https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

防護您的Windows平台安全

2004 / 09 / 06
賴昆宜
防護您的Windows平台安全

一、安裝與設定
1.檔案系統

系統安全可以從第一步的安裝開始做起。要保護系統的安全,就應該安裝安全等級較高的檔案系統。Windows NT 以上支援了 NTFS (New Technology File System),NTFS相較於 FAT 多了安全性的支援,可以讓管理者及使用者各自設定檔案及目錄的存取權限。存取控制不只能防範入侵者,還可以防止病毒在沒有權限的硬體上執行或安裝。Windows 2000 之後的系統更支援了 NTFS5,提供資料加密保護的功能。使用者若將檔案或目錄加密,本身在使用上就和一般檔案一樣,並不會因為加密而有所不同,但是其他使用者嘗試存取加密的檔案只會得到「存取被拒」的回應,就算硬碟或是整部電腦遺失,也不用擔心在上面的機密資料會像在 FAT 系統上一樣容易被讀出。因此,在安裝時請選擇 NTFS 系統,特別是開機的分割磁區。

2.權限設定

系統安裝完畢後,首先要調整系統內的權限設定,包括本機上的檔案系統及分享共用的權限。Windows 安裝後,預設 Everyone 群組在每個分割區上具有完全控制的權限,這其實是非常危險的做法,只要別人能用任何一個帳號(包括 Guest)進入你的系統,整個系統的生殺大權就操在他手上了。因此建議移除 Everyone 群組的所有權限,建議只允許 Administrators、CREATOR OWNER、SYSTEM 在所有分割區上完全控制,並且套用到所有子物件中,其他的使用者的目錄設定適當的讀、寫、清單目錄等權限。不要允許一般使用者對 \%WinDir%\System32\Spool\Drivers 的寫入權限,也可以防止使用者在系統上安裝含有木馬的驅動程式。在檔案系統上的權限設定完後,也應該檢查檔案共享的設定是否符合需求,停止不必要的分享也可以讓系統多一分安全。

3.停止不必要的服務

入侵者會尋找系統中有安全弱點的服務,因此,關閉沒有使用的服務可以減少入侵者利用安全弱點入侵的機會;同時,關閉不必要的服務也可以減少系統的負擔。舉例來說,作為伺服器用途的系統可能用不到 DHCP Client、Internet Connection Sharing、Remote Registry以及 Telnet 等服務,將這些用不到的服務關閉掉可以減少一些不必要的麻煩。除了服務外,像是 IPX 及 NetBIOS 這些通訊協定,若是不必要也將它移除。

4.使用者帳號與密碼

在 Windows NT 以上的系統中,Administrator 就如同 UNIX Like 系統中的 root 擁有了系統絕對的權限,若是被猜測或是破解了 Administrator 的密碼,整個系統等於是任入侵者擺佈了。所幸在 Windows 系統中,我們可以將 Administrator 帳號更名為其它普通的名稱以確保安全性。更名後,還可以更進一步建立一個假的 Administrator 帳號,並給予最小的權限,使入侵者必須花更多時間來提升權限。

除了 Administrator 帳號的保護,有一些使用者帳號也沒有啟用的必要,最簡單的例子就是 Guest,若是 Server 以上的版本,沒有使用 Terminal Server Internet Connector,也請停止 TsInternetUser 這個帳號。除了停止不必要的帳號外,帳號也應該受到強大的密碼保護。一個好的密碼大致上具有以下幾項特性:


(1.)大於 8 個字元。
(2.)混合不同種類的字元,如大小寫字母、數字以及非字母的符號。
(3.)密碼中不要包含使用者的名字、帳號、生日等有意義的資訊。
(4.)避免使用任何常用的字或是專有名詞。
(5.)不要使用鍵盤上的相鄰鍵,如:qwerty。
(6.)使用一些特殊的字元。按下 Alt 鍵同時在鍵盤右方的數字鍵輸入三到四位數的數字,可以輸入一些特殊的字元,一般破解密碼的工具程式無法破解這類密碼。

另外,要求使用者不要讓用來連線的機器記住使用網路連線的密碼,養成每次連線時輸入的好習慣。

5. 應注意的檔案類型

Windows 預設在瀏覽檔案時會隱藏已知檔案的副檔名,這使得惡意的檔案可能假扮成別的檔案類型吸引使用者開啟。例如,lookme.jpg.vbs 這個可執行的描述檔會顯示為 lookme.jpg,使用者就容易在不知情的情形下執行了這些可能包含木馬或是病毒的程式。在我的電腦的「工具」→「資料夾選項」→「檢視」中將「隱藏已知檔案類型」的方塊取消便可以顯示檔案的副檔名。若你的系統並不需要如 Visual Basic 之類可執行的描述檔,可以視情況將這類檔案關聯改為筆記本 (NOTEPAD.EXE) 等文字編輯器。除了可執行的檔案,可以將 .REG 檔案的關聯也改為文字編輯器,如此可以避免瀏覽網站時,惡意的網站在使用者不知情的情形下在系統上增加了機碼。

6. IIS (Internet Information Service)

根據 Netcraft.com 的調查,在 Web 伺服器的系統中 IIS 的佔有率僅次於 apache。由於 IIS 被廣泛的使用,因此也發現了很多的安全弱點。微軟公佈了 IIS Lockdown 工具可以關閉一些不必要的功能,減少可能被入侵的管道。也由於很多網蟲在發作時會尋找網路內可感染的系統,在網路上肆虐,因此建議將安裝 IIS 的系統分開放在不同的網路區段,或是確定系統安裝了所有的修正程式後再將它上線使用。一般而言,IIS 是開放給網際網路上的使用者存取的服務,所以接受到來自網路的威脅也特別的多。若能將 IIS 伺服器設置在一個 ISA 伺服器(Internet Security & Acceleration Server) 之後,可以透過 ISA 伺服器多加一道防線,減少 IIS 的危險。開放網際網路存取的 SQL 伺服器也可以用同樣的方式,透過 ISA 伺服器提供保護。

7. 主機的防護

將螢幕保護程式開啟,設定一個密碼,並且設定一個短暫的啟動時間,以免使用者離開座位前忘了將電腦鎖定,造成別人有機會操作這個電腦。

8. Service Packs

在資訊的世界中,隨時都會有新的安全弱點被發現,沒有一個系統永遠是絕對安全的。若軟體發行後發現有缺陷或問題,廠商便會發佈相對應的修正程式,將這些修正程式集合起來便是 Service Pack。微軟也會為 Windows 發佈修正程式來維護功能的正常,其中有部份是安全性的修正,用來修補一些安全性的漏洞及程式設計上不安全的地方。在網路上的機器被掃瞄與發現安全漏洞的機會遠大於您的想像,低估這個情況可能會造成公司停止運作達數小時的損失,若您不想成為網安事件的受害者,請確實地做好您系統的更新及修正。微軟在 Windows 2000 SP4 以及 Windows XP 中加入了自動更新的功能,這個功能開啟便可以隨時將系統維持在最新的狀態。

二、額外的防護
1. 防火牆 (Firewall)

防火牆是與網際網路(internet)連線時不可或缺的一部分。若沒有防火牆,許多攻擊會在管理者不知情的情況下發生。從一個安全弱點被發現到相對應的修正程式公佈,往往需要數天到數週的時間,使用者完成修補往往是更久之後的事了。這段時間仍然有可能遭到惡意攻擊或是入侵,這時防火牆便能展現它的功用,抵擋危險。例如去年八月的疾風病毒,當時該漏洞的修正程式早已經發佈,但是很多使用者並沒有在第一時間進行修補,這時沒有防火牆保護的主機便成了疾風下的受難者。



一般最常使用的通訊協定是 TCP/IP,其中有許多有安全弱點的協定或是服務。除了一般沒有使用的通訊埠外,最少應該要再阻斷 TCP 135、139、445 以及 UDP 135、137、445。Windows XP 及 Windows 2003 已內建了網際網路連線防火牆,其他版本的 Windows 則需使用其他廠商的產品。

2. 防毒 (AntiVirus)

病毒是一項快速成長的安全威脅,任何有網路連線或是以任何媒體(如磁片、隨身碟)交換檔案的系統都應該對病毒做好防範,即使防火牆阻斷了未使用的通訊埠,木馬類的病毒仍然可能利用 E-mail 等正常服務輕易地進入您的網路。使用防毒軟體並且隨時更新到最新的病毒碼,對 E-mail 及外來的磁碟進行掃瞄,可以大大減低受病毒感染的機會。

除了防毒軟體,web browser 也應該設定較高的安全等級,不應該在重要的機器或是伺服器上進行瀏覽網頁的動作。不要從未知的來源下載軟體使用,使用這種軟體是很危險的,因為你無法確定它是否被加入了木馬或病毒。最好的做法是到自己信任的網站下載軟體,並且每次都檢查下載檔案的完整性。有些病毒會在執行後自我複製並散布到網路中,隨病毒的種類及破壞力的不同,可能會造成網路的癱瘓,進而造成財務的損失。

防毒軟體的設定應該要設定得嚴格些,可以設定為自動修復受感染的檔案,但是對於無法修復的檔案,若沒有需要就不要將它留著。在郵件伺服器上可以設定攔截所有可能帶有病毒的檔案類型,如VBS、EXE、COM等,這些類型的檔案在平常事務用途上並不常用,但可能因為一般使用者的執行而感染病毒。如果有傳送這類檔案的需求,可以請對方將檔案重新命名為特定的副檔名,並設定防毒軟體對此副檔名進行掃描,以防止病毒穿過防護。

3. 入侵偵測 (Intrusion Detection)

防火牆之於電腦雖然像門窗之於房屋,可以阻擋一些來自網路上的攻擊,但是經驗老道的入侵者可能會用一些手法繞過這一道防線,入侵偵測系統則可以扮演一個警報器的角色,成為防火牆外的另一道防線。入侵偵測己經是強化 Windows 網路安全中的一個重要角色,使用入侵偵測系統可以幫助組織發現入侵者的動作。

三、總結
隨著系統版本不斷更新,新的漏洞不斷地出現,在享受電腦網路帶來便利的同時,也曝露在一個危機四伏的環境中。本文概略介紹在安裝及設定上,幾個能夠使 Windows 平台的使用更為安全的方式,當然一般使用者與企業網路的使用需求不盡相同,細節作法也不會一樣,不過安全防護的觀念是相同的,只要掌握重點,相信可以安全享受使用上的便利。

本文作者現任職於TWCERT/CC台灣電腦網路危機處理暨協調中心