https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

省錢大作戰 中小企業用windows 7作資安

2011 / 05 / 16
馮立偉
省錢大作戰 中小企業用windows 7作資安


隨著個資法三讀通過以及即將付諸實施,可以預期的是所有企業 IT 人員將會有的忙了。以往只要不出事就得過且過的資訊安全建置,似乎又到了要開始重新檢討一番的地步,畢竟這次個資法所涵蓋的產業跟範圍可比以前大上許多,不但有刑事跟民事責任,最高兩億元的求償金額更不是開玩笑的。對大型企業來說,其實只要在每年編列的資訊預算內補列資安預算即可,但是對中小企業來說,IT 人員有限、預算有限,如何以省錢、省力的方式來提升公司內整體資訊安全,又不增加公司整體額外資訊預算,其實是有撇步的。接下來,我們將為各位介紹如何運用現有的 Windows 7 內建的資安功能,不用花額外大錢,也能夠大幅提升企業整體資訊安全防護。

在企業裡面,資訊安全是一項平時不被人注意,但是一旦發生卻會造成嚴重企業損失及風險的重要議題。但是根據筆者服務企業客戶多年的經驗,一些企業 IT 人員都認為只要防毒有裝,權限有設,就是已經做好資訊安全。其實,這些只是基本動作,要做到真正的資訊安全,你還需要把整個點,線,面往外延伸,各個主要的面向都要注意。但是,在你開始考慮找外面資訊安全廠商提供資訊安全方案及產品前,其實每個使用者電腦上的 Windows 已經可以提供一定程度的資訊安全功能。在你充分發揮之後,如果還有不足的部分,可以再找資訊安全廠商提供解決方案及產品來補足你不足的資訊安全部分。這樣做的好處是,你可以立刻使用這些 Windows 本身內建的安全性功能,只要你了解如何使用後即可以立即發揮功效。

事實上,從 Windows Vista 開始,微軟已經大幅提升整個 Windows 平台的安全性,而到了Windows 7,Windows 內建的安全機制已經可以提供企業非常不錯且具水準的資訊安全能力。所以了解及善用這些內建功能,可以讓企業發揮最大的 Windows 投資效益,而且就不會只是因為 XP 快要停止支援所以不得不升級而怨聲載道了。接下來,就讓我們一起來探討企業內有那些潛在風險的地方,以及如何善用 Windows 7 的內建資安功能來一一解決吧。

潛在風險1 : 使用者隨意下載軟體,造成 Windows 不穩定,且易被植入木馬及後門

台灣中小企業的 MIS 人員很可憐,平時人力少不說,一個人要兼非常多工作,十八般武藝都要會。平時光是使用者電腦或軟體的問題都處理不完,那有時間去管制使用者那些軟體能用,那些不能用。此外,缺乏好的管理工具及不足的資安預算,都是讓這部分的風險一直高居不下,無法有效降低的原因。其實,Windows 7 裡面的 AppLocker 可以有效解決軟體控管的問題。

AppLocker 的運用方式是在群組原則內電腦設定\Windows 設定\安全性設定\應用程式控制原則\AppLocker 上設定(圖1),你有兩種運用方式,方式一:依照產品設計的方式,也就是定義出那些路徑是可以執行軟體的。你可以定義出允許使用者執行軟體的路徑,只要任何軟體不在定義的路徑上想要執行,都會被阻擋。所以,使用者自己安裝的程式如果不是已經被 MIS 定義路徑的,將無法執行。這可以解決一部分使用者亂裝軟體的問題。方式二:可以透過 AppLocker 設定公司內可以使用的應用程式清單,只要日後不在這清單裡的程式,就無法被執行。這對 MIS 想要打造出一個公司內標準的 Windows 環境是很有用的,只要你定義出所有公司授權的 AP 清單,那麼你就可以防止使用者日後執行未經授權的軟體,不管是個人帶來的或是非法未經授權的軟體,包含木馬及後門程式,都將無法執行。如此一來,你就不用擔心那些防毒軟體無法精準抓到病毒、木馬等威脅了。因為沒有被設定的都將無法執行。

最後,你還可以運用 AppLocker 封鎖使用者電腦上的特定軟體。舉例來說,如果你發現使用者電腦上有不該執行的軟體,如 Skype。舉這例子是因為 Skype 在企業內很難使用防火牆完全阻擋,通常你需要花大錢購買特殊的網管軟體來阻擋其流量。這時,你可以不用花這筆錢,使用 AppLocker 直接禁止使用者電腦上的任何 Skype 軟體被執行。你甚至不用管版本,AppLocker 可以只用一個規則就能防止任何版本任何語系的 Skype。善用這項功能,你可以輕易阻擋封鎖任何具威脅的軟體於使用者電腦上執行。


圖1 AppLocker 採易懂的圖形介面來簡化整體原則設定



潛在風險2 : 電腦防毒病毒碼不是最新,Windows Update 沒有上到最新,防毒軟體不正常運作或服務被停掉,導致電腦中毒或被攻擊

MIS 很難隨時都檢查防毒軟體管理介面,比對是否所有電腦都更新到最新病毒檔。同時公司雖然有用 WSUS,但是卻很少有人會時常檢查管理介面上是否有電腦發生更新錯誤,或是是否所有電腦都正確回報狀態到 WSUS 上。因此,長時間下來,公司裡面有越來越多電腦更新不正常,但是 MIS 卻無法知道,最後,這些電腦都變成造成公司資安問題的不定時炸彈。此時,你需要內建於 Windows XP,Windows Vista 以及 Windows 7 內的網路存取保護 (Network Access Protection) 簡稱 NAP 來幫助你。

NAP 可以幫你自動檢查每台 Windows 電腦上的防毒軟體是否有安裝,病毒碼及Windows Update 是否更新到最新,也能檢查防火牆及 Windows Update 服務是否有開啟。一旦使用者電腦不符你設定的檢查條件,如病毒碼/Windows Update要更新到最新等, NAP 會立即強制使用者電腦馬上更新病毒檔,或是立即更新 Windows Update 等。一旦使用者電腦不符條件且無法更新成功,使用者電腦右下角就會出現通知使用者的警訊,上面 IT 人員可以自訂說明文字,告訴使用者馬上與 IT 人員進行聯絡等。也可以設定把使用者電腦隔離出公司網路,也就是這台電腦就無法與網路重要電腦或是伺服器連通,以防止這台電腦之後被感染到惡意程式而對全公司進行感染。當然,使用者一樣會看到 IT 人員設定好的通知訊息,因為網路不通,所以使用者會馬上跟 IT 單位聯絡,IT 單位也可以馬上知道那些電腦是有更新問題的。

各位看到了嗎? NAP 會自動幫你檢查電腦的「健康」狀況,如有不健康的電腦就會立即進行修正,無法修正的會進行隔離。這些都是全自動運作,完全不需人工隨時檢查及監控,可以大幅降低管理者的負擔及時間的浪費。這個好功能從 Windows XP SP3 就有了,各位應該好好運用,筆者相信可以大幅提升各位公司內電腦的安全性。

潛在風險3 : 使用筆電的員工越來越多,一旦筆電遺失,公司重要資料將會外洩

筆電遺失或是被偷,這在國內外早已不是新聞。如果去網路上搜尋一下,各位可以發現過內外不論大型或是中小型知名公司都有發生此事件的新聞。遺失筆電事小,公司重要資料被外洩則事大。即使電腦內一些資料有做過密碼保護,但是畢竟只有局部保護,還是很多資料沒有被保護。此外,使用密碼保護的的方式其實並不安全, 因為大部分使用者為了怕忘記密碼,都使用好記或是自己常用的較不會忘的號碼當作密碼。因為這對使用者來說都是要額外設定,以及打開時要額外輸入密碼,因此對使用者來說會是一個負擔,使用者較不會所有檔案都鎖,也不會去設定複雜的密碼。所以,只要用密碼破解軟體,不用多久就可以輕鬆破解。還有許多使用者認為電腦都有做密碼開機保護,掉了對方也進不去。殊不知只要把硬碟取出,接上另一台電腦,這種密碼或是用 Bios 作保護的方式立即失效。 因此,要如何兼顧安全性及便利性呢?這時,使用 Windows 7 裡的 BitLokcer 即可輕鬆兼顧兩者,達到最佳安全效益。

BitLocker 的運作是全自動進行,且是針對電腦硬碟的磁區 Partition 來設定(圖2)。

圖2 BitLocker 整體介面非常簡潔及容易了解

一旦啟用,即可於背景內自動加解密,使用者完全不用手動輸入密碼。同時,由於系統啟動磁區 C 碟也被加密,因此一開機時,BitLocker 會立即檢查硬碟開機的電腦硬體是否是同一個,一旦有人把硬碟取出接到別台電腦,即無法開機。此外,由於是整個磁區是做加密處理,因此硬碟如果被取出接到別台電腦,也是無法存與資料。所以,當你電腦遺失時,Bitlokcer 是可以確保你資料不被外洩的最好辦法。你不需要做任何額外事情,一旦設定好,即會自動運作及保護。

當然,BitLokcer 不但個人能使用,在企業內使用也是非常便利。首先,MIS 可以利用群組原則控管 BitLocker 的設定,同時,也可以在企業內集中啟用 BitLocker。碰到使用者電腦壞掉更換新機時,也可以輕易的透過 48 位密碼的 Recovery Key 來解開及存取被保護的硬碟。怕 Recovery key 遺失? 沒問題,管理者可以設定自動把 Recovery Key 備份到 AD,有需要時隨時可以取出使用。此外,企業更可設定 BitLocker 的 Data Recovery Agent (DRA),所以即使 Recovery key因各種因素無法獲得,也可以使用 DRA 加以解開。

另外針對 USB 及外接硬碟,也常常是資訊外洩的一個來源。USB 越做越小,很容易掉。大家都在用 USB 碟複製及擺放資料,所以一不小心不是忘了拔就是直接掉了而不知。電腦掉了使用者很容易發現,但是 USB 碟掉了通常很久才會知道,同時連裡面有怎樣的資料也都會忘記。針對這部分,可以使用 BitLocker to Go 的功能。一樣很簡單設定,也可以透過群組原則集中啟用。網管人員甚至可以控制只有 BitLocker 啟用的 USB 碟才能於公司內使用,或是控制沒有 BitLokcer 啟用的 USB 碟只能唯獨,不能寫入。當然,這部分我們建議針對公司內有使用到公司重要資料的人員再進行管控。

總結

各位可以發現,透過 Windows 內建的資訊安全功能,可以在不增加 IT 人員管理負擔下,提供資安保護機制。不但不會改變使用者習慣,同時又可以有效提升公司內的資安防護。用 Windows 7 內建的資安功能,其實已經可以提升公司整天資訊安全到一定程度。當各位熟悉整個 Windows 內建的安全機制後,如果有你還覺得不足的部分,可以再向外面的專業資安廠商洽詢商品來補不足的部分,這樣就可以以最省錢的方式,做好公司的資訊安全,也比較不會買到不合適的資安產品及花冤枉錢。

本文作者為微軟資深講師