2011年11月21日 星期一
2011年11月20日 星期日
2011年11月17日 星期四
NTFS進階權限
NTFS基本安全權限包括
1.完全控制
2.修改
3.讀取與執行
4.清單資料夾內容
5.讀取
6.寫入
NTFS進階權限設定有
1.周遊資料夾 / 執行檔案
2.列出資料夾 / 讀取檔案
3.讀取屬性
4.讀取擴充屬性
5.建立檔案 / 寫入資料
6.建立資料夾 / 附加資料
7.寫入屬性
8.寫入擴充屬性
9.刪除子資料夾 / 檔案
10.刪除
11.讀取使用權
12.變更使用權
13.取得使用權
利用[群組原則]設定禁止存取[控制台]
系統管理者,想要規範一般使用者的帳戶不能存取控制台,我做了如下的步驟:
1.群組原則2.使用者設定3.系統管理範本4.控制台5.禁止存取控制台6.設定啟用
我做完以上設定後,確實不能存取控制台了,可是卻所用帳戶的使用者都被限制到了(包含系統管理員帳戶),
我的系統是xpp,執行gpedit.msc指令進入群組原則,想要設定多個使用者帳戶的權限功能。__ - Microsoft Answers
SFTP
SSH File Transfer Protocol, a network protocol designed to provide secure file transfer and manipulation facilities over SSH
傳輸層安全(Transport Layer Security,TLS)
特殊權限
Privileges
若要減輕使用者帳戶的系統管理負擔,最好將特殊權限指派給群組帳戶,而不是個別的使用者帳戶。當將特殊權限指派給群組帳戶之後,使用者一旦成為此群組的成員,便會自動指派這些特殊權限給使用者。這種管理特殊權限的方法,遠比在建立使用者帳戶時,將個別特殊權限指派給每一個使用者帳戶的方法來得容易。
如何決定有效權限
「有效權限」工具只產生使用者擁有權限的概略。使用者實際擁有的權限可能不同,因為權限可能因使用者登入的方式而授與或拒絕。如果使用者未登入,[有效權限工具] 就無法判斷特定登入的資訊,因此它顯示的有效權限只能反映使用者或群組指定的權限,而沒有藉由登入而指定的權限。
例如,如果使用者透過共用資料夾連接到此電腦,則此使用者的登入會標示為網路登入。權限可能會被授與或拒絕給連接使用者所接收的網路知名 SID,所以使用者從本機登入和從網路登入時會有不同的權限。
對安全性群組給予檔案讀取或完全控制.....等權限
群組類型:
安全性:安全群組用來管理網路上的安全問題,可以對某個安全性群組給予檔案讀取或完全控制.....等權限。
發佈:為傳送E_mail目的所建的使用者群組,與安全(權限的設定等)無關。此種群組校內工作上是不會用到的。
網路問與答 - Network01.net
改變服務集識別字並且禁止SSID廣播
服務集識別字(SSID)是無線接入的身份識別字,是無線網路用於定位服務的一項功能,用戶用它來建立與接入點之間的連接,為了能夠進行通訊,無線路由器和主機必須使用相同的SSID。這個身份識別字是由通信設備製造商設置的,並且每個廠商都用自己的缺預設值。例如,3COM的設備都用“101”。在通訊過程中,無線路由器首先廣播其SSID,任何在此接收範圍內的主機都可以獲得SSID,使用此SSID值對自身進行配置後就可以和無線路由器進行通訊。知道這些識別字的駭客可以不經過授權就享受你的無線服務。儘管目前大部分無線路由器都已經支持禁用自動廣播SSID功能,你仍需要給你的無線接入點設置唯一並且難以推測的SSID,同時盡可能禁止你的SSID向外廣播。這樣,你的無線網路就不能通過廣播的方式來吸納更多使用者,這不是說你的網路不可用,只是它不會出現在可使用網路的名單中。
網域隔離
伺服器及網域隔離 (SDI) 可讓系統管理員使用網際網路通訊協定安全性 (IPsec),不需要花大筆費用變更其網路基礎結構或應用程式,即可透過動態方式將其 Windows 環境區隔為更安全和隔離的邏輯網路。這會建立另外一層以原則為導向的保護,進一步防範耗用資源的網路攻擊,並防止未經授權存取受信任的網路資源,達到符合規範及降低營運成本的目標。
利用群組原則控管裝置之安裝與使用
卸除式儲存裝置存取權的群組原則設定
在 Windows Vista 和 Windows Server "Longhorn" 當中,系統管理員可以套用群組原則,以控制使用者是否能夠讀取或寫入含有卸除式媒體的任何裝置。這些原則可以用來防止敏感或機密內容被寫入卸除式媒體或包含儲存體的卸除式裝置,再帶離公司。
您可以在電腦層級套用這些原則設定,使其影響登入電腦的每一位使用者。您也可以在使用者層級套用這些原則設定,只針對特定的使用者帳戶強制執行。如果您在 Active Directory 環境中使用群組原則,除了可以將原則設定套用至單一使用者帳戶之外,還可以套用至使用者群組。群組原則也允許您有效地將這些原則套用至大量的電腦。
TPM
可信賴平台模組將會實作成內建於電腦主機板的微晶片,除了可以更安全的方式儲存金鑰、密碼和數位憑證等資料,有效防止外部軟體侵入竊取這些重要的機密資料,也可以配合軟體,發揮保護硬碟資料的功效。此外,安全開機會對 Longhorn 系統內所有的磁碟區(volume)進行加密處理,防止攻擊者以侵入 Windows 系統的方式存取電腦裡的資料;如果電腦遭竊,安全開機就能防止硬碟裡的資料外洩。安全開機並不會影響合法使用者操作電腦內的檔案,並且易於 IT 人員部署與管理。
Network Access Protection platform requires
The NAP platform requires NAP infrastructure servers running Windows Server 2008 or later and NAP clients running Windows XP with Service Pack 3 (SP3), Windows Vista, or later operating systems.
縮小您伺服器的受攻擊面
安全性組態設定精靈 (SCW) 是 Service Pack 1 (SP1) 中對 Windows Server 2003 的新增功能特色。這個精靈使用直覺、角色式的處理程序,引導系統管理員降低受攻擊的層面。使用 SCW 時,您可輕易快速停用那些不使用的服務、封鎖不必要的通訊埠、修改登錄值,以及設定稽核設定值。
GPO 處理順序:本機群組原則、站台、網域,接著是 OU
GPO 預設會被繼承、累計,且會影響 Active Directory 容器及其子系中的所有電腦和使用者。GPO 依下列順序處理:本機群組原則、站台、網域,接著是 OU,最後處理的 GPO 會覆寫先前的 GPO。預設繼承方法會從距離電腦或使用者物件最遠的 Active Directory 容器來開始評估群組原則。最靠近電腦或使用者的 Active Directory 容器會覆寫較高層 Active Directory 容器中所設定的群組原則,除非您設定該 GPO 連結的 [強制 (不覆寫)] 選項,或 [不要繼承原則] 原則設定已套用到網域或 OU。最先處理的是 LGPO,因此連結到 Active Directory 容器的 GPO 中的原則設定會覆寫本機原則設定。
唯讀網域控制站
唯讀網域控制站:您可以在無法確保網域控制站之安全性的環境中,部署使用唯讀版本 Active Directory 資料庫的網域控制站,例如網域控制站的實體安全性有疑慮的分公司,或具有額外角色功能並需要其他使用者登入,以及管理伺服器的網域控制站。由於唯讀網域控制站(RODC)係使用資料複本,因此可避免因分公司對資料所做的更改而發生破壞或損毀 AD 樹系的情形, RODC 亦可讓分公司網域控制站避免使用發行前中繼站台(Staging Site),或避免派送安裝媒體與網域系統管理員至分公司。
無線網路最高的安全性
若要取得最高的安全性等級,請選擇具有憑證的 PEAP (EAP-TLS)。PEAP 使用 TLS 來增強其他 EAP 驗證通訊協定的安全性。有了 PEAP,即可使用 TLS 在 EAP 用戶端 (例如無線運算裝置) 及 EAP 伺服器 (例如網際網路驗證服務 (IAS) 伺服器) 之間建立端點對端點的加密通道。雖然無論是具有 EAP-TLS 和 EAP-TLS 的 PEAP 都各自提供嚴密的安全性 (透過伺服器驗證的憑證以及用戶端電腦和使用者驗證的憑證或智慧卡),不過,若使用的是具有 EAP-TLS 的 PEAP,用戶端憑證資訊會再經過加密處理。
是誰修改或刪除你的檔案
啟用共用資料夾的稽核。以下是敎你如何在Windows XP Professional設定。
1. 進入控制台 > 系統管理工具 > 本機安全性原則。
2. 展開安全性設定 > 本機原則 > 稽核原則。
3. 連按稽核物件存取,並將核取方塊打勾,按下確定,然後關閉本機安全性設定視窗。
2011年11月16日 星期三
2011年11月8日 星期二
Security Fundamentals: 2011/11/09整理目錄
· MTA Security Fundamentals 資料
- MTA簡介
- 2010/10/29吳鳳科技大學MTA研習議程
- MTA國際認證將可減少40%IT職務的缺口
- Who?
- Security Fundamentals
- Audience Profile
- Skills Being Measured
- Preparation Tools and Resources
- Understanding Security Software
- Understanding Network Security
- Understanding Operating System Security
- Understanding Security Layers
- Microsoft Online Resources
· 網路安全資料
· 網路安全管理
- 環境安全措施
- 個人的安全防護
- 使用者安全措施
- 系統管理者安全措施
- 憑證管理
- 資料加密解密
- 架設防火牆
- 密碼使用原則
- 資料備份原則
- 蓄意破壞防範
- 偶發事件防範
- 資訊安全的防範
- 資訊安全的種類
- 資料儲存在 %allusersprofile% 目錄中
· 重要名詞、訊息
- § [IT工具] 軟體佈署的神兵利器 - InstallPad
- § [資安小常識] 6 大法則,更安全的線上金融交易!
- 3類常見國際證照
- § 6 項常見的 IT 安全性失誤及其治本之道
- § 6 項常見的 IT 安全性失誤及其治本之道
- access control 存取控制
- account lockout 帳戶鎖定
- Active Directory
- § Active Directory
- Active Directory設定
- Address Resolution Protocol (ARP)
- administrator 系統管理員
- § Application level floods
- § ARP 偽造攻擊
- ARP欺騙(ARP spoofing)
- audit policy 稽核原則
- auditing 稽核
- authentication 驗證
- authorization 授權
- Automatic Private IP Addressing (APIPA) 自動私人 IP 定址...
- § A-如何建立有效的密碼
- § A-應優先解決的安全問題
- Biometrics -人類耳朵各不同 可供安檢辨識身分
- § BitLocker 核心的增強功能
- BitLocker功能
- Boot Logging 開機記錄
- broadcast 廣播
- built-in groups 內建群組
- cache 快取
- § callback number 回撥號碼
- § callback security 回撥安全性
- § certification authority (CA) 憑證授權單位 (CA)
- § channel 通道
- § Class A IP address 類別 A 的 IP 位址
- § Class B IP address 類別 B 的 IP 位址
- § Class C IP address 類別 C 的 IP 位址
- § cluster 叢集
- § common groups 公用群組
- § computer administrator 電腦系統管理員
- § Cookie 的主要目的
- § Cookie 的建立
- § Cookie 的說明
- § Cookie來儲存客戶端的資料
- § credentials 憑證
- § daily backup 每日備份
- § data packet 資料封包
- § DDOS攻擊
- § default gateway 預設閘道
- § digital signature
- DNSSEC
- § DNSSEC
- § DNS安全
- Dynamic Routing 動態路由選擇
- § EAP 類型的優缺點-802.1X 設計無線區域網路安全性
- § FSE
- § Glossary - Learn more about malware - Microsoft Ma...
- § How to Set up an incoming VPN on Windows 7
- § ICMP floods
- IDP、IDS、IPS?
- § Information security involves the preservation of
- § IPSec
- IPsec原則、網域隔離
- § ISA Server:Web 存取保護
- § ISA Server:分公司閘道
- § ISA Server:分公司閘道
- § ISA Server:安全應用程式發行
- § ISA Server:安全應用程式發行
- § Kerberos
- § Kerberos
- § KeyLogger
- § LDAP
- Malwarebytes' Anti-Malware 1.35
- § MBSA
- § Microsoft Baseline Security Analyzer
- Microsoft Baseline Security Analyzer (MBSA)
- § Microsoft ISA Server:整合性頂尖安全性閘道產品
- § Microsoft ISA Server:整合性頂尖安全性閘道產品
- § Microsoft ISA Server:整合性頂尖安全性閘道產品
- § Microsoft Security Assessment Tool MSAT
- § Microsoft Security Essentials
- § Microsoft 作業系統更新
- § Microsoft 作業系統更新
- § Microsoft 資訊安全學習捷徑
- § Microsoft 資訊安全學習捷徑首頁
- § Microsoft 學習捷徑--依主題瀏覽
- § Microsoft 學習捷徑--依類別瀏覽
- § OSI安全架構的重點
- § PGP
- § PKI
- RADIUS認證服務
- § session key
- Spyware Doctor間諜醫生
- § SQL Injection
- § SQL Injection 攻擊行為的解決方案
- § SQL Injection 緊急應變建議
- § SSID(Service Set Identifier)
- § Syn flood
- § Users need to know
- § Vista 防火牆與 IPSec 整合
- § WEP 與 WPA 概觀
- § Windows 7 BitLocker 磁碟機加密設計指南
- § Windows Vista 企業版 Windows 7 BitLocker to Go 加密
- § Windows 防火牆可防範哪些問題?
- § Windows 防火牆如何運作?
- § Windows 防火牆如何運作?
- § Windows 防火牆無法防範哪些問題?
- § Windows 資訊安全中心
- § Windows 對於檔案複製與搬移的 NTFS 權限變化
- § Wireshark
- § WLAN 遇到的主要安全性威脅
- § 一次性密碼
- § 入侵預防系統
- § 大型企業或組織網路的一員,是否該開啟防火牆?
- § 不對稱密碼
- § 五項引人注目的新興安全性技術
- § 什麼是 Cookie?
- § 什麼是流氓軟體
- § 什麼是電腦病毒?
- § 分散式阻斷服務攻擊
- § 分散式阻斷服務攻擊 - 维基百科,自由的百科全书
- § 反間諜軟體
- § 反間諜軟體
- § 支付卡產業資料安全標準遵循規劃指南
- § 主動式攻擊Active Attacks
- § 功能: 安全性與網路
- § 可疑電子郵件處理守則
- § 本機電腦中加入Routing Table
- § 犯罪駭客行為、病毒及惡意活動簡介
- § 如何分辨出詐騙電子郵件?
- § 如何清除電腦病毒
- § 如何預防電腦病毒
- § 如何擺脫間諜軟體
- § 安全使用無線網絡的六大技巧
- § 安全性工具:常見問題集 (FAQ)
- § 安全淘汰電腦的方法
- § 有關 Windows Defender 的常見問題集
- § 何謂電腦病毒?
- § 別因網路詐騙受害
- § 更新防毒軟體降低中毒風險
- § 防火牆
- § 防火牆
- § 防火牆可以保護我的無線網路嗎?
- 防火牆--封鎖其他封包
- § 防毒軟體 - 掃描電腦病毒
- § 防範 IM 病毒
- § 防範電腦病毒
- § 使用 EFS 為硬碟加密保護資料
- § 兒童的線上安全
- § 兩個資訊安全最常見了詞彙
- § 垃圾郵件正拖累您的企業嗎?
- 服務集標識符(SSID)
- § 信賴平台模組 (TPM) 管理控制 TPM 命令封鎖
- § 保護自己防範電腦病毒及間諜軟體
- § 保護您的資料
- § 保護您的電腦: 防火牆、網際網路安全性 - Microsoft 資訊安全
- § 保護您的機密文件-進階的文件保護措施
- § 保護您的機密文件-簡單方法
- § 建立企業根憑證授權單位
- § 降低對網路安全性的擔憂
- § 家庭辦公室安全性檢查清單
- § 病毒、蠕蟲及特洛伊木馬程式簡介
- § 病毒徵兆: 電腦感染了病毒?
- § 停用 Cookie 的說明
- § 做好新電腦上網的準備
- § 偵測 Sniffers
- § 密碼天龍八不守則
- § 密碼學
- § 密碼檢查程式
- 將你 Win7 / Server 2008 R2 電腦上無線網卡變成AP (無線基地台)!!
- § 強式密碼: 如何建立並使用
- § 現在不做備份,將來後悔莫及
- § 移除病毒 - 移除垃圾軟體
- § 連接兩個網路的方法
- 連線到網路磁碟機每次都要輸入密碼?
- 連線對等保密(WEP)
- § 部署基本網域隔離原則
- § 備份基本原則
- § 備份您電腦的檔案
- § 惡意軟體移除工具
- 無線網路的SSID
- § 硬體防火牆,是否還應使用 Windows 防火牆?
- § 間諜軟體的特徵: 有人正在偷窺您?
- § 微軟安全評估工具 MSAT 4.0
- § 微軟資訊安全實戰訓練課程
- § 當好公司碰上壞事
- § 當好公司碰上壞事-War Driving
- § 當好公司碰上壞事-機密資訊
- § 資訊安全的CAIN原則及其相關技術
- § 資訊安全的四大防護重點項目:防毒、防駭、防災、防竊
- § 資訊安全的迷思
- § 資訊安全精選工具
- § 跨網站指令碼 XSS (Cross-site scripting) 攻擊
- § 跨網站指令碼 XSS (Cross-site scripting) 攻擊
- § 路由及遠端存取服務
- 路由器的NAT的原理及配置
- § 違反新版個資法,老闆、員工都受罰!
- § 電子簽名
- § 電腦安全性用語 - 反間諜軟體、病毒、防毒
- § 電腦蠕蟲的生命週期:從感染到清除
- § 零時差攻擊
- § 實作 RADIUS
- 實體(物理)地址過濾(MAC)
- § 對稱式密碼
- § 網址嫁接
- § 網路存取保護
- § 網路存取保護
- 網路位址翻譯(NAT)
- § 網路原則伺服器
- § 網路原則伺服器NPS
- § 網路常見的安全性威脅
- § 網路詐騙
- § 網路詐騙手法 - 利用MSE知名度仿製幾可亂真的惡意程式
- § 網路詐騙防範須知:若已回應詐騙電子郵件該怎麼辦
- § 網路層的護身符:IPSec
- § 網路竊聽器Sniffer原理簡介
- § 網際網路防火牆: 常見問題集
- § 網際網路驗證服務
- § 維護安全運算環境的十大秘訣
- § 認證表頭
- § 需要備份什麼
- § 數位認證的主要目的要確保公開金鑰包含在憑證中屬於已核發憑證的實體。
- § 機器規範
- § 應用程式相容 Vista 資安議題
- § 殭屍網路
- § 關於備份的建議
- § 讓立即訊息更安全的 10 大要訣
- § 讓您的員工認真看待資訊安全
· 其他
Security Fundamentals: Security Fundamentals: 2010/10/26整理目錄
數位認證的主要目的要確保公開金鑰包含在憑證中屬於已核發憑證的實體。
數位認證的主要目的是要確保公開金鑰包含在憑證中屬於已核發憑證的實體。
使用公用和私用金鑰的加密技術需要公開金鑰基礎結構 (PKI),以支援散發和公開金鑰識別。數位憑證封裝公用機碼演算法使用,擁有者或主旨資料、 數位簽章的已驗證主體的資料及期間憑證可以視為有效的日期範圍的憑證授權單位的相關資訊。
不具有憑證,它就可能建立新的金鑰組並散佈以公用金鑰所宣告它公用的金鑰,幾乎任何人。您可以傳送使用私密金鑰加密的資料和公用金鑰會用來解密該資料但是會資料已特別的是來自任何人都沒有保證]。接收者會知道的就是已使用有效的金鑰組。
mail - 數位認證的主要目的是要確保公開金鑰包含在憑證中屬於已核發憑證的實體。 - j945935@gmail.com
2011年6月28日 星期二
Windows Vista 企業版 Windows 7 BitLocker to Go 加密
Microsoft 在 Windows Vista 中導入「BitLocker 磁碟機加密」,以協助避免遺失、遭竊或未適當報廢之電腦上的機密資料遭受未經授權使用者存取的問題。Windows 7 除了進一步將 BitLocker 保護功能延伸到 USB 儲存裝置,更將原本的功能修改成更容易使用。
BitLocker To Go 將 BitLocker 資料保護功能延伸到 USB 儲存裝置,讓 IT 系統管理員可以透過複雜密碼來限制資料存取。IT 系統管理員除了可以控制複雜密碼的長度與複雜性之外,還可以設定原則以要求使用者必須先套用 BitLocker 保護功能至卸除式磁碟機才能寫入資料。BitLocker To Go 也可以讓使用者更安全地與未部署 Windows 7 的使用者共用資料。
網路竊聽器Sniffer原理簡介
大家平常用電腦時,在 LAN 裡面和同事或同學交換資料,以人類的想法是把資料由 A 送到 B,好了,現在我們來深入一點想,你的電腦是透過網路卡和 HUB 連接,當你用人類想法覺得是由 A 送資料到 B,其實你是將整個資料送到 HUB 裡面,而 HUB 其實是不知道所謂 B 機器是在那個 HUB 插座內的電腦(註),所以它就將訊號送給在 HUB 上面的所有機器,讓它們自己去判斷這資料是不是送給你。
Windows 對於檔案複製與搬移的 NTFS 權限變化
將檔案從一個目錄「搬移」到另一個目錄時 ( Ctrl + X , Ctrl + V )
在「搬移」檔案時,情況稍稍複雜一些,共有兩種狀況:
1. 在相同磁碟之間搬移檔案 ( 例如從 C:\DirA 複製到 C:\DirB )
- 這種情況下,檔案被搬移過去後,檔案的 NTFS 權限會被完整保留
- 這種相同磁碟搬移檔案的過程就好像在同一個目錄下將檔案「重新命名」一樣,而在作業系統中實際上也真的只是做重新命名的動作而已!
2. 在不同的磁碟之間搬移檔案( 例如從 C:\ 複製到 D:\ )
- 這種情況與「複製」檔案是一樣的,檔案必須先在目的磁碟建立新檔,然後再將來源檔案刪除!
- 換個角度想,如果你有一個 50GB 的大檔案,如果從 C:\DirA 目錄搬移到 C:\DirB 目錄,也許只要 1 秒的時間,但是若你將這個 50GB 的大檔案,從 C:\ 目錄搬移到 D:\ 目錄,可能會花上 10 分鐘之久。
網路層的護身符:IPSec
IP中加入安全性協定的最大好處在於確保所有網路通訊的安全。也就是說,即使位於IP層上層的應用程式或傳輸層沒有提供任何安全性的機制,由於IP層加入了安全機制,因此可保護整個網路通訊的內容。
IPSec主要可提供兩種功能:認證功能(Authentication)與保密功能(Confidentiality)。所謂認證,是指確認通訊雙方的身份,以及確保雙方之間傳輸的資料未受他人破壞或竄改。保密則是將通訊內容予以加密,防止網路上的第三者讀取通訊內容。
網路原則伺服器NPS
安裝 NPS 角色服務之後,即可部署下列技術:
- NAP 原則伺服器。當您設定 NPS 做為 NAP 原則伺服器時,NPS 會評估要在網路上相互通訊並支援 NAP 的用戶端電腦所傳送的健康狀態聲明 (SoH)。您可以在 NPS 中建立 NAP 原則,讓用戶端電腦更新其設定,使其符合組織的網路原則。
- IEEE 802.11 無線。使用 NPS Microsoft Management Console (MMC) 嵌入式管理單元,您可以為 IEEE 802.11 無線用戶端網路存取設定 802.1X 型連線要求原則。您也可以設定無線存取點做為 NPS 中的 RADIUS 用戶端,並使用 NPS 做為 RADIUS 伺服器以處理連線要求,以及為 802.11 無線連線執行驗證、授權和帳戶處理等作業。 當您部署無線 802.1X 驗證基礎結構時,可以將 IEEE 802.11 無線存取和 NAP 完全整合,如此就能在允許用戶端連線到網路之前,根據健康原則檢查無線用戶端的健康情況。
- IEEE 802.3 有線。使用 NPS MMC 嵌入式管理單元,您可以為 IEEE 802.3 有線用戶端乙太網路存取設定 802.1X 型連線要求原則。您也可以設定 802.1X 相容交換機做為 NPS 中的 RADIUS 用戶端,並使用 NPS 做為 RADIUS 伺服器以處理連線要求,以及為 802.3 乙太網路連線執行驗證、授權和帳戶處理等作業。當您部署有線 802.1X 驗證基礎結構時,可以將 IEEE 802.3 有線用戶端存取與 NAP 完全整合。
- RADIUS 伺服器。NPS 可為無線、驗證交換器及遠端存取撥號與 VPN 連線,以及連到終端機服務閘道 (TS 閘道) 電腦的連線,執行集中化的連線驗證、授權及帳戶處理作業。當您使用 NPS 做為 RADIUS 伺服器時,可以設定網路存取伺服器 (例如,無線存取點與 VPN 伺服器) 做為 NPS 中的 RADIUS 用戶端。您也可以設定 NPS 用來授權連線要求的網路原則。您可以設定 RADIUS 帳戶處理,讓 NPS 將帳戶處理資訊記錄到本機硬碟上或 Microsoft(R) SQL Server(TM) 資料庫中的記錄檔。
- RADIUS Proxy。使用 NPS 做為 RADIUS Proxy 時,您可以設定連線要求原則,告訴執行 NPS 的伺服器要將哪些連線要求轉送到其他 RADIUS 伺服器,以及要將連線要求轉送到哪些 RADIUS 伺服器。您也可以設定 NPS 轉送要由遠端 RADIUS 伺服器群組中一或多部電腦記錄的帳戶處理資料。
電子簽名
1) 什麼是電子簽名?
基於PKI(公鑰基礎設施)的電子簽名被稱作“數位簽名”。:
:
PKI的核心執行機構是電子認證服務提供者,即通稱為認證機構CA(Certificate Authority),PKI簽名的核心元素是由CA簽發的數字證書。
信賴平台模組 (TPM) 管理控制 TPM 命令封鎖
使用 TPM 管理封鎖及允許 TPM 命令
依序按一下 [開始]、[所有程式] 及 [附屬應用程式],然後按一下 [執行]。
在 [開啟] 方塊中,輸入 tpm.msc,然後按 ENTER 鍵。
如果出現 [使用者帳戶控制] 對話方塊,請確認顯示的動作為所需動作,然後按一下 [繼續]。
在主控台樹狀目錄中,按一下 [命令管理]。TPM 命令清單會隨即顯示。
從清單中選取要封鎖或允許的命令。
在 [動作] 下,視需要按一下 [封鎖選取的命令] 或 [允許選取的命令]。
功能: 安全性與網路
網路存取保護
網路存取保護 (NAP) 是建置在 Windows Vista 與 Windows Server 2008 作業系統中的原則強制平台,允許您強制遵循系統健全狀況需求,更有效的保護網路資產。
Windows 7 BitLocker 磁碟機加密設計指南
BitLocker 最低需求
若要使用 BitLocker 保護同時包含 Windows 作業系統的磁碟機,需要有下列項目:
- BitLocker 在硬碟以外的硬體裝置儲存其加密和解密金鑰,因此您的電腦必須具有信賴平台模組 (TPM,在許多電腦中支援進階安全性功能的特殊微晶片) 或卸除式 USB 記憶體裝置 (例如 USB 快閃磁碟機)。這些硬體裝置都可以用來儲存 BitLocker 金鑰。如果您的電腦具備 TPM 1.2 (含) 以上版本,BitLocker 會將其金鑰儲存在 TPM。如果您的電腦沒有 TPM 1.2 (含) 以上版本,BitLocker 會將其金鑰儲存在 USB 快閃磁碟機中。只有在系統管理員已經將 BitLocker 群組原則設定設為允許在 TPM 無法使用時使用啟動金鑰時,才能使用 USB 快閃磁碟機來儲存 BitLocker 金鑰。
- 電腦必須已經設定為具有另一個使用中的磁碟分割,以做為系統磁碟分割。此系統磁碟分割將包含啟動電腦所需的檔案。作業系統磁碟分割 (包含 Windows 7 或 Windows Server 2008 R2) 將會由 BitLocker 加密。此系統磁碟分割將保持未加密狀態,讓電腦可以啟動。如果您的電腦沒有另一個使用中的磁碟分割,BitLocker 會為您建立一個磁碟分割。系統磁碟分割和作業系統磁碟分割都必須是以 NTFS 檔案系統格式化。
2011年3月16日 星期三
維護安全運算環境的十大秘訣
請確定已有最新的更新 降低病毒風險 使用 Windows 安全性中心管理設定 將筆記型電腦的重要資訊加密 只由值得信賴的來源下載網際網路檔案 使用密碼加密來保護 Office 檔案 丟棄電腦時請清除硬碟 使用防火牆 絕不要從伺服器上網 明智處理密碼
垃圾郵件正拖累您的企業嗎?
掃除垃圾郵件的五大秘訣
就算是最成功的企業,擁有龐大的 IT 人力和預算,還是免不了垃圾郵件塞爆收件匣之苦。不論公司大小,其實都潛藏有垃圾郵件的問題。
只要一想到要浪費上班時間去刪除垃圾郵件,難免令人火氣上升。不過,採取些實際行動,就能減少你和員工的垃圾郵件量。以下五大秘訣或許無法讓垃圾郵件就此根絕,但確實可以減少員工花在垃圾郵件上的處理時間。…
6 項常見的 IT 安全性失誤及其治本之道
6 項常見的 IT 安全性失誤及其治本之道
作者: Samuel Greengard
談到管理 IT 的安全性,成功與失敗之間的差別,往往會牽涉到組織對於解決威脅的積極程度。
許多公司將訓練視為竭力避免,或覺得在任何時點將人員從其工作中拉出來是有損生產力的。
Joseph Feiman,
Gartner 的研究副總裁
Gartner摘要:
•安全性是第一優先,並編列單獨預算。
•開發原則、程序和計劃,以回應安全性事件與管理每天的活動。
•使用測試方法以確保您的安全性環境已經提供最完善的保護。
…
五項引人注目的新興安全性技術
五項引人注目的新興安全性技術
作者: Samuel Greengard
在考量您的下一個安全性投資時,請留意下列這些新興技術:USB 權杖、內建的生物識別技術、自我感知Web 應用程式、硬碟加密、內建的行動裝置保護。
摘要:
USB 權杖解決了日漸龐大的「雙重要素」驗證需求。
生物識別技術已經在筆記型電腦和行動裝置上找到它的安棲之所。
硬碟自我加密的提供效率化的資料保護。
…
6 項常見的 IT 安全性失誤及其治本之道
6 項常見的 IT 安全性失誤及其治本之道
作者: Samuel Greengard
談到管理 IT 的安全性,成功與失敗之間的差別,往往會牽涉到組織對於解決威脅的積極程度。
許多公司將訓練視為竭力避免,或覺得在任何時點將人員從其工作中拉出來是有損生產力的。
…
當好公司碰上壞事-機密資訊
James 為一間頗富盛名的廣告公司工作。他的電腦發生問題,因此請來了公司的技術支援人員。工程師很快就來了,以管理員密碼登入網路,並修復了問題。為了趕去下一個工作,工程師完成後就匆匆離開了,可是並沒有登出系統。出於好奇,James 決定到處看看。他很快就找到了記錄所有同事薪資的試算表,而且悄悄記下來,決定下次要求更高的加薪幅度。
當好公司碰上壞事-War Driving
所謂的 War driver 是新一代的犯罪駭客 (War driving 是指帶著無線裝置到處尋找可連線的無線網路)。只要擁有一臺筆記型電腦、一張不貴的無線網路卡,配合免費下載的軟體和鐵罐做成的天線,誰都可以在數十公尺外入侵家用及商用無線網路。
當好公司碰上壞事
電子郵件偽裝與身份盜用
以他人之名寄發郵件稱為電子郵件偽裝,這是個行之有年的手法。在大部份情況下,電子郵件偽裝只是用來讓收件者認為郵件來源正常,而開啟一些垃圾郵件而已。也許很煩人,但並不會造成什麼損失。上面的例子中提及的另一種稱為網路詐騙 (phishing) 的電子郵件偽裝,則比較具危險性。一般來說,攻擊者會寄出類似官方來源寄發的電子郵件 (例如 eBay 或是 Microsoft)。電子郵件裡的連結也會連往看似真正網站的網站。但是這個網站只是個幌子,詐騙的目標就是要引誘您透露私人訊息。這些訊息有時會做成垃圾郵件清單,有的則是為了竊取帳戶資料,甚至盜用他人身份。
使用 EFS 為硬碟加密保護資料
有一種解決方案有助於降低資料被竊的可能,那就是使用「加密檔案系統 (EFS)」為機密檔案加密增加您資料的安全性。加密就是應用數學演算法,讓資料在缺乏所需的金鑰時無法讀取。EFS 是 Microsoft 的技術,它讓您為電腦資料加密,並且控制誰可以加密或修復這些資料。檔案加密後即使攻擊者能存取電腦資料的儲存實體,也無法讀取使用者的資料。若要使用 EFS,全部的使用者必須擁有「加密檔案系統」憑證,允許擁有者使用 EFS 為資料加密和解密的數位文件。EFS 使用者也必須擁有 NTFS 權限,才可以修改檔案。
在 EFS 中有兩種憑證起作用:
•加密檔案系統憑證。這種憑證允許使用者使用 EFS 為資料加密和解密,它經常被簡稱為 EFS 憑證。一般的 EFS 使用者取得這種憑證。這種憑證的 [增強式金鑰使用方法] 欄位 (可在 Microsoft 管理主控台的憑證嵌入式管理單元中見到) 內容是「加密檔案系統」(1.3.6.1.4.1.311.10.3.4)。
•檔案修復憑證。這種憑證允許持證者在網域或其他範圍中修復任何人加密的檔案。只有被稱為資料修復代理的網域管理員或非常信任的指定人員,才會取得這種憑證。這種憑證的 [增強金鑰使用方法] 欄位 (可在 Microsoft管理主控台的憑證嵌入式管理單元中見到) 內容是「檔案修復」(1.3.6.1.4.1.311.10.3.4.1)。這種經常被稱為 EFS DRA 憑證。
A-如何建立有效的密碼
保護公司資料和個人隱私
工作場所電腦使用者指南
無論是保護重要的公司資料,或是不想讓他人看到私人電子郵件,密碼都很有用。但並非任何密碼都有用,例如許多人常用生日、身份字號及電話號碼,很容易就被有心人士識破。但只要多花點時間建立強式密碼,並遵守幾個簡單的密碼維護規則,密碼就能夠發揮保護功用。
保護您的機密文件-進階的文件保護措施
1. 將文件檔案加密
加密技術可在企業電腦被竊取時保護文件,對出差時需要攜帶筆記型電腦及其他可攜式電腦的人來說,這是很可靠的作法。 加密技術可使資料無法閱讀,除非使用者的電腦上裝有必備的「金鑰」。Windows XP Professional 內含檔案加密系統 (EFS),可讓您將個別檔案及資料夾內全部的資料加密。 如果您採用 ESF,則只有將文件檔案加密的使用者可以開啟及編寫該檔案。 不過,內建的資料復原支援功能,可讓您在員工離職或遺失加密金鑰時解開被加密的資料。
雖然加密技術聽起來很技術性,但您並不需要聘請顧問教授如何使用該技術。 EFS 的預設組態設定讓使用者可以輕鬆地加密資料,並建立所需的一切金鑰。 請參閱下面的連結「使用 EFS 加密硬碟來保護資料」,以學習使用 EFS。
2. 指派檔案權限
如果您的企業已使用伺服器,您可以藉由指派權限來限制有權檢閱及更改文件的人。 權限基本上會依據使用者所下的決定來允許或拒絕存取文件 (或任何電腦資源)。存取權限可套用在個人及使用者群組上。 一般權限允許使用者檢閱或「讀取」資料夾中某個檔案或全部檔案,並允許其更改或「寫入」檔案夾中某個檔案或全部檔案。 Windows Small Businesses Server 2003 及其他 Windows 伺服器系統可讓您利用「存取控制清單」設定權限。
3. 使用資訊版權管理
您如果需要與 Microsoft Office Professional 2003 版的 Word、Excel、PowerPoint 與 Outlook 直接整合在一起的文件保護系統,可以考慮使用由 Microsoft 所開發的資訊版權管理 (IRM) 技術。藉由 IRM,您可以將檔案權限設為不同等級,並更改特定使用者及使用者群組的等級。 您也可以•
限制檔案列印功能,以減少文件紙本的份數•
限制開啟檔案的時間•
避免未經許可的收件人開啟轉寄的檔案
IRM 也可讓您控制電子郵件及附件,甚至在寄出後也能控制。 它可以防止他人複製、轉寄或列印電子郵件訊息。
您公司的伺服器若要使用 IRM,則必須採用 Windows Server 2003。
對大多數的工作來說,多加注意與具備常識都是保護機密文件的重要方法。 不過,公司若會因報告、報表及其他機密文件曝光所造成的損失越大,您就越會願意投資文件保護解決方案。 在這數位化的時代,這可不是表示在檔案櫃上加上另一道鎖。
保護您的機密文件-簡單方法
保護文件的簡單方法
利用這些簡單的實務操作與隨手可得的科技工具,便可妥善保護文件:1. 銷毀影印資料。 如果您將機密文件列印出來以便在會議中傳閱,請在會後收回並將它丟進碎紙機,或要求與會者這麼做。
2. 標示文件。 員工有時並未注意該文件包含機密資訊,並因此未採取若是知情即會採取的保護措施。 要求撰寫者在頁首或頁尾將文件標示為「機密」。 或者也可以在文件上加上機密浮水印。 在 Word 2003 裡,從 [格式] 功能表中選取 [背景],然後選取 [列印浮水印]。 在對話方塊中選取 [文字浮水印] 並由下拉式清單中選取 [公司機密]。
3. 使用密碼保護。 您可藉由要求開啟該文件的人輸入您所建立的密碼,以便限制能查閱文件的人。 使用 Microsoft Office 2003 建立的文件、試算表及簡報,都可以使用這種功能。 開啟該檔案,從 [工具] 功能表中選取 [選項],然後按一下 [安全性] 索引標籤。 您可以針對開啟與修改文件設定密碼。 雖然駭客可以利用工具尋找密碼,但設定密碼通常還是會使檢閱文件更為困難。
4. 安裝防火牆。 安裝防火牆有許多充分的理由,保護重要文件無疑是其中一個。 防火牆可以阻止網際網路入侵者存取電腦檔案及閱讀資訊。 Windows XP Professional 內含可簡便設定的軟體防火牆。
5. 把門鎖上。 為了避免有人走進您的辦公室並把您的電腦帶走 (包括存在硬碟上的文件),請勿讓放置電腦的地方鬧空城,並記得在下班時將辦公室大門鎖上。 如果公司有伺服器,請將它放在永遠上鎖的特殊位置。
A-應優先解決的安全問題
應優先解決的安全問題:
1. 阻礙入侵者:
•安裝防火牆
•安裝及更新病毒保護
•強化無線網路
•將執行 Windows 98 的四台電腦以具備 SP2 的 Windows XP Professional 電腦取代
•確保所有的電腦都設定為自動更新
•教育使用者和解釋原則
2. 竊盜防範:
•保護筆記型電腦
•清點存貨及在資產上做記號
•將伺服器移到一個安全而可上鎖的隔間內
•實體保護桌上型與筆記型電腦的安全
…
讓您的員工認真看待資訊安全
1. 言談間要提及資訊安全
發佈與資訊安全相關的備忘錄或公佈您的資訊安全原則,都是很好的作法。 不過,如果能跟您的員工公開談論資訊安全,也是很好的作法。 舉例來說,在開完會之後,可以跟每個人確認,看看他們是否使用 Microsoft Update 服務,安裝防止軟體攻擊所需的 Windows 或 Office 更新。 如此顯示出,電腦資訊安全對您的重要性。而且在新進員工使用電腦之前,也要跟他們談談資訊安全的問題。 在您發給新員工登入電腦的密碼之前,要先跟他們討論過資訊安全。
2. 建立可接受的使用原則
可接受的使用原則,是一份讓員工知道自己能用公司電腦設備做及不能做的事情之文件。 用書面文字來表達您的期望。 其中可包括您對於密碼建立、變更密碼頻率,以及開啟來自不明寄件者的電子郵件附件的原則。 也可以包括禁止在他們電腦上安裝未經授權的軟體。 此份文件可以表明違反此原則的處罰方式 (處罰方式可以是終止使用權),而且應該要經過所有員工簽署同意。 您身為企業老闆或經理,也應該要在此份原則文件上簽名。如果您的文件很長且很詳盡,您可以製作一份一頁的摘要,分發給員工,讓他們貼在靠近自己工作站之處,以幫助自己記住。
3. 跟員工討論處理機密資料的方式
除了制訂可接受使用原則外,也可以考慮製作講義,說明如何處理機密資訊。 這份原則應該涵蓋哪種電子郵件或文件是公司允許員工轉寄給公司外的人員、如何處理受著作權保護的資料、如何分享客戶資料,以及可分享的客戶資料類型。 對於嘗試存取自己無權瀏覽或編輯的檔案的員工,這份原則也可包含對這類員工的警告,還有包含哪種電子郵件是員工應該儲存或刪除的。 再次強調,讓這份原則在您的員工間流通,要求他們閱讀並且在其中一份簽名。4. 為您的企業找一位資訊安全專家
在您的企業裡,指派某人做為您的「資訊安全專家」,並且讓所有人知道,這個人隨時都能夠回應和解答他們的任何資訊安全問題。 如果您的企業有 IT 人員,那麼很可能您的資訊安全專家就可以出自這群人當中。 不過,如果是您或是有位通曉科技的員工負責管理您的電腦系統的話,你們其中一位就可以作為資訊安全專家。 如果可以的話,請您的資訊安全專家定期跟其他在工作站的員工,進行資訊安全檢查。
關於備份的建議
這裡還有一些建議,讓您在備份時使用:
•遵守時間表,不要鬆懈。 不要忘記,您安全的資料內容,只會維持在您上一次備份的程度。 如果您的硬碟當掉,而您已經有一個月沒有備份資料的話,您就失去了您這一個月的工作資料。 這就是為什麼定期備份資料如此重要的原因。 您可以每天晚上把您的檔案備份到您的硬碟或網路伺服器。 備份工具讓您能選擇備份頻率和時間。
•異地儲存。 儘管每天晚上把資料備份到您的網路或磁帶機是個很好的作法,但是您也需要設定排程,把您的檔案儲存到 CD、DVD 或卸除式儲存裝置上,以便送往其他地點儲存。 為了決定備份資料的頻率,您只要問問自己,您企業有多少資料是萬萬不能失去的?
•練習還原資料。 如果您永遠不需要用到備份檔,那是最好的情形,但是您也會很樂意知道,還原您的資料,並不會比備份資料還要麻煩。 如果您使用的是 Windows Small Business Server 2003,從還原整個伺服器到還原單一檔案,都有流程可以依循。 Windows 備份功能也能讓您使用備份檔案來還原您的檔案。 不過,您應該在您需要用到備份程序之前,先行測試一下。 不要使用跟您的網路連線的電腦來練習,而且該電腦最好只安裝了作業系統。 如果您在既有的網路裡練習備份的話,您很有可能在無意間把舊資料覆寫到新檔案上,或者因此未能發現潛在的問題。
現在不做備份,將來後悔莫及
擔心的是您企業所建立的任何資料。 其中包含:
•資料庫,其中包括客戶連絡人資料、訂購紀錄,以及庫存資訊
•財務軟體資料檔案,包括試算表
•文件,包括重要的通訊資料、備忘錄、工作成果,以及任何跟您企業計畫相關的資料
•電子郵件,尤其是包含客戶提出的問題以及連絡人資料等重要資料的訊息
•網站檔案,除非您的網站是由第三方業者所託管
•任何若遺失會造成麻煩的資料
MBSA
檢查您的電腦是否有危險
Microsoft Baseline Security Analyzer (MBSA) 是可以免費下載使用的工具,能夠掃描單機電腦或網路檢查安全性漏洞。您可以使用 MBSA 輕易找出 Windows 2000、Windows XP 及 Windows Server 2003 系統缺乏哪些安全性更新。MBSA 與家用應用程式 (如 Microsoft Office) 及伺服器應用程式 (如 Microsoft Exchange) 相容。 掃描完成後,MBSA 會告訴您如何取得並安裝所需的更新。
網路常見的安全性威脅
- 偽裝:偽裝分為好幾種。IP 偽裝的意思是建立看似來自另一個 IP 位址的封包。這種手法主要用於單向的攻擊 (例如 DoS 攻擊)。如果封包看來像是從內部網路的電腦傳來的,就可能通過防火牆對外來封包的管制。IP 偽裝的攻擊難以偵測,需要監看及分析資料封包的技術和方法。電子郵件偽裝是假造電子郵件,讓寄件人地址與實際寄件人不同。例如,2003 年下半年網路流傳偽裝成 Microsoft 電子郵件地址所寄出的一系列郵件,內容是虛構的官方安全性更新通知。
- 竄改:竄改包括修改網路上流通的封包內容,或是侵入網路後修改電腦硬碟裡的內容。例如攻擊者可以盜連您的網路線,攔截您所送出的封包,接著便可竊聽或是修改您所送出的資料。
- 否認:否認指的是使用者執行某些動作後,否認做過這些行為,而其他人卻無法證明他在說謊。舉例來說,除非有可供證明的機制 (例如稽核記錄等等),否則使用者可以刪除檔案後辯稱並未這麼做,而沒有人能證明。
- 資訊洩露:資訊洩露指的是把資訊洩露給平常不能取得該資訊的人。
- 拒絕服務:拒絕服務 (DoS) 攻擊是利用電腦針對網路服務 (網頁伺服器或檔案伺服器) 所做的攻擊,目的是讓伺服器過載或終止服務。例如,攻擊者可以讓伺服器忙於回應,而忽略正常使用者的連線要求。2003 年間,曾有人對 Yahoo 和 Microsoft 等網路上的大型企業展開大規模的 DoS 攻擊,想要妨礙伺服器的機能。
- 提升權限:提升權限是惡意使用者誤導系統以取得未授權的權限的過程,最終目的通常是入侵或破壞系統。例如,攻擊者可能先用訪客帳號登入網路,然後利用軟體的弱點把訪客權限改為系統管理員的權限。
犯罪駭客行為、病毒及惡意活動簡介
- 病毒就是會自我複製,並可能進行破壞的程式,它們經常隱藏在看似無害的其他程式裡。電子郵件裡的病毒常會偽裝成小遊戲或是圖片,並利用誘人的標題 (如「我的女友裸照」) 引誘使用者開啟並執行程式。病毒會嘗試感染電腦上的其他程式,達到自我複製的目的。
- 蠕蟲與病毒類似,都會自我複製,但是蠕蟲通常會透過散發電子郵件達到這個目的,而不僅是感染單一電腦上的程式。
- 特洛伊木馬則是偽裝為普通應用程式的有害程式。雖然這些程式不像病毒和蠕蟲會自我複製,但還是有能力造成不小的傷害。很多時候病毒和蠕蟲甚至是經由特洛伊木馬偷渡進來的。
- 垃圾郵件或來路不明的廣告郵件往往造成頻寬和時間的浪費,光是其龐大的數量就不容忽視,有時還會夾帶病毒。許多垃圾郵件都是色情郵件,如果公司不採取相應手段阻止,不但會造成工作環境壓力,還可能造成法律上的責任。
- 網路詐騙電子郵件,例如謊報病毒警告、連鎖信件或假的贈獎活動等等,都只會浪費讀者的時間。網路詐騙郵件也常帶有病毒或是特洛伊木馬程式。
Users need to know
Users need to know about information security issues that affect their work, their home, themselves,
and their families. They need to understand the threats and risks as well as the methods they can
personally use to defend against those threats.
•Malware
Defending against Viruses and Trojan Horse Software
•Spyware
Anti-spyware techniques and understanding End User Agreement language’s role
•Scams
Recognizing Scam messages, social engineering attacks, and spam
•Safe Internet and Email Usage
Protecting the workplace and family from unwelcome or unsafe content
•Account Security
Strong Password practices and using appropriate account privilege levels
•Information Theft / Identity Theft
Shredding confidential documents, protecting personal and private information from theft
•Physical Security
How to protect data on mobile devices and why premise security is important
•Regulations, Policies, and Trust
What regulations affect information security and why security policies exist
Information security involves the preservation of
Confidentiality: Ensuring information is disclosed to, and reviewed exclusively by intended recipients / authorized individuals
Integrity: Ensuring the accuracy and completeness of information and processing methods
Availability: Ensuring that information and associated assets are accessible, whenever necessary, by authorized individuals
資訊安全精選工具
- 利用 Microsoft Assessment and Planning (MAP) Toolkit 評估電腦安全性
您可以使用這個免費工具組,就桌上型和膝上型電腦易遭病毒和惡意程式碼侵害的弱點來評估整個 IT 環境,判斷您的電腦是否可以安裝 Forefront Client Security。- Microsoft Baseline Security Analyzer (MBSA)
使用 MBSA 偵測一般常犯的安全性設定錯誤和電腦系統所遺漏的安全性更新,以改善您的安全性管理流程。- 惡意軟體移除工具
檢查您的電腦是否有感染特定、常見的惡意軟體,並協助將找到的惡意軟體移除。- Microsoft Security Assessment Tool
取得協助以便評估您的組織目前 IT 安全性環境的弱點。此工具會列出一份問題優先順序的清單,並會提供有助於將安全性風險降至最低的特定指引。- Microsoft Update
在單一位置尋找 Windows Update 與 Office Update 提供的更新,並且選擇自動傳輸和安裝高優先順序的更新。- Windows Server Update Services
管理網路內各電腦部署最新 Microsoft 產品更新的流程。
Microsoft 資訊安全學習捷徑
依類別瀏覽
規劃始於瞭解您的重要資產,並且透過風險評估程序辨識它們所面對的風險與弱點,然後建立企業安全性政策以管理風險。
政策必須落實在解決方案與作業程序中,而這項工作必須在預防階段執行
偵測的內容涵蓋管理與監視在預防階段所建置的解決方案和作業程式所需的工具、技術和最佳實務做法。
回應階段涵蓋為攔阻違反安全性的行為所預先規劃的行動方案。
Microsoft ISA Server:整合性頂尖安全性閘道產品
ISA Server:安全應用程式發行
安全地發行您的內容以供遠端存取
企業需要提供員工與合作夥伴安全妥善地從任何遠端的 PC 與裝置存取應用程式、文件與資料。
以 ISA Server 2006 作為安全應用程式發行可讓您更佳的控制內部網路資源,並透過讓遠端使用者存取它們而提供更大的產能。ISA Server 2006 以可設定狀況的封裝檢查、應用程式層的篩選和完善的發行工具來保護您公司的應用程式、服務和所有網路層的資料。
ISA Server:分公司閘道
連接與保護您的分公司
企業需要將遠端的分公司連至總公司、從分公司提供增強安全性的網際網路存取、並且更有效率地運用有限的頻寬。
若以 ISA Server 2006 作為您的分公司閘道,您將可藉由 Web 快取和頻寬管理,一個最佳化的防火牆和篩選引擎以及完善的存取控制,透過統一的防火牆和 VPN 架構來簡化您的管理與使用者經驗。
ISA Server:Web 存取保護
協助您的環境對抗外部和內部的 Web 型態威脅
企業需要透過可掃描與封鎖有害內容、檔案和網站的完善工具,去除惡意程式碼和攻擊者所造成的損害效果。
ISA Server 2006 可透過其混合的 proxy 防火牆架構、細微性原則、深入的內容檢查、完善的警示和監視能力,協助提供 Web 存取保護。
ISA Server:分公司閘道
連接與保護您的分公司
企業需要將遠端的分公司連至總公司、從分公司提供增強安全性的網際網路存取、並且更有效率地運用有限的頻寬。
若以 ISA Server 2006 作為您的分公司閘道,您將可藉由 Web 快取和頻寬管理,一個最佳化的防火牆和篩選引擎以及完善的存取控制,透過統一的防火牆和 VPN 架構來簡化您的管理與使用者經驗。
ISA Server:安全應用程式發行
安全地發行您的內容以供遠端存取
企業需要提供員工與合作夥伴安全妥善地從任何遠端的 PC 與裝置存取應用程式、文件與資料。
以 ISA Server 2006 作為安全應用程式發行可讓您更佳的控制內部網路資源,並透過讓遠端使用者存取它們而提供更大的產能。ISA Server 2006 以可設定狀況的封裝檢查、應用程式層的篩選和完善的發行工具來保護您公司的應用程式、服務和所有網路層的資料。
Microsoft ISA Server:整合性頂尖安全性閘道產品
Microsoft ISA Server:整合性頂尖安全性閘道產品
Internet Security and Acceleration (ISA) Server 2006 是協助保護您的 IT 環境不受網際網路型態的威脅的整合性頂尖安全性閘道,可透過隨時隨地安全地存取 Microsoft 應用程式和資料,讓您的使用者更具產能。
WEP 與 WPA 概觀
有線等位私密 (WEP) 經定義為美國電機電子工程師學會 (IEEE) 1999 802.11 的無線網路標準之一,可提供相當於有線系統的保護等級。基本 (或靜態) WEP 為基於預先共用金鑰的無線傳輸,提供加密及存取控制功能。WEP 有多項已廣為周知的弱點,只要攻擊者不斷嘗試,即可破解此項 802.11 的原生安全性控制功能。
為解決 WEP 的問題,WLAN 產業推出了更強健的安全性解決方案:WPA。WPA 透過以標準為基礎、可互通的安全性規格,提高 WLAN 系統的資料保護與存取控制等級。WPA 的第一版是 802.11i 標準的早期子集,預期未來仍具有相容性。目前預期 802.11i 將發佈為 WPA 2.0 版。
在發佈時,許多組織仍然部署了許多不支援 WPA 的 WLAN 硬體。這個解決方案能支援這個硬體以及較新的 WPA 相容設備,這一點很重要。雖然 WPA 提供的安全性等級高於動態 WEP,但是在所有硬體能升級以支援 WPA 之前,後者仍然是可用的解決方案。
EAP 類型的優缺點-802.1X 設計無線區域網路安全性
表 6.1:EAP 類型的優缺點
功能
PEAP
EAP–TLS
EAP-MD5
相互驗證
相互驗證。
相互驗證。
僅限於用戶端驗證。
動態金鑰產生與排定的重新產生。
驗證期間產生與定期重新產生。
驗證期間產生與定期重新產生。
不產生或重新產生動態金鑰:依賴靜態金鑰。
安全性技術層
可以使用增強式密碼驗證或數位憑證。
最強的驗證。
較弱的安全性技術。
使用者認證保護
受傳輸層安全性 (TLS) 通道保護。
受傳輸層安全性 (TLS) 通道保護的憑證型驗證。
易受字典攻擊。
易於實作
在 Windows 用戶端原本就有提供,並受到廣泛支援。
需要「公開金鑰基礎結構 (PKI)」。在 Windows 用戶端原本就有提供,並受到廣泛支援。
簡單,但不建議於無線網路中使用。
認證彈性
任何通過核准且具有 TLS 通道的 EAP,包括 EAP – MSCHAPv2 (密碼型方法)。
僅限於數位憑證。
僅限於密碼。
支付卡產業資料安全標準遵循規劃指南
什麼是支付卡產業資料安全標準?
支付卡產業 (PCI) 資料安全標準 (DSS) 是一套周延的規定,其設計旨在確保無論在什麼時間、位置收集、處理、傳送與儲存持卡人信用卡與簽帳卡資訊時,這些資訊皆能安全無虞。 PCI 安全標準協會創始會員 (包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 以及 Visa International) 所開發的 PCI DSS 立意在於促進國際採用一致的資料安全性措施。
PCI DSS 規定是針對日常業務中需處理持卡人資料的公司與組織提出。 PCI DSS 特別為日常需要處理持卡人資料的金融機構、商家和服務供應商設定相關規定。 PCI DSS 是由一系列適用於安全性管理、原則、程序、網路架構、軟體設計和其他保護持卡人資料的措施之規定所組成。
2006 年 9 月發行的 PCI DSS 1.1 版是最新版的標準。 它已編排為一組六項原則和十二條附加規定。 每項規定包含細項規定,您必須實作程序、原則或技術解決方案以符合其規定。 PCI DSS 原則與規定包括:
建置與維護安全的網路
規定 1:安裝並維護防火牆設定以保護持卡人資料。
規定 2:勿使用廠商提供的預設系統密碼和其他安全參數。
保護持卡人資料
規定 3:保護儲存的持卡人資料。
規定 4:加密於開放式公用網路上進行的持卡人資料傳輸。
維護弱點管理計畫
規定 5:使用並定期更新防毒軟體。
規定 6:開發並維護安全的系統和應用程式。
實作增強式存取控制措施
規定 7:將持卡人資料存取限制為業務須知。
規定 8:為每個具有電腦存取權限的人員指派唯一的 ID。
規定 9:限制持卡人資料的實體存取。
定期監視和測試網路
規定 10:追蹤和監視所有網路資源和持卡人資料的存取。
規定 11:定期測試安全性系統和程序。
維護資訊安全性原則
規定 12:維護處理資訊安全性的原則。
路由及遠端存取服務
路由及遠端存取服務
適用於: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista
Windows Server® 2008 R2 及 Windows Server® 2008 中的路由及遠端存取服務 (RRAS),藉由虛擬私人網路 (VPN) 或撥號連線,支援遠端使用者或站台對站台的連線能力。RRAS 包含下列元件:
- 遠端存取。藉由使用 RRAS,即可以部署 VPN 連線,讓使用者可以從遠端存取組織的網路。您也可以建立位於不同地點的兩部伺服器之間的站台對站台 VPN 連線。
- 路由。RRAS 是全功能的軟體路由器,也是具有路由和網路功能的開放式平台。它提供區域網路 (LAN) 與廣域網路 (WAN) 環境中的企業路由服務,或使用安全的 VPN 連線透過網際網路提供企業的路由服務。路由可用於多重通訊協定 LAN 對 LAN、LAN 對 WAN、VPN 以及網路位址轉譯 (NAT) 路由服務。
網路原則伺服器
網路原則伺服器
適用於: Windows Server 2008
Windows Server® 2008 中的網路原則伺服器 (NPS) 可讓您針對用戶端健康情況、連線要求驗證以及連線要求授權,建立和強制執行整個組織的網路存取原則。此外,您可以使用 NPS 做為 RADIUS Proxy,將連線要求轉送到 NPS 或其他設定的遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。NPS 也包含在您的網路上部署網路存取保護 (NAP) 的主要元件,而且這些元件可以部署為 NAP 健康情況原則伺服器。
網際網路驗證服務
網際網路驗證服務
適用於: Windows Server 2008
在 Windows Server 2003 系列中,網際網路驗證服務 (IAS) 是遠端驗證撥入使用者服務 (RADIUS) 伺服器與 Proxy 的 Microsoft 實作。
在 Windows Server® 2008 中,IAS 由網路原則伺服器 (NPS) 取代。
網路原則伺服器 (NPS) 可讓您針對用戶端健康情況、連線要求驗證以及連線要求授權,建立和強制執行整個組織的網路存取原則。此外,您可以使用 NPS 做為 RADIUS Proxy,將連線要求轉送到 NPS 或其他設定的遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。
網路存取保護
網路存取保護 (NAP) 是 Windows Vista 與 Windows Server 2008 中包含的新技術,其中包含用戶端元件和伺服器元件,可讓您建立和強制健康狀態需求原則,此原則定義連線到網路的電腦所需的軟體與系統設定。藉由檢查和評定用戶端電腦的健康狀態、限制用戶端電腦認為不相容時的網路存取、以及修復不相容的用戶端電腦以進行無限制的網路存取,NAP 可強制健康狀態需求。NAP 會在嘗試連線到網路的用戶端電腦強制健康狀態需求。當相容的用戶端電腦連線到網路時,NAP 也可提供進行中的健康狀態相容強制。
NAP 強制發生於用戶端電腦嘗試透過網路存取伺服器 (例如執行 [路由及遠端存取] 的虛擬私人網路 (VPN)) 伺服器存取網路時,或用戶端嘗試與其他網路資源通訊時。強制 NAP 的方式依您選擇的強制方法而定。NAP 強制下列各項的健康狀態需求:
- 受到網際網路通訊協定安全性 (IPsec) 保護的通訊
- 電子電機工程師協會 (IEEE) 802.1X 驗證的連線
- VPN 連線
- 動態主機設定通訊協定 (DHCP) 設定
- 終端機服務閘道 (TS 閘道) 連線
2011年3月15日 星期二
安全使用無線網絡的六大技巧
安全使用無線網絡的六大技巧
以下幾點可以讓您保護好自己的無線網絡:
1) 保證妳的無線路由器或者接入點管理連接安全
幾乎所有路由器和接入點需要壹個管理員密碼登陸進入設備然後修改任何配置。大多數設備使用安全性很低的密碼比如單詞"password"或者生產廠家的名稱,甚至有的根本沒有預設密碼。壹旦妳設置壹個新的無線路由器或接入點,比起其他事情妳最需要做的第壹步應該改變預設密碼。妳可能不需要經常使用這個密碼,所以壹定要把它寫在壹個安全的地方,這樣如果有需要的話可以方便的找到,如果丟了密碼,進入路由器或者接入點的唯壹方法就是重啟恢復到出廠默認設置,這將會重置所有妳修改過的設置。
2) 不要廣播妳的SSID
大多數局域網接入點和路由器自動並持續地廣播網絡的名稱或者SSID號。這使得建立無線客戶極其方便因為妳可以找到壹個局域網,而無須知道它叫什麽,但是這也會使妳的無線局域網在覆蓋範圍內的任何無線系統中被看到。關掉妳的網絡的SSID廣播就可以使妳的鄰居或者路人看不到妳的網絡。(盡管仍然會被無限局域網探測裝置找到)…
Vista 防火牆與 IPSec 整合
Vista 作業系統中,防火牆功能也升級。除了第一次做到防火牆與 IPSec 整合外,Nanika 表示,防火牆也從原本的單向變成雙向,更因為可以用 wf.msc 來設定連出去的狀態,讓內建防火牆具有類似商用防火牆的功能設定。
應用程式相容 Vista 資安議題
Vista 推出以來,只要應用軟體曾經配合 Windows XP SP2 的開發準則,都可以輕易相容 Vista,甚至不用重新改寫。臺灣微軟大型企業業務暨經銷事業群專案技術經理簡志偉進一步指出,有很多原本在 Windows XP 核心層 C:// 的根目錄,在 Vista 都被限制存取權限,只需要將程式執行目錄指向 C://temp,或者是透過自動導向的方式,就可以讓應用程式自動相容於 Vista。
SQL Injection 攻擊行為的解決方案
SQL Injection (資料隱碼) 攻擊行為的解決方案
一旦 web 伺服器遭到 SQL 注入攻擊,請遵循如下步驟:
項目 | 程度 | 執行內容 |
1 | 必要 | 開啟 Network Monitor 側錄受攻擊之網段,並保留相關資料 |
2 | 緊急 | 保存遭修改之資料庫與網站資料以便於後續追蹤分析 |
3 | 必要 | 檢查 IIS 日誌,找出引起這次攻擊的有漏洞的目標網頁 |
4 | 緊急 | 聯繫業務系統開發人員,修改並加強程式碼以符合安全規範,防堵後續攻擊 |
http://www.microsoft.com/taiwan/technet/columns/profwin/75-SQLInjection.mspx
SQL Injection
SQL Injection (資料隱碼) 攻擊行為簡介
以下是此類攻擊的流程
1.駭客運用搜尋引擎尋找網頁上的漏洞,並運用自動化工具攻擊網路服務器。
2.一個 <script ...> 字串附加到在後端運行的 SQL 伺服器中所有的文本或可變長字串列中。
3.這個腳本與駭客所控制伺服器連接。該伺服器含有一些常用軟體的利用代碼,如 Microsoft MS06-014, 協力廠商軟體漏洞,(例如 Real Player、Global Link Lianzong 聯眾世界、PPStorm Baofeng 暴風影音、Thunder Xunlei 迅雷、Baidu Bar 百度)。有的時候還有一些 0day 漏洞,比如 10 天前公佈的 GlobalLink Lianzong 0day。
4.當終端使用者試圖用 IE 流覽正常的網站時,由於這些網頁都將從 SQL 伺服器獲取資料,這些資料同時包含了惡意腳本 <script ...>。而這些腳本會自動連接到駭客的網站。
5.如果普通使用者沒有依照建議安裝修正程式,防毒軟體,或尚未安裝 Microsoft 或協力廠商軟體最新版本的更新,那麼他們的電腦就會被感染。
對稱式密碼
對稱式密碼
對稱式密碼需要發送端和接收端共用加解密的金鑰資訊,但這共用金鑰的簡單行為,卻會讓對稱式密碼的安全風險大於不對稱密碼,因為共用金鑰就表示很多人都能知道這把金鑰的細節。而且若通訊中的發送端和接收端相隔著實體距離時,要如何安全的在這兩端交換金鑰,就變得困難,因為相隔的實體距離,會增加兩端在交換金鑰時,為攔截或竊取金鑰而被入侵或攻擊的機會。因此,因為對稱式密碼只使用一把金鑰,因此攻擊者就比較容易分辨出兩端所使用的金鑰。
共用同一把金鑰其實也並非完全沒有優點,例如因為只用了一把金鑰,因此運算的速度會比不對稱密碼快,則是對稱式密碼的優點。
session key
連線金鑰
建立連線金鑰可以兼具對稱式密碼和不對稱密碼的優點。連線金鑰(session key)會使用定期更換、更新的金鑰對,而且當發送端和接收端通訊之際,就會建立雙方的連線(session)。連線金鑰的作法,是以對稱式密碼來傳送訊息(這是佔通訊最大的部分),可以更快的速度完成這部份的傳輸。為了維持通訊的安全,就以不對稱密碼來傳送或更新對稱式密碼所共用的金鑰。在通訊的時候,資料的加解密是由連線金鑰對完成,而當通訊終止時,連線金鑰對也隨之終止;連線金鑰也因為是在發送端和接收端的連線期間被建立、使用。
PGP
PGP(Pretty Good Privacy,PGP)是一種用在電子郵件的加密技術,Paul Zimmerman除了發展了PGP的技術,同時也公開了PGP的原始程式碼和文件,任何人皆能取得PGP的原始資料。PGP非常成功,因為這項技術提供了標準化的電子郵件加密方法。
Kerberos
Kerberos是一種廣為使用的認證服務,這是由麻省理工學院(MIT)所發展的加密技術,目的是提供中央控管(通常是透過伺服器)的認證服務,讓伺服器和使用者能夠互相認證。這樣的認證對分散式環境非常有用,因此藉由Kerberos這類的服務,使用者可以從不同的地方登入網路,進而使用網路服務。
digital signature
數位簽章(digital signature)是以特定使用者的私密金鑰所加密的資料,這可以用來確認訊息的發送者是否真如宣稱的相同,也就是說,訊息的接受者可以利用數位簽章來確認以傳送者公開金鑰所發送的訊息,因為如果訊息內的資料有任何的更改,數位簽章就會失效,接收者就能因此得知此訊息也屬無效。第三方的憑證管理機構(Certificate Authority,CA)通常能管理、使用數位憑證,而且會將私密金鑰包入公開金鑰,以保證安全通訊所用的數位簽章是有效的。
PKI
公開金鑰基礎建設(Public Key Infrastructure,PKI)是非常重要的基礎技術,因為認證和數位憑證都需要這項基礎技術。PKI會產生建立機密通訊的金鑰對,為此,PKI使用數位憑證來強制達到兩項要求:首先,只有數位憑證的擁有者能夠處理符合公開金鑰認證的私密金鑰;其次,攔截到數位憑證的未經授權使用者,也無法以此憑證找到私密金鑰。PKI是以使用公開金鑰和私密金鑰的不對稱密碼為基礎,諸如Windows 2000/2003等伺服器作業系統,都已經內建了PKI的功能。
密碼學
密碼學:保全資料的技術
密碼學(cryptography)是一門將資訊加密和解密的科學,目的是不輕易的讓資訊內容被未經授權的人瞭解或修改。密碼學可以應用在認證、不可否認、隱私、訊息完整、數位簽章。密碼(cipher)是密碼學的關鍵,好的密碼應該符合兩項規範:首先,不使用金鑰應該難以將密文還原成明文;其次,密文所顯示的字母符號,出現的頻率應該相同。若能符合這兩項規範,就不容易利用統計攻擊的方式找出密文的密碼對映模式。
不對稱密碼
不對稱密碼
不對稱密碼使用了兩把不同的金鑰:公開金鑰與私密金鑰,這兩把金鑰也稱為金鑰對(key pair),其中一把用來加密,另一把用來解密。公開金鑰(public key)顧名思義是公開給大家使用,而私密金鑰(private key)就只有擁有者能用,而且是由擁有者自行管理。
當傳送端要傳訊息給接收端,傳送端會以接收端的公開金鑰來加密訊息(接收端的公開金鑰是眾人皆能使用),然後將密文傳給接收端。接收端收到後,就以其的私密金鑰來解密訊息;只有接收端擁有這把私密金鑰,因此也只有接收端能解密訊息。如果換成是接收端要傳訊息給傳送端,整個情況也跟著反過來。
收發兩端隨時都能更換並重新公佈他們的公開金鑰給眾人,而且也能隨時更換私密金鑰。經常更換私密金鑰可以提高安全性,因為這會讓攻擊者難以發現私密金鑰;而公開金鑰可以被任意的散播,完全不會因此而危及安全,因為多方的安全通訊只需要交換公開金鑰。但是不對稱密碼要擔心公開金鑰的使用者認證;此外,因為使用了兩把金鑰,因此不對稱密碼的處理時間較長
Windows 防火牆如何運作?
答.
Windows 防火牆可監視已啟用防火牆之連線中的所有網路流量。 防火牆會追蹤所有源自您電腦的通訊,防止來路不明的流量進入您的電腦。
必要時,防火牆會動態開啟連接埠,讓電腦接收您特別要求的流量,例如您已點選位址的網頁等。
「連接埠」是一個網路詞彙,意指某個類型的網路流量進入您電腦的點。 您所開啟的實際連接埠取決於所要傳送和接收的流量類型。
如果您沒有要求傳入流量,Windows 防火牆會在其到達您電腦前加以封鎖。 針對特殊用途,例如:網路連線、代管線上遊戲或主控自己的網頁伺服器等用途,您可以選擇要保持開啟的連接埠。 這麼做可允許他人和您的電腦建立連線,但同時也會降低安全性。
大型企業或組織網路的一員,是否該開啟防火牆?
我的電腦屬於大型企業、學校或組織網路的一員,我是否應該開啟防火牆?
答.
您應該遵守您企業、學校或組織網路的網路系統管理員所建立的規則。
在某些情況下,網路系統管理員可能會設定網路上的所有電腦,因此當您的電腦連線到該網路時,無法開啟防火牆。 Windows 資訊安全中心或 [網路連線內容] 對話方塊中可開啟防火牆的核取方塊無法使用。 在這些情況下,您應詢問網路系統管理員,以瞭解您的電腦是否需要防火牆。
硬體防火牆,是否還應使用 Windows 防火牆?
問.我的電腦已擁有硬體防火牆的保護,是否還應該使用 Windows 防火牆?
答.
是的。 家用網路中所有電腦都應該開啟 Windows 防火牆。 如此一來,即使其中一台電腦感染病毒或蠕蟲,亦可防止病毒或蠕蟲擴散至網路上的其他電腦。 網路中的電腦也可能經由另一個網際網路連線 (例如:在家用網路和公用網路中使用的膝上型電腦) 受到感染。 或者,病毒可能透過電子郵件,或是由光碟安裝的軟體,進入您網路中的電腦。
防火牆可以保護我的無線網路嗎?
答.
防火牆可以協助保護無線網路上的電腦,但不會限制對網路本身的存取。 您應使用 Wi-Fi 保護的存取 (WPA) 或有線等位私密 (WEP) 將無線網路設定為使用網路金鑰。
Windows 防火牆無法防範哪些問題?
答.
Windows Vista 和 Windows XP 的 Windows 防火牆無法防範透過電子郵件散播的病毒 (例如特洛伊木馬程式),這種病毒會偽裝成有用或良性的軟體,誘使您開啟或下載。
請使用防毒軟體來防範病毒。 防火牆無法防範垃圾郵件或快顯廣告。
防火牆不會阻止針對不安全的無線網路所進行的存取動作。 但是,防火牆可保護您網路上的電腦,即使入侵者取得您網路的存取權,亦無法存取您的個人電腦。
Windows 防火牆可防範哪些問題?
答.
Windows 防火牆是主要的防禦措施,用來防範各種在網路上傳輸的電腦蠕蟲。 電腦蠕蟲和病毒很類似,差別在於蠕蟲可自行運作,無需其他程式協助也能進行散播。 Windows 防火牆可隱藏您的電腦,使外部使用者看不見,並防止建立未授權連線,進而保護您的電腦。
Windows 防火牆如何運作?
答.
Windows 防火牆可監視已啟用防火牆之連線中的所有網路流量。 防火牆會追蹤所有源自您電腦的通訊,防止來路不明的流量進入您的電腦。
必要時,防火牆會動態開啟連接埠,讓電腦接收您特別要求的流量,例如您已點選位址的網頁等。
「連接埠」是一個網路詞彙,意指某個類型的網路流量進入您電腦的點。 您所開啟的實際連接埠取決於所要傳送和接收的流量類型。
如果您沒有要求傳入流量,Windows 防火牆會在其到達您電腦前加以封鎖。 針對特殊用途,例如:網路連線、代管線上遊戲或主控自己的網頁伺服器等用途,您可以選擇要保持開啟的連接埠。 這麼做可允許他人和您的電腦建立連線,但同時也會降低安全性。
防範電腦病毒
沒有人能保證您的電腦百分之百安全。
您可以使用防火牆、讓系統保持在最新狀態、持續訂閱最新的防毒軟體,並遵循最佳作法,即可持續提升電腦的安全性,並降低感染病毒的機會。
秘訣: 因為沒有任何安全措施可以保證絕對安全,所以在您遇到病毒或其他問題之前,務必定期備份重要檔案。
防範病毒的步驟:
1.使用網際網路防火牆 (注意: Windows XP SP2 已內建防火牆,並預設為啟用)。
2.請造訪 Microsoft Update 並開啟自動更新。
注意: 如果您已經安裝 Office 2003 或 Office XP,「自動更新」也會更新您的 Office 程式。 如果您使用舊版的 Office,請使用 Office Update。
3.訂閱產業標準級防毒軟體,例如 Windows Live OneCare,並隨時將其保持在最新狀態。
4.絕不開啟陌生人寄來的電子郵件附件。
5.除非您確切瞭解附件內容,否則應避免開啟認識的人寄來的電子郵件附件。 寄件者可能不知道附件夾帶病毒。
移除病毒 - 移除垃圾軟體
移除病毒的步驟:
1.請造訪 Microsoft Update,並安裝最新的更新。
2.如果您目前正使用防毒軟體,請造訪防毒軟體製造商的網站,進行更新,並將電腦徹底掃描一遍。 如果您並未使用防毒軟體,請立即訂購防毒服務並掃描電腦。
3.下載、安裝並執行惡意軟體移除工具 。 請注意,本工具無法防止病毒感染您的系統,只能移除現有的病毒。
什麼是電腦病毒?
什麼是電腦病毒?
發佈日期: 2006 年 10 月 23 日
電腦病毒是故意設計來在電腦之間散佈並干擾電腦作業的小型軟體程式。
病毒可能會毀壞或刪除電腦上的資料,利用您的電子郵件程式自行散佈到其他電腦,或者甚至會刪除您硬碟上的所有資料。
病毒可以很容易地透過電子郵件或立即訊息中的附件散佈。 這就是為什麼除非您認識寄件者,並且是您預期收到的附件,否則請勿開啟電子郵件附件。
病毒可能會偽裝成有趣的圖片、賀卡或音訊與視訊檔案等附件形式。
防範 IM 病毒
防範立即訊息病毒的 5 個步驟
不過您只要採取基本預防措施就能自我防範,就跟處理大部分的網際網路威脅一樣。 如果您知道如何避免電子郵件病毒,就代表您已知道下列的許多步驟。
1.小心 IM 中的連結和檔案。 絕對不要按下陌生人用 IM 傳來的連結,也不要開啟、接受或下載陌生人用 IM 傳送來的檔案。 如果連結或檔案是陌生人透過 IM 傳來的,除非您知道那個連結或檔案是什麼,而且您也等著接收這些內容,否則請勿按下連結或開啟檔案。 請利用電子郵件、電話或其他方式連絡傳送者,確定他們傳送的不是病毒。
2.更新您的 Windows 軟體。 請造訪 Microsoft Update 以掃描您的電腦,並安裝所有提供給您的高優先順序更新。 如果您啟用了自動更新功能,更新會在發行時傳送給您,但您必須記得安裝。 如需詳細資訊,請造訪保護您的電腦網站。
3.確定您使用的是最新版的 IM 軟體。 使用最新版本的 IM 軟體,更能夠保護電腦不受病毒與間諜軟體的危害。 如果您使用的是 MSN Messenger,請升級到 Windows Live Messenger,如此可封鎖可能包含惡意程式碼的附件,並且讓您掃描附件發現病毒是否存在。 如需更多資訊,請參閱 Windows Live Messenger 概觀。
4.使用防毒軟體,並保持更新。 防毒軟體能偵測和移除電腦上的 IM 病毒,但防毒軟體一定要保持在最新狀態才行。 如果您已向防毒軟體公司購買訂閱服務,防毒軟體在您連線到網際網路時即可自行更新。
5.使用反間諜功能軟體,並保持更新。 部分 IM 病毒可能會在電腦上安裝間諜軟體或是其他垃圾軟體。 反間諜功能軟體能保護電腦不受間諜軟體的危害,且能移除可能已經存在的間諜軟體。 如果還沒有反間諜功能軟體,則可以下載 Windows Defender。 Windows Defender 隨附於 Windows Vista。 若您使用的是 Windows XP SP2,則可免費下載 Windows Defender。
讓立即訊息更安全的 10 大要訣
1建立畫面名稱時要小心。 每個 IM 程式均會要求您建立類似於電子郵件地址的顯示名稱。 畫面名稱切勿提供或暗示個人資訊。 例如,請使用 SoccerFan 而非 BaltimoreJenny 之類的別名。
2.對不想要的立即訊息建立一道屏障。 請勿在公共區域 (如大型網際網路目錄或線上社群設定檔) 列出您的畫面名稱或電子郵件地址,也不要將這些資料告訴陌生人。
當您註冊時,某些 IM 服務會將您的畫面名稱與電子郵件地址相互連結。 如果別人很容易取得您的電子郵件地址,會導致您收到大量的垃圾郵件,還會遭到網路詐騙攻擊。
3.切勿在 IM 對話中提供個人機密資訊,例如信用卡號碼或密碼。
4.只與連絡人或好友清單中的人通訊。
5.如果您決定與透過 IM 通訊認識的陌生人見面,請採取適當的安全預防措施。 例如,請不要單獨和陌生人見面 (請朋友或家人陪伴前往),以及選在公共場所 (如咖啡廳) 見面。
6.絕對不要開啟不明人士所傳送訊息中的圖片、下載其中的檔案或按下其中的連結。 如果訊息確實來自您熟悉的寄件者,請與寄件者確認此訊息 (及其附件) 的可信度。 如果不可信,請關閉立即訊息。
7.請不要在工作時傳送個人或私密立即訊息。 您的雇主可能有權檢視這些訊息。
8.如果使用公用電腦,請不要選擇可允許自動登入的功能。 在您之後使用電腦的人,可能會看到並盜用您的畫面名稱來登入。
9.監視並限制兒童使用 IM。 其中一個方法就是註冊 Windows Live 家長監護。 如果您用的是 Windows Vista,就有內建的家長監護功能。
如需更多資訊,請參閱 Windows Vista 如何協助您保護孩子的線上安全 (英文)。
10.在您無法接收訊息時,請注意將此資訊顯示給他人的方式。 例如,您可能不想讓連絡人清單中的每個人都知道您「外出用餐」。
保護自己防範電腦病毒及間諜軟體
保持軟體安全功能的最新狀態•
自動更新 Windows。 如果您使用的是 Windows Vista、Windows XP、Windows 2000 Service Pack (SP3) 或更新版本或 Windows Millenium Edition (Me),「自動更新」會自動將更新程式傳送到您的電腦,這是讓您在新安全性和其他高優先順序的更新發行之後盡快取得該更新程式最簡單且最可靠的方法。 若要啟用自動更新,請造訪 Microsoft Update。
定期下載最新的反間諜軟體以及防毒更新程式,然後立刻掃描您的電腦。 為此,請先訂閱程式更新服務。 這類程式多半能夠設定成積極 (甚至是自動) 監視並協助防堵間諜軟體及病毒入侵。
增進電腦整體的安全性
鞏固保護根基。 使用防火牆,利用最新的安全性更新隨時更新作業系統,並且採用防毒和反間諜軟體程式。
將防毒軟體設定為在開啟所有收到的檔案及電子郵件附件之前,先掃描一遍。 每種防毒程式的設定不同,請參閱使用手冊或是線上說明,以尋求指示。
使用垃圾郵件篩選功能。 許多電子郵件程式均提供篩選功能,有助於封鎖有害的訊息。 Microsoft Outlook 本身具有強大的防禦措施,可對抗垃圾電子郵件,不過您還是可以增強您的防禦措施。
安裝並執行程式,有助於偵測與移除間諜軟體。 某些網際網路服務提供者 (ISP) 會在服務中提供反間諜軟體。 如果您的 ISP 沒有提供,請考慮使用 Windows Defender。
兒童的線上安全
美國小兒科協會 (AAP) 與 Microsoft 合作致力於保護兒童的線上安全
Microsoft 資訊安全與小兒科醫師合作,一起制訂準則,保護孩子免於網際網路威脅,例如線上獵食者、駭客、間諜軟體、病毒和身分盜用。
停用 Cookie 的說明
停用 Cookie 可能會使某些 Web 服務無法正確運作,並且停用 Cookie 並不會使您匿名,或是防止網站追蹤您的瀏覽習慣。HTTP 要求還是會包含有關您從何而來的資訊 (HTTP 參照頁)、IP 位址、瀏覽器版本、作業系統及其他資訊。
Cookie 的主要目的
Cookie 的主要目的之一,就是為提供您可以節省時間的便利功能。Cookie 的用途在於,告知網頁伺服器,您已經返回特定的網頁。 例如,如果您將網頁個人化,或是註冊產品或服務,Cookie 有助於網頁伺服器恢復您的特定資訊。這對簡化記錄您個人資訊 (例如,帳單寄送地址、送貨地址等等) 的程序,會很有幫助。當您造訪相同網站時,就會擷取您先前所提供的資訊,如此,可以輕易地使用以前選擇的網站功能。例如:
- 如果您先前在網站上購買商品時,曾經輸入過結帳與送貨資訊,就可以使用密碼,以便在訂單上自動輸入您的資訊,而不需要再次輸入這些資訊。
- Cookie 也可以將您先前所選取一或多個感興趣的領域,在您每次造訪網站時顯示出來。 例如,如果您只想要檢視某些新聞類型,可以在與新聞有關的網站上,選取要檢視的新聞主題類型。
Cookie 的建立
Cookie 可以由「超文字標記語言」(HTML) 網頁中的用戶端指令碼 (例如,使用 Microsoft Visual Basic Scripting Edition 或 JScript 所編寫的指令碼)、使用 Microsoft Win32 Internet 函式 (InternetSetCookie 和 InternetGetCookie) 的 Win32 程式,或伺服器端指令碼 (例如,Active Server Pages [ASP] 網頁) 中 Visual Basic Scripting Edition 所編寫的指令碼,或是「通用閘道介面」(CGI) 指令碼) 加以建立。
什麼是 Cookie?
什麼是 Cookie?
發佈日期: 2007 年 2 月 26 日
Cookie 是當您第一次造訪網站時,網站放到您電腦硬碟中的小檔案。
把 Cookie 想成是您個人特有的識別卡。 它的工作是於您再次造訪時負責通知網站。 Cookie 不應和病毒混為一談。 雖然有可能會因 Cookie 中存放個人資料而導致不當使用 Cookie,但是 Cookie 本身是沒有惡意的。
許多網站包括 Microsoft 的網站都會使用 Cookie。 Cookie 會告訴我們您造訪網頁的頻率,協助我們瞭解您對哪些資訊感興趣。 如此一來,我們就能提供更多您感興趣的內容,同時減少您沒興趣的項目。
Cookie 有助於提高效率。 您是否曾在線上商店將某些物品放到虛擬購物車上,而過幾天之後回來發現那些物品還在車上? 這就是 Cookie 運作的例子。
Cookie 可讓您存放喜好設定和使用者名稱,註冊產品及服務,以及將網頁個人化。
但是如果您不曾在網站上註冊或是留下個人資訊,那麼伺服器只曉得某個使用您的 Cookie 的人曾回來造訪網站。 但是網站無法得知其他資訊。
由您決定我們是否可以瞭解您的任何相關資訊。
保護您的電腦: 防火牆、網際網路安全性 - Microsoft 資訊安全
反間諜軟體
反間諜軟體能防止間諜程式及其他垃圾軟體所導致的快顯視窗、效能低落和安全性威脅。 若要隨時得知最新的間諜軟體形態,則必須持續更新反間諜軟體。
會在電腦上顯示快顯廣告、收集並轉送個人資訊,或未事先取得您的同意而變更電腦設定的軟體就稱為間諜軟體。
許多垃圾軟體 (例如間諜軟體) 的設計本意就是要讓使用者難以移除。 如果您嘗試使用和其他程式一樣的方式解除安裝此軟體,則重新開機後這個程式可能又會出現。
Windows Defender 乃設計用於保護您的電腦免受間諜軟體的威脅。 Windows Defender 還具備即時保護功能,其監視系統可在偵測到間諜軟體時提供建議處理動作,並能將工作中斷的情況降至最低。
防毒軟體 - 掃描電腦病毒
防毒軟體是一種電腦程式,可偵測、阻擋或採取行動,以移除惡意軟體程式 (例如病毒和蠕蟲),或消除其傷害力。 您可以使用防毒軟體,協助保護電腦不受病毒的危害。
電腦病毒是故意設計來干擾電腦作業、紀錄、毀壞或刪除資料,或散佈到其他電腦與網際網路上流竄的軟體程式。
若要阻擋最新的病毒,您必須定期更新防毒軟體。 大部分的防毒軟體都可以設定成自動更新。
Microsoft 作業系統更新
作業系統更新包含的新軟體可協助您的電腦保持在最新狀態。
更新的範例包括 Service Pack、版本升級、安全性更新、驅動程式,或其他類型的更新。
重要與高優先順序更新對於電腦的安全性和可靠性而言很重要。 它們提供最新的保護以抵抗惡意線上活動。
您必須更新所有程式,包括 Windows、Internet Explorer、Microsoft Office 以及其他程式等等。 請造訪 Microsoft Update 以掃描電腦並檢視更新清單,然後決定是否要下載與安裝更新。
注意: Microsoft 會在每個月的第二個星期二提供安全性更新。
反間諜軟體
反間諜軟體的重要性為何?
間諜軟體是對於未經您同意與控制而擅自執行特定工作 (例如:收集個人資訊或變更電腦設定) 之軟體的通稱。 間諜軟體會大幅降低電腦速度、對重要設定進行有害變更,並且很難移除。
反間諜軟體可以偵測並移除已知的間諜軟體程式,藉此保護您的電腦不受間諜軟體及其他潛在有害軟體的危害。 您可以將它排定在您方便的時間進行電腦掃描。
家庭辦公室安全性檢查清單
更新您的軟體。 要盡可能地保護家庭辦公電腦或網路的安全,就必須定期進行軟體更新。 您可透過 Microsoft Update 下載 Windows 以及 Microsoft Office 程式的重大安全性軟體更新,以更新 Microsoft Word、Microsoft Excel 和 Microsoft PowerPoint 等。 如需詳細資訊,請參閱使用 Microsoft Update 讓您的電腦保有最新的程式。
•
使用網際網路防火牆。 網際網路防火牆有助於阻擋駭客、病毒和蠕蟲,遏止其透過網際網路進入您的家庭辦公電腦或網路。 如果您使用 Windows XP Service Pack 2 (SP2),便已擁有預設啟用的防火牆。 如果您未使用 Windows XP,可自行下載試用版的防火牆軟體,或者透過我們的下載和測試版 (英文) 頁面購買。 如需更多資訊,請參閱網際網路防火牆: 常見問題集。