https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

觀點

打造防彈XP工作環境的5個秘訣─企業PC篇

2008 / 12 / 29
iseditor
打造防彈XP工作環境的5個秘訣─企業PC篇

繼家用電腦安全,透過以下的5個秘訣,可讓企業用戶電腦穿上安全的防彈衣。

Microsoft Windows XP自從2001年上市之後,收到很多嚴厲批評其安全不足。雖然這個作業系統有其安全問題,但是企業可以採取5個重要的步驟,把脆弱的Windows XP鎖定讓他安全些。
值得注意的是,在每一次Windows作業系統更新版本之際,安全似乎有一點點的進步。因此, 在Windows XP中提供了一些安全功能,但是不支援較早版本的Windows ,如Windows 95、98、ME和NT 4.0。
以下這些步驟的前提是Windows XP將不須直接連接到舊版本的操作系統,因為一些安全設置可能會干擾舊版本的運作。因此,如果你的Windows XP有必要連接到舊版的Windows作業系統中,結果就是一些安全考量可能要被犧牲,以保持其連接性。
這些步驟還假定你的電腦是更新至Windows XP SP2或在5月發布的SP3。以下的步驟很多都是SP2裡面所提供的功能。

第1招:開啟自動更新機制
保持Windows已經安裝最新的安全更新,是企業保持電腦作業環境安全最重要的一件工作。幸運的是, Windows XP中已經提供設置讓系統自動更新的機制,讓電腦自動地在指定的時間安裝更新檔案,如果該電腦已經是公司網域(domain)的成員,將由網域設定佈署此一自動更新設定。
如果Windows XP的電腦不是公司網域成員,你可以打開控制台,在打開"自動更新"功能,設定自動更新的時間,注意預設的時間是凌晨3點,請記得調整到合理的自動更新時間。如果你是公司網域成員,則此項目將由公司MIS接管,透過群組政策(Group Policy)以確保公司網域控管的Windows XP進行自動更新機制。
現在企業對於自動更新採取更具效益的作法,就是透過集中下載更新檔案,而不需要每一台都去網路上下載,可以透過微軟的WSUS(Windows Server Update Service)機制做到此規畫,可以透過http://technet.microsoft.com/en-us/wsus/default.aspx下載到WSUS。或者可以透過第三方的商用產品做到比較有效益的更新方式。

第2招:使用NTFS檔案系統
Windows XP支援FAT、FAT32 、NTFS這幾種磁碟格式,NTFS提供較高的檔案安全等級,而其他的格式無法讓你設定檔案與目錄的權限,他的預設是所有人均可以存取整個磁碟內容。
你可以在[我的電腦]中的[本機磁碟]磁碟圖式上按下滑鼠右鍵,然後點選[內容],可以看到你現在的磁碟是使用哪一種檔案系統。
如果你已經採用NTFS,那先恭喜你!如果不是,你還可以透過一個指令將檔案系統轉換到NTFS。先開啟一個[命令提示工具],可以從 [開始]─[執行]─[輸入cmd]─[按確定],然後在這個視窗中輸入: Convert C: /FS:NTFS
這樣可以把C槽變成NTFS格式,如果你有其他D槽或E槽,請把上述指令換成對應的磁碟代號如 Convert D: /FS:NTFS。

第3招 :設定本機安全政策
在企業環境裡,電腦安全是透過MIS使用群組政策(group policies)統一管理,透過網域或Active Directory中的組織(OU)層級的架構,同時還可以讓每一台也可以有各自的本地端安全政策。聽起來似乎有點矛盾?
許多IT管理者經常忽略掉這個問題,所有電腦套用網域政策之後,就沒有再套用個電腦的本地電腦政策。因為這些電腦只有在登入網域之後才有辦法使用群組政策,但是可能會有未登入網域的狀況,就會讓電腦保護出現缺口。
好消息是,設定本機的安全政策在Windows XP中比你想像中的容易,而微軟也提供許多安全範本(security templates)供下載,這些政策已經幫你制定了最小密碼長度與複雜度,而符合微軟所建議的安全實務規範,IT管理者可以視公司的規定進行修正,然後套用在用戶電腦中。可以透過文字編輯工具進行修改後即可套用。只要使用本機管理權限登入之後,執行該安全範本即可。微軟提供不同的範本可以達到不同的安全等級,請確定這些是否符合企業的安全政策後再行服用。

第4招:使用防毒軟體
這是廢話,但是很多人知道要使用防毒軟體,卻不知道要更新和檢查授權是否已經過期,然後你要檢查你的防毒軟體是否提供對抗現在流行的間諜軟體與其他惡意程式的功能。雖然許多防毒軟體宣稱可以對抗這些新的威脅,但實際上效果不彰。
如果你的電腦是有加入公司網域,你可以試著在網路端與用戶端採用不同品牌的防毒軟體,以提供雙重的保護。因為防毒廠商偵測到新的惡意程式後,要花一點時間才能提供新的病毒碼,所以使用不同家的防毒可以增加防毒的偵測率。

第5招:啟動WINDOWS防火牆
使用防火牆來保護電腦,這又是一個很重要的步驟,防火牆可以杜絕掉許多不必要的問題。不論是採用Windows所提供的防火牆或者是其他商用產品,網路防火牆可以擋掉來自於網路邊境外部的攻擊行為,而對於內部對內部的問題則少有建樹,如果內部電腦有一台被入侵,其他電腦在開啟本機防火牆之後,被攻擊的機會就降低許多。
開啟Windows防火牆非常容易,從[控制台]點選Windows防火牆圖示後,選擇開啟然後按下確定即可。
管理者也可以透過AD的群組政策來設定公司網域內的用戶開啟防火牆,有2種不同的防火牆組態可以套用,分別是用戶登入網域後啟動的組態,以及未登入網域的防火牆啟用組態。

在此沒辦法把所有打造防彈XP系統的技巧都講完,但是只要你依照這5個步驟,你的用戶電腦就已經有絕佳的抵抗能力。