他電腦溝通、列印和存取網路共用資源。建議您還是要啟用網路防火牆,以保護由這些功能所開啟的連接埠。

如需有關 Microsoft 網路防火牆解決方案的資訊,請參閱「保護企業基礎結構的安全」網頁 (中文),網址是 https://www.microsoft.com/taiwan/isaserver/。

設定 Windows 防火牆一般設定

「Windows 防火牆」的一般設定允許您設定以下選項:

  • [開啟] (建議)。

  • [關閉] (不建議)。若您關閉「Windows 防火牆 」,會讓您的電腦容易受到病毒、蠕蟲或入侵者的破壞。

  1. 若要開啟 [Windows 資訊安全中心],請按一下 [開始],然後按 [控制台]。這時會出現下列畫面。

  2. [選取類別目錄] 區,按一下 [資訊安全中心]。這時會出現 [Windows 資訊安全中心] 畫面,如下列螢幕捕捉畫面所示。

設定通知

依預設,每當「Windows 防火牆」封鎖企圖從您的電腦與其他電腦進行通訊的程式時,就會顯示通知對話方塊。此對話方塊看起來就像以下螢幕捕捉畫面所示:

此對話方塊會顯示所封鎖的程式為何,並允許您選擇是否要執行該程式。可用的選項包括:

  • [保持封鎖]。若您選擇此選項,程式未取得您的許可之前,不會接受來自網際網路或網路的連線。

  • [解除封鎖]。使用此選項可以將程式列入「Windows 防火牆」的例外清單中。

  • [稍後詢問我]。若您不知道要封鎖程式,還是要解除對程式的封鎖,請選擇此選項。此選項會基於安全性考量而封鎖程式。下次當此程式又被封鎖時,會再次出現同樣的訊息。

如要進一步瞭解進階功能,請參閱「了解 Windows 防火牆 (中文)」,網址是 https://www.microsoft.com/taiwan/windowsxp/using/security/internet/sp2\_wfintro.mspx。

回到頁首

保護您的檔案

Windows XP Professional 和其他 Microsoft 作業系統使用 NTFS 檔案系統 (NTFS)。此檔案系統的容錯功能比先前使用的檔案配置表 (FAT) 還要好。NTFS 也提供檔案層級的存取控制功能,以及加密檔案系統 (EFS) 功能。當建立 Windows XP Professional 筆記型電腦時,Microsoft 建議只將硬碟格式化為 NTFS。

NTFS

NTFS v5 是比 FAT8、FAT16、FAT32 或甚至是 NTFS v4 更卓越的進階檔案系統。NTFS 更適合用來處理輕微磁碟錯誤,而且適當地搭配 EFS 更可滿足行動運算的資料安全性需求。

附註 依預設, 在未啟用 EFS 的情況下,能夠實際存取 NTFS 或 FAT 系列 檔案系統格式化之硬碟的老練攻擊者,可以避開 NTFS 安全性功能。即使已啟用 EFS,攻擊者仍有可能入侵遺失的 Windows XP Professional 筆記型電腦。

將現有的 Windows XP Professional FAT 磁碟分割轉換為 NTFS 磁碟分割,可以加強穩定性和安全性。所述程序請見 Microsoft 網站上的「如何將 FAT 磁碟轉換為 NTFS」(英文),網址是 www.microsoft.com/technet/prodtechnol/winxppro/maintain/convertfat.mspx。但是,某些較舊的程式可能無法在 NTFS 磁碟區上執行,因此您應研究目前軟體的需求再進行轉換。

附註  轉換檔案系統之前,請務必先備份重要檔案。

EFS

只有 NTFS 檔案系統才能使用 EFS,FAT 檔案系統無法使用 EFS。加密指的是將檔案編碼以協助防止未經授權的存取。加密檔案或資料夾之後,使用這些加密檔案或資料夾的方式就如同使用其他檔案和資料夾的方式。

實作 EFS 的方式有許多種,但您不應該在筆記型電腦或遠端桌上型電腦上建立修復原則。有經驗的技術人員將可以利用本機修復原則來取得 EFS 加密檔案和目錄的存取權。從網域層面實作的修復可提供較安全的檔案系統。

如要進一步瞭解進階功能,請參閱 Microsoft 網站上的「使用 EFS 為硬碟加密保護資料」(中文),網址是 。

附註  檔案無法同時具有壓縮和加密屬性。

檔案備份

備份檔案可避免行動使用者或遠端使用者遇到無法存取檔案的問題。發生此問題的原因可能是意外刪除檔案,或是整台小型企業筆記型電腦遭竊。定期備份檔案的成本並不高,而且這是主動保護寶貴資料的方式。

如需有關如何在 Windows XP Professional 備份和還原檔案的資訊,請參閱 Microsoft 知識庫文章「如何在 Windows XP 中使用備份來備份電腦上的檔案和資料夾」(中文),網址是 https://support.microsoft.com/kb/308422/zh-tw。

回到頁首

強性密碼

最常見的安全性弱點之一是安全性不足的密碼。您必須使用強性密碼才能保護所用檔案和電腦的安全性。強性密碼可協助保護任何電腦,防止遭受危害。猜測密碼的軟體隨處可見,且容易使用。

如需有關建立強性密碼的詳細資訊,請參閱 Microsoft 網站上的「選取安全密碼」(英文),網址是 www.microsoft.com/smallbusiness/support/articles/select\_sec\_passwords.mspx。

回到頁首

無線網路安全性

遠端和行動用戶端電腦在無線網路卡啟用時,可能隨時會受到攻擊。Microsoft 建議在不使用無線網路時停用無線網路卡的功能。

連接到新的無線網路時,必須特別仔細考慮。某些開放使用的無線網路可能根本是不安全的。本文所述的功能可協助保護 Windows XP Professional 工作站和筆記型電腦在連線到這些網路時不會受到攻擊,但請注意,連線至無線網路的第一個規則是只連線至已知的網路。

若要為遠端無線網路 (例如家庭辦公室) 提供安全性措施,請參閱 Microsoft TechNet 網站上的「為居家或小型企業設定 Windows XP IEEE 802.11 無線網路」(中文),網址是 https://www.microsoft.com/taiwan/technet/prodtechnol/winxppro/maintain/wifisoho.mspx。

回到頁首

VPN 連線

虛擬私人網路 (VPN) 通常是透過網際網路將遠端電腦或行動電腦從一個網路安全地連線至另一個網路的方式。此技術可允許使用筆記型電腦的 Windows 使用者從飯店或咖啡廳連線至公用網路,然後安全地連回公司網路。

小型企業可能會想在網際網路上使用非 VPN 連線來提供遠端存取連線。Microsoft 建議使用 VPN 來取代不安全的網際網路連線。使用不安全的連線,可能會使得小型企業或家用網路遭受不必要的風險。

透過網際網路使用 VPN 連線時,請務必確定該 VPN 解決方案可限制同時連線至其他網路。此功能可移除從一個網路連線至另一個網路的直接路徑,以避免遭受惡意軟體或駭客的攻擊。

回到頁首

相關資訊

關於防火牆、電腦更新,以及防毒軟體的詳細資訊,請參閱下列連結:

如需有關 Windows XP SP2 安全性的詳細資訊,請參閱下列連結:

如需有關判斷網路安全性狀態的資訊,請參閱下列連結:

如需安全性相關術語的定義,請參閱下列連結:

下載

取得「確保遠端用戶端及可攜式電腦的安全性」 (英文)

回到頁首