http://72.14.235.104/search?q=cache:AER-5QgQRFoJ:tnrc.ncku.edu.tw/course/93/930520-2.pdf+windows+update%E7%B6%B2%E5%9D%80&hl=zh-TW&ct=clnk&cd=2&gl=tw&lr=lang_zh-TW
以系統內建或freeware或全校授權為主
同一安全邊界無須使用兩種以上相同的防護措施
防毒軟體:officescan client
系統漏洞修補:Auto update
PC防火牆:XP內建防火牆,ZoneAlarm
連線監視軟體:Active port
弱點評估工具:Microsoft Baseline Security
Analyize
Page 3
個人防毒軟體 OfficeScan Client
Client Server 架構,連至Server安裝並於Server上註冊
。
只提供防毒功能(含即時,手動及mail掃瞄),不提供防火
牆功能
。
Server有新病毒碼時,主動通知Client更新
。
Client開機時,也會至Server核對是否有新病毒碼更新
。
虛擬IP或是浮動IP使用行動模式
。
手動更新也可連至趨勢公司更新
。
使用防火牆時須開啟ICMP echo/request ,方可自動更新病
毒碼
。
安裝時需以Administrator或該群組登入,並以IE4.0以上版
本,連至http://140.116.6.10/officescan/clientinstall
解安裝出現問題時,可下載ofcntcln.exe執行即可
。
Page 4
OfficeScan一般模式之圖示
Page 5
OfficeScan之行動模式
非使用固定IP及長時間斷線者。
雖Server已設定行動模式Client可自動更新,但最好還是
Client端固定時間執行[立即更新] 。
行動模式圖示:
Page 6
漏洞修補
可直接執行開始Windows Update(Windows 2000)或開始程式集
Windows Update(Windows XP) 。
Windows Update也可設定讓PC自動下載及安裝(Auto Update)
Windows Update網址:
http://v4.windowsupdate.microsoft.com/zhtw/default.asp
Office Update網址:
http://office.microsoft.com/officeupdate/default.aspx
某些patch有其request,也就是須先安裝某些Patch或Services
pack 。某些patch是分離項目,也就是安裝此Patch後必須重開機
再安裝其他Patch 。故詳閱其列表說明(點選[掃瞄更新檔項目]
後) 。
Windows Update主要是針對其作業系統之修正及改進,故不侷限
在安全性修正,所以主要針對[重大更新及Service Pack]項目。
Page 7
Windows Update
Page 8
Auto Update 設定
當有新的Patch時會自動
下載,但須設定其安裝
模式。
Windows 2000於 設定
控制台自動更新。
Windows XP於 開始控
制台系統自動更新。
儘可能設定為[自動下載
更新,並在我指定的排
程安裝它們] 。
Page 9
OfficeScan 之立即更新
Page 10
個人防火牆
定義:管制網路上之範圍或Service 對於主機之存取
使用XP之內建防火牆
使用系統內建之TCP/IP篩選(2000/XP)
使用防毒軟體之防火牆功能
使用主機型防火牆軟體(ZoneAlarm)
Page 11
使用系統之TCP/IP篩選
開始/設定/控制台/網路和撥號連線/{連線名稱} 選TCP/IP 內
容/進階/選項 之TCP/IP篩選
Page 12
使用系統之TCP/IP篩選
TCP/UDP port : 參考
\WINNT\System32\service\drivers\etc\services
IP Protocol :
ICMP 1
Internet Control Message Protocol
IGMP 2
Internet Group Management Protocol
GGP
3
Gateway-to –Gateway Protocol
IP
4
IP in IP encapsulation
TCP
6
Transmission Control Protocol
EGP
8
Exterior Gateway Protocol
IGP
9
Interior Gateway Protocol
UDP
17
User Datagram Protocol
Page 13
使用XP系統之網路連線防火牆
開始/設定/控制台/網
路連線/{連線名稱}/內
容/進階
勾選[以限制或防止…]
Page 14
使用XP系統之網路連線防火牆
上一畫面按下[設定],
出現此畫面
在服務內勾選所開放的
服務
安裝需要連入之軟體時,
會將該軟體加至列表,
如此例加上
OfficeScanNT l成芟及
Page 15
個人防火牆軟體ZoneAlarm
Page 16
個人防火牆軟體ZoneAlarm
個人防火牆軟體ZoneAlarm版本屬Freeware,可阻擋非
法的入侵攻擊,還可控制自己電腦內那些軟體可以使
用網路連線,以杜絕駭客利用病毒入侵你的電腦。
原廠網址:
http://www.zonelabs.com/store/content/home.jsp
將所連線之IP設在事先以Zone(區域)定義之信任區
(Trusted)及不信任區(Internet),分別施以不同之
管制等級,並可動態改變區域設定。
Page 17
ZoneAlarm安裝
省略其中部份畫面說明
當出現User Information視窗時,鍵入一些基本資料,並
勾選“I want to register so I can download updates”及
“Inform me about important updates and news”
在 Review Alert Setting畫面,出現“What kind of
blocked traffic do you want to be alerted to ?” 提
示,選擇“Alert me whenever ZoneAlarm blocks traffic”
在 Secure Programs畫面,出現“Do you want ZoneAlarm
to preconfigure access permission?”,選取“Yes”
在eBay FRAUD PREVENTION畫面,出現“Would you like
ZoneAlarm to prevention your eBay password from
being sent to unauthorized sites?”,選取“No thank
you, not at this time”
Page 18
ZoneAlarm firewall/Main設定
Internet Zone之[High]表示您的電腦完全隱藏,也不允許sharing,
[Mid]為可見您的電腦,但sharing還是不允許,[Low]為關閉firewall
Trusted Zone之[High]為您的電腦完全隱藏,也不允許sharing,而
[Med]為可見您的電腦,而且允許sharing,[Low]為關閉firewall
建議Internet Zone設為[High], Trusted設為[Med],將需要分享你
資源之電腦之IP加在Trusted內
Page 19
ZoneAlarm firewall/Zones設定
Page 20
ZoneAlarm Program control/Main
[High]:只有 Pro版本方可設定。
[Med]:當程式需至Internet 存取時,會詢問您。
[Low]:學習模式,程式需至Internet 存取時,不會詢問
Page 21
ZoneAlarm
Program control/Programs
Access中之勾選為允許這軟體程式向外存取,問號表需提示
Server表示是否允許此程式將此PC當成Server端
Page 22
ZoneAlarm之Logs
可在 Log畫中選
擇將該來源改設
為Trusted, 以改
變管制等級
Page 23
Alert 設定及顯示
當ZoneAlarm針
對連入之阻檔動
作,所產生之提
原畫面
Page 24
程式連外之提示
其中之Yes表示允許連外,
而No則不允許
其中之Remember this
answer the next time to
use this Program表示將來
此程式之處理比照此次之處
理,也就是此選項勾選時,
並選擇Yes,表示將來此程
式執行要連外時,不需再詢
問,直接連接
Page 25
Active Ports
Active Ports爲SmartLine出品,為免費軟體,用來監
視電腦所有打開的TCP/IP/UDP埠,
可以將所有的埠顯示出來,還顯示所對應的程式所在
的路徑,本地IP和遠端IP。
提供了一個關閉埠的功能,在發覺此埠或其程式有問
題時。
WindowsNT/2000/XP平臺下。
下載網址
http://www.smartline.ru/software/aports.zip
Page 26
Active Ports
Page 27
Baseline Security Analyzer
Baseline Security Analyzer (MBSA) 掃瞄本機及網域中其他的
電腦,看是不是有安裝所有的 Hotfix 及其他程式的修正程式
執行掃瞄之平台為Windows2000/XP ,Windows Server 2003,及需
要 Internet Explorer 5.01 以上 ,未使用此版本以上者,必須
下載安裝XML剖析器 。
可掃瞄Windows NT 4.0, Windows 2000, Windows XP, Internet
Information Server (IIS) 4.0/5.0, SQL Server 7.0/2000,
Internet Explorer (IE) 5.01 以上, 以及 Office 2000/XP。
其他如密碼安全性查核、分享資料夾等等對安全性造成影響的行
為,檢查並做出建議。
下載網址為:
http://www.microsoft.com/technet/security/mbsahome.mspx
描描別部主機,須有該主機之Administrator權限,故一般應用在
掃瞄本機。
沒有留言:
張貼留言