:::
icon 您現在的位置是:首頁資安新知 > Windows用戶端系統安全  
icon Windows用戶端系統安全 icon

 

談到系統安全,似乎每個人的標準答案都是:「是的!我要安全,我不希望個人資料外洩,我也不希望被駭客入侵,甚至於我不希望中毒!」不過基本上系統的安全性是與方便性以及成本之間形成微妙與複雜的三角關係。

這點隨著 Windows Vista 上市已經一年半,並且微軟也在近期不再銷售 Windows XP 作業系統,但是周遭部分的親朋好友仍時有耳聞聽到要將新電腦所附的 Windows Vista 打算 Downgrade 成為 Windows XP 的情形來看,Windows Vista 這個號稱微軟史上最安全的作業系統似乎在市場上並未取得熱烈的迴響。

安全性-成本-方便性

Windows Vista 這個作業系統,筆者從 Beta 使用至今天的 SP1,我一直認為這個作業系統是微軟在安全的訴求上的”終極”產品。尤其是64位元的版本至今似乎可以說是難以入侵的銅牆鐵壁的系統,不過安全的代價似乎也造成企業用戶不太買單的一些因素,從硬體更新、新版本的應用程式搭配、用戶端使用習慣的改變,再再凸顯了方便性與成本的壓力讓這個三角形失衡的因素。

事實上 Windows 一系列用戶端系統從 Windows 2000 Professional、Windows XP乃至於最新的 Windows Vista都各有各的安全等級,有所變也有所不變,在此我們就針對 Windows NT 平台安全性來重點整理一下讓各位讀者在”打點”您的Windows 用戶端系統能夠更安全的放心使用。

1. 帳戶安全 
基本上 Windows NT 是使用者等級(User Level)的安全性架構,有帳號才能使用作業系統,沒有帳號就無法使用作業環境,可是系統預設兩個帳號一個Administrator 與 Guest。

系統內建的帳戶,不需要使用的做好都停用, 而需要使用的帳號可以更名與設定密碼來強化安全
系統內建的帳戶,不需要使用的做好都停用, 而需要使用的帳號可以更名與設定密碼來強化安全

Guest 這個來賓帳戶應該最好關閉,畢竟一般個人使用環境應該沒有必要開啟給”來賓”使用;可是在 Windows XP Home Edition 中 Guest 帳戶關閉不了,因此最好的方式就是在 Guest 帳號上設定個密碼。

就算是 Guest 帳戶也應設定密碼
就算是 Guest 帳戶也應設定密碼

帳戶管理不馬虎,安全存取有保障 
帳戶管理不馬虎,安全存取有保障

另一個 Administrator 帳號在系統中擁有至高無上的權利,一般來說只有在環境剛建置時因為需要安裝軟硬體的需要才會需要相關權限,對於一般用戶說實在的平常使用作業環境真的不需要使用本機管理者的權限,只有在必要時提升權限即可,不過我常看到一般用戶蠻執意使用管理者帳戶,總覺得使用這個帳戶比較方便。 如果真的要採用管理者帳戶,只有兩個建議:

Administrator 帳戶可以更名,在沒有正確帳戶輸入的情形下,就算是密碼正確也是無法登入 Windows NT 的平台。
一定要為本機管理者設定密碼,如果可以最好定期修改密碼,讓登入的安全性提升。
往上 TOP

2. 檔案安全
放眼望去現在 Win95/98/Me 這樣的系統應該已不存在了,因此當系統、應用程式與資料存放在硬碟時,檔案系統的選擇一定是 NTFS,除了NTFS支援更大的磁碟空間之外(以Windows XP而言,FAT32只能支援到32GB的分割區),檔案與資料夾的安全性可以使用NTFS權限設定來強化安全。

NTFS的安全性絕對比FAT或FAT32來得好
NTFS的安全性絕對比FAT或FAT32來得好

在權限的應用中有個小技巧:如果這是你自己才能用的個人資料,最好在資料夾上設定權限只有自己的帳號能夠存取;以及盡可能避免 Everyone 帳戶權限的使用,如此一來對於個人資料的安全性也能有所提升。

Everyone 千萬不能給予完全控制的權限
Everyone 千萬不能給予完全控制的權限

除此之外,使用NTFS還有一個優點,就是可以使用EFS加密檔案系統的機制,為重要的資料加密處理,讓就算拿到主機的人也無法存取資料,凡是加密的檔案非本機帳戶是不能存取也不能複製,必須擁有帳戶權限與數位憑證的用戶才能存取資料(也凸顯了帳戶安全性的要求)。如果採用 Windows Vista 商業版搭配 TPM 的硬體更可支援更高安全的資料保護。

對於重要的個人資料應使用加密內容(EFS)
對於重要的個人資料應使用加密內容(EFS)

往上 TOP

3. 網路安全
當帳戶安全與檔案安全多有注意時,本機系統的安全性也就得到了提升,就算是移動裝置也可以確保存放在裡面的資料不會被任意取出;不過我相信仍有使用者的系統遭受惡意程式與駭客的威脅。

俗話說得好:「病從口入!」,對於系統而言網路與周邊裝置就像是程式的入口點,入口的控管便成為安全控管的決勝點,從 Windows XP Professional 以後的系統變內建了 ICF(Internet Connection Firewall)並且在 Windows XP Service Pack 2以後便更新成為 Windows Firewall,提供主機防火牆的安全防護。

一般來說完成一個網路連線,必須包含實體連線、協定設定與服務支援,因此將不必要的連線移除,對實體線路的控管,也可以達到安全基本條件,最常看到的就是無線網路的使用,許多時候用戶為了貪圖方便將無線網路一直開啟或者是採用的是一般無線基地台的基本設定,這些都可能導致非必要性的連線被建立與惡意程式的入侵。

協定設定的安全則可以透過 Windows Firewall 來得到安全防護,舉例來說:Windows XP + SP2 的 Windows Firewall 讓任何TCP/IP協定的連入要求都允以拒絕,因此要透過直接網路的攻擊來達到入侵的效果當然是辦不到的。不過預設值內部程式存取外部網路的動作是都被允許的,因此適時的限制就成為管理上的技巧。這也說明了為什麼近年來惡性程式的入侵都採取木馬程式的型態,引誘用戶自行下載或執行程式,因為再堅固的堡壘也經不起內部的滲透破壞,也因此資訊安全的規範中一再宣導不應下載來路不明的程式與不當的執行網路工具。

開啟 Windows 防火牆算系統預設的安全基本功
開啟 Windows 防火牆算系統預設的安全基本功

例外清單中是允許向外部網路存取的程式清單,當然應越少越好!
例外清單中是允許向外部網路存取的程式清單,當然應越少越好!

藉由無線網路管理,使用適當的設定要求
藉由無線網路管理,使用適當的設定要求

不過有了 Windows Firewall 是否就一定能防止外部的直接攻擊呢?最怕的就是這道牆被 By pass 掉!怎麼說呢?如果外部攻擊者針對系統的安全漏洞或者是瑕疵,作為攻擊的入口,仍可能發生直接攻擊成功的情形,然而系統漏洞與瑕疵是無法採用其他方式徹底防禦的,也只有仰賴系統商所提供的更新作業來提升系統本身安全要求。以微軟來說:透過 Microsoft Update、WSUS機制確保系統能夠符合時勢的需求。

Microsoft Update 隨時確保系統安全性更新
Microsoft Update 隨時確保系統安全性更新

綜合以上三個要點不難發現,系統安全不是全然不能控制的,適當的設定與使用習慣的搭配是可以系統的安全發揮出一定的等級。不過對於不想花精神與技術成本的用戶那麼 Windows Vista 預設的安全性絕對會比 Windows XP Professional的安全性來的高,而Windows XP Professional 也一定比WinXP Home與Win 2000來得優秀!當然升級帶來的成本壓力,與新介面功能的學習成本就是資訊人員在三角習題中的搭配技巧了!



- 資料來源-
教育部提升校園資訊安全服務計畫服務團隊
精誠資訊股份有限公司
劉聖路 精誠資訊 恆逸資訊教育訓練中心 資深講師 


note 返回列表頁往上 TOP