保护远程客户端和便携式计算机
本页内容
 | 引言 |
| 开始之前 |
| Service Pack 和即时修复程序 |
| 病毒和蠕虫 |
| 广告软件和间谍软件 |
| 恢复点 |
| 个人防火墙 |
| 保护您的文件 |
| 强密码 |
| 无线网络的安全性 |
| VPN 连接 |
| 相关信息 |
引言
本文档将向您介绍一些安全功能,这些功能可以保护运行 Microsoft® Windows® XP Professional 操作系统的移动计算机和远程计算机的安全。
计算机用户可从世界各地的许多场所连接到 Internet,如酒店和私人住宅。既可通过传统的网线连接,也可通过无线网络进行连接。在许多机场、咖啡馆,甚至是整个城市的各个角落,用户都能享受到无线网络所提供的联网服务。移动计算机用户可连接到 Internet,浏览不太友好的网站,然后通过虚拟专用网 (VPN) 连接到其组织的网络。恶意代码(包括病毒、蠕虫和特洛伊木马)所带来的潜在风险是非常现实的威胁。不仅便携式计算机处于危险之中,而且任何已被感染或者存在安全隐患的计算机都可能成为感染源,这将对小型企业网络上的其他计算机构成威胁。
因此,必须采取预防措施,以减少远程计算机和便携式计算机所带来的风险。其中某些预防措施(即安全功能)与您在工作站上所应当或想要启用的安全功能是相同的。移动用户要应对更复杂的威胁。便携式计算机也面临着数据丢失、损坏和被盗等非常实际的威胁。
本文档提供有关安全功能方面的信息,小型企业使用这些安全功能可减少其移动计算机用户和远程计算机用户所面临的安全风险。本文档还包含了相关文档的链接,这些文档提供保护计算机安全的详细说明。
本文档的目的
本文档旨在让您熟悉相关的工具和功能,以保护您的远程客户端和便携式计算机。学习完本文档后,您将能自己验证这些工具和功能所提供的安全级别。
开始之前
在应用本文档所提供的任何建议前,您应该先查看以下信息。
所需凭据
在本文档中,经常要求使用特权帐户来执行任务。该帐户必须是工作站上本地 Administrators 组的成员。只有工作站上具有此权限级别的帐户才能向其他帐户授予本地 Administrators 组的成员资格。权限不足的帐户将会收到“拒绝访问”的消息。
Windows Live OneCare
Windows Live OneCare 能够提供保护客户端计算机免受网络攻击的安全功能。这些功能在控制面板中都有特定的组件。Windows 安全中心合并了其中多项功能,但是仍要依赖第三方软件。
Windows OneCare 运行状况检测器可清晰、持续地指示计算机的安全保护和性能方面的整体水平。如果 Windows OneCare 检测出可改善计算机运行状况之处,该服务就会自动提示您应采取什么措施,并且只需单击一键即可解决问题。
Windows OneCare Antivirus、Window OneCare Firewall、Windows OneCare Backup 和 Windows OneCare Tune-up 都始终开启,并时刻处于监视状态。这些服务都自动配置为自行更新,这可确保计算机远离最新威胁。Microsoft 建议安装 Windows Live OneCare,并使用它将一系列工具合并到单一控制台或用户接口中。
除了 Windows Live OneCare 外再使用 Defender,可以为维护计算机的正常运行和安全提供丰富的工具。
有关详细信息,请访问 Windows Live OneCare 网站(英文),网址为:www.windowsonecare.com/。
安全状况
不能只依靠单一安全功能来保护移动计算机和远程计算机免受攻击。即使多层次的安全体系也存在着安全漏洞,只能提供一定程度的安全保护。便携式计算机尤其容易遭受信息被窃和数据丢失的威胁。本文中涉及的安全功能可向所有使用 Windows XP Professional 的计算机提供额外的保护,此外,还有其他安全措施,如果有人为了利用您的便携式计算机中所存储的信息而盗取您的计算机时,这些措施将会保护您文件的安全。
Service Pack 和即时修复程序
Microsoft 安全中心提供一种简便的方式来管理其庞大的操作系统系列和其他 Microsoft 应用程序(如 Microsoft Office)的安全更新问题。
如果要对安全中心进行配置,使其在需要时自动下载并安装更新,请按照以下步骤进行操作。这样做,您只需管理安全修复程序,而不必手动应用它们。
1. | 单击“开始”,然后单击“控制面板”。 |
2. | 在控制面板中,单击“安全中心”,如下面的屏幕快照所示。 |
3. | 单击“自动更新”,如下面的屏幕快照所示。 |
4. | 选择“自动(推荐)”(如下面的屏幕快照所示),并指定下载和安装自动更新的周期计划。请确保在您计划的时间,计算机处于运行状态。
|
5. | 指定计划后,单击“确定”。 |
病毒和蠕虫
计算机病毒是为了干扰计算机的运行而故意设计的软件程序。病毒可以记录、破坏或删除数据,或者将自身传播到其他计算机,进而在整个 Internet 上传播,这通常会使运行速度减慢,并在这一过程中导致其他问题。
与人体病毒的严重程度分类(从普通的流感病毒到埃博拉病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁系统。而且它们还会不断发展出新的和不同的形式。令人欣慰的是,只要采取一些预防机制并具备基本知识,就可以显著减少漏洞暴露,从而淡化其影响。
使用防病毒软件并及时对其更新,这有助于保护计算机上的数据和应用程序。可供安装以保护 Windows 用户不受病毒侵害的防病毒程序有多种。但是要确保在安装此类程序前,必须满足系统要求。考虑购买哪一款防病毒软件时,应选择具备以下功能的软件:
| • | 实时监控并防止病毒攻击。 |
| • | 自动更新病毒特征库使其保持最新。 |
| • | 既可随时按需执行扫描和清除任务,也可依照计划执行。 |
您可访问 Microsoft antivirus partners 的列表(英文),网址为:http://www.microsoft.com/security/partners/antivirus.asp。
广告软件和间谍软件
间谍软件通常与显示广告的软件(称为广告软件)或者跟踪个人信息或敏感信息的软件有关。但这并不是说所有提供广告或跟踪在线活动的软件都是有害的。例如,您可以注册申请免费的音乐服务,但获得该服务的“代价”是同意接收定向投放的广告。如果您知晓这些条款并且同意接受,那么就说明您认为这是一项公平交易。您可能还同意让公司跟踪您的在线活动,以确定向您显示哪些广告。
其他各类不受欢迎的软件会擅自更改您的计算机,从而造成干扰甚至导致计算机速度变慢或崩溃。这些程序能够更改您 Web 浏览器的主页或搜索页,或者将您不需要或不受欢迎的附加组件添加到您的浏览器中。这些程序还使您难以改回原来的设置。这类不受欢迎的程序也常称为间谍软件。
Windows Defender (Beta2) 是一项安全技术,它可以帮助保护 Windows 用户免受间谍软件和其他潜在的不需要的软件的威胁。PC 上的已知间谍软件可被检测出并删除,这有助于降低间谍软件带来的负面影响,如 PC 性能降低、烦人的弹出式广告、对 Internet 设置进行的不需要的更改,以及未经授权使用您的私人信息。持续保护能够提高 Internet 浏览的安全性,它可以阻断间谍软件进入您的计算机的 50 多种途径。全球 SpyNet™ 社区的参与者在确定哪些可疑程序归类为间谍软件中起了非常重要的作用。Microsoft 研究人员针对这些间谍软件迅速开发出应对方法,更新程序会自动下载到您的 PC,使其始终保持最新。
您可从 www.microsoft.com/athome/security/spyware/software/default.mspx 处下载 Windows Defender。当前版本为 Beta 2。文件名是 WindowsDefender.msi,大小约为 5.5MB。(在完整版中文件名和大小可能会有所改变。)
下载 Windows Defender (Beta 2) 后,请执行以下步骤进行安装。
1. | 下载 Windows Defender (Beta 2) 时将显示以下对话框。单击“运行”。
|
2. | 此时将显示“欢迎使用 Windows Defender 安装向导”屏幕。单击“下一步”。
|
3. | 此时将显示“Windows Defender 许可协议”(如下面的屏幕快照所示)。请阅读协议的条款。 若要继续安装,必须选择“我接受许可协议条款”,然后单击“下一步”。
|
4. | 在“Windows 保护帮助”屏幕(如下面的屏幕快照所示)中,选择“使用推荐设置”。如果要阅读隐私声明,请单击“隐私声明”按钮。然后单击“下一步”。
|
5. | 在“安装类型”屏幕(如下面的屏幕快照所示)中,选择“完全”,然后单击“下一步”。
|
6. | 显示以下“已准备好安装 Windows Defender”屏幕时,单击“安装”按钮开始安装。
|
7. | 完成安装过程后,将显示如下“Windows Defender 安装完毕”屏幕。 确保选中“检查已更新的定义并立即运行快速扫描”选项,然后单击“完成”。 注意 此步骤需要 Internet 连接。
|
8. | 显示以下屏幕时,请单击“检查更新”按钮,以获取最新更新。 |
有关 Windows Defender (Beta 2) 的详细信息及其高级功能,请浏览 Windows Defender (Beta 2) 网站(英文),网址为:www.microsoft.com/athome/security/spyware/software/default.mspx。
恢复点
能够破坏操作系统及其应用程序的情况多种多样。Windows XP Professional 可帮助移动客户端或远程客户端还原到一个已知为完好的恢复点。这些恢复点有时是操作系统在某些事件发生前自动保存的。
有关详细信息,请访问 How to ‘undo’ a big mistake in Windows(英文),网址为:www.microsoft.com/smallbusiness/resources/technology/business_software/how_to_
undo_a_big_mistake_in_windows.mspx。
个人防火墙
防火墙是充当网络与外界之间的保护性边界的安全系统。Windows XP SP2 中包含 Windows 防火墙,该软件在每台客户端计算机上的功能基本相同。
Windows 防火墙是随 Windows XP Professional SP2 一起安装的,它可配置程度很高。该软件在默认情况下是启用的,可以协助您保护计算机免受网络攻击。Windows Live OneCare 也监视 Windows 防火墙,这样您就可在单一的控制台上查看 PC 的整体安全状况。本文档的其余部分将向您介绍如何通过控制面板中的 Windows 安全中心来更改 Windows 防火墙的设置。
注意 Windows 防火墙的开发目的不是为了取代网络防火墙的功能。Windows 网络仍启用并且可以通过 Windows 防火墙,这表示您仍然可与其他网络计算机通信,并可打印和访问网络共享资源。但仍建议您使用网络防火墙来保护上述功能打开的端口。
有关 Microsoft 网络防火墙解决方案的信息,请访问 Microsoft Internet Security and Acceleration Server 网页(英文),网址为:www.microsoft.com/isaserver/default.mspx。
配置 Windows 防火墙常规设置
Windows 防火墙的常规设置中可配置以下选项:
| • | “打开”(推荐)。 |
| • | “关闭”(不推荐)。关闭 Windows 防火墙将使您的计算机更易遭到病毒、蠕虫和入侵者的破坏。 |
1. | 若要打开 Windows 安全中心,请单击“开始”,然后单击“控制面板”。此时将显示以下屏幕。 |
2. | 在“选择一个类别”部分中,单击“安全中心”。此时将显示“Windows 安全中心”屏幕,如下面的屏幕快照所示。 |
配置通知
默认情况下,当您计算机上的程序试图与其他计算机进行通信时,Windows 防火墙将会阻止该程序并显示一个通知对话框。该对话框如下面的屏幕快照所示:
此对话框指明被阻止的程序,您可以选择是否允许该程序继续执行。可用的选项有:
| • | 保持阻止。使用此选项后,如果没有您的许可,该程序将不会接受来自 Internet 或网络的连接。 |
| • | 取消阻止。使用此选项后,该程序将被放入 Windows 防火墙例外列表中。 |
| • | 稍后询问。如果您不能确定是阻止还是取消阻止该程序,则可选择此选项。为了保证更安全,该选项会阻止此程序。下次阻止这一程序时,此消息将再次出现。 |
有关高级功能的详细信息,请访问 Understanding Windows Firewall(英文),网址为:www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx。
保护您的文件
Windows XP Professional 和其他 Microsoft 操作系统均使用 NTFS 文件系统 (NTFS)。与以前的文件分配表 (FAT) 文件系统相比,此文件系统具有更强的容错能力。NTFS 还提供文件级别的访问控制和加密文件系统 (EFS)。在便携式计算机上安装 Windows XP Professional 时,Microsoft 建议仅使用 NTFS 格式化硬盘。
NTFS
NTFS v5 是比 FAT8、FAT16、FAT32 更高级的文件系统,甚至也比 NTFS v4 文件系统高级。NTFS 更适合处理较小的磁盘错误,若能正确使用 EFS,则 NTFS 非常适合移动计算。
注意 默认情况下,如果一个老练的攻击者能够对 NTFS 格式或 FAT 系列文件系统格式的硬盘进行物理访问,在该系统未启用 EFS 时,他就能绕开 NTFS 的安全功能。即使启用了 EFS,丢失了的 Windows XP Professional 便携式计算机仍有可能被攻击者入侵。
现有的 Windows XP Professional FAT 分区可以转换为 NTFS 分区,这样能提升稳定性和安全性。该转换过程在 Microsoft 网站上的 How to Convert FAT Disks to NTFS(英文)中有介绍,网址为:www.microsoft.com/technet/prodtechnol/winxppro/maintain/convertfat.mspx。但是,某些旧程序可能无法在 NTFS 卷上运行,所以在转换前,您应该先了解一下您的软件的运行要求。
注意 在进行文件系统转换前,一定要备份重要的文件。
EFS
EFS 仅可用于 NTFS 文件系统,对 FAT 文件系统不适用。加密是为了防止未经授权的访问而对文件进行编码的过程。已加密的文件或文件夹的使用方式与未加密的文件或文件夹的使用方式完全一样。
实现 EFS 的方式有多种,但要想在便携式计算机或远程桌面上建立本地恢复策略却很难。本地策略恢复将使经验丰富的技术人员能够访问经 EFS 加密的文件和目录。从域的角度来看,实现恢复可使文件系统更加安全。
有关高级功能的详细信息,请访问 Microsoft 网站上的 Protecting Data by Using EFS to Encrypt Hard Drives(英文),网址为:www.microsoft.com/technet/security/
smallbusiness/topics/cryptographyetc/protect_data_efs.mspx。
注意 不能同时对文件进行压缩和加密。
文件备份
如果移动用户或远程用户遇到了问题,此时文件备份就可确保这些文件的可用性。这些问题可大可小,简单的如意外删除文件,严重的如小型企业的便携式计算机被有预谋地盗走。定期备份文件是一种防患于未然的保护重要数据方式,而且成本低廉。
有关如何在 Windows XP Professional 中备份和恢复文件的信息,请参阅 Microsoft 知识库文章如何在 Windows XP 中使用备份工具备份计算机上的文件和文件夹,网址为:http://support.microsoft.com/kb/308422。
强密码
最普遍的一个安全漏洞就是弱密码。密码应该足够强,才能保护使用它的文件或计算机。强密码可保护计算机免遭破坏。猜测密码的软件非常普遍,而且极易使用。
有关创建强密码的详细信息,请访问 Microsoft 网站上的 Selecting Secure Passwords(英文),网址为:www.microsoft.com/smallbusiness/support/articles/select_sec_passwords.mspx。
无线网络的安全性
只要启用了无线网络适配器,远程客户端计算机和移动客户端计算机就有被攻击的危险。Microsoft 建议在不使用无线网络适配器时禁用它。
连接到新的无线网络之前,有一些因素需要特别考虑。一些无线网络声明其网络根本不安全。虽然本文中介绍的功能可保护连接到这些网络的 Windows XP Professional 工作站和便携式计算机免受攻击,但是使用无线网络的首要规则是只连接已知网络。
有关远程无线网络安全方面的帮助信息,如家庭办公,请访问 Microsoft TechNet 网站上的 Configuring Windows XP IEEE 802.11 Wireless Networks for the Home and Small Business(英文),网址为:www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifisoho.mspx。
VPN 连接
利用虚拟专用网 (VPN) 可实现远程计算机或移动计算机在网间的安全互连,通常是通过 Internet 的连接。通过此项技术,使用便携式计算机的 Windows 用户就可先连接到酒店或咖啡馆的网络,然后再安全地连接到需要使用的联网计算机。
小型企业一般倾向于通过 Internet 上的非 VPN 连接来提供远程访问连接服务。Microsoft 建议使用 VPN 连接,而不要使用不安全的 Internet 连接。使用这类不安全的连接会使小型企业网络和家庭网络暴露在危险之中。
使用通过 Internet 的 VPN 连接时,重要的是确保所用的 VPN 解决方案要禁止与另一网络建立同时连接。此功能将禁止两个网络之间的直接访问,这正是恶意软件或黑客常用的一种方式。
相关信息
有关防火墙、计算机更新和防病毒软件的详细信息,请参阅下列文档:
| • | Microsoft 网站上的网页 Protect Your PC(英文),网址为:www.microsoft.com/athome/security/protect/windowsxpsp2/Default.mspx。 |
| • | Microsoft TechNet 网站上的文章 5-Minute Security Advisor - The Road Warrior's Guide to Laptop Protection(英文),网址为:www.microsoft.com/technet/ |
| • | Microsoft 下载中心网站上的 Security Guidance Kit 中的文章“Network Ports Used by Key Microsoft Server Products”(英文),网址为:www.microsoft.com/downloads/details.aspx?FamilyID=c3260bd0-2ebb-4496-ad07-7e9d55d0ef1f&displaylang=en。 |
| • | 互联网地址分配组织 (IANA) 网站上的文章 Port Numbers(英文),网址为:www.iana.org/assignments/port-numbers。 |
| • | "Microsoft TechNet 网站文章 Managing Windows XP Service Pack 2 Features Using Group Policy – Windows Firewall,网址为:www.microsoft.com/technet/ |
有关 Windows XP SP2 安全性的详细信息,请参阅以下内容:
| • | Microsoft 下载中心网站上更新后的 Windows XP Security Guide(英文),网址为:http://go.microsoft.com/fwlink/?linkid=35309。 |
| • | "Microsoft TechNet 网站上的 Changes to Functionality in Microsoft Windows XP Service Pack 2 - Part 2:Network Protection Technologies(英文),网址为:http://go.microsoft.com/fwlink/?linkid=35486。 |
有关如何确定网络安全状态的信息,请参阅以下内容:
| • | Microsoft TechNet 网站上的网页 Microsoft Baseline Security Analyzer(英文),网址为:www.microsoft.com/technet/security/tools/mbsahome.mspx。 |
有关与安全相关术语的定义,请参阅以下内容:
| • | Microsoft 网站上的网页 Microsoft Security Glossary(英文),网址为:http://go.microsoft.com/fwlink/?linkid=35468。 |