如何安全安裝 Windows (Server 2008)

今日大綱

01、平常就要知道的安全知識 02、重灌電腦前的準備 03、如何重灌一台乾淨無毒的電腦 04、安裝Windows Server 2008 05、如何維護這個系統 06、本機安全性原則簡介 07、密碼強度設定 08、其他安全性設定 09、網路傳輸安全設定 10、瀏覽器安全設定 (Internet Explorer) 11、安全稽核設定 

平常就要知道的安全知識

平常就要知道的安全知識

Service Pack自動更新網路上各類安裝檔防火牆或防毒軟體硬碟分割NTFS (NT File System)最新的病毒定義檔

重灌電腦前的準備

重灌電腦前的準備

正版的作業系統安裝光碟（或非正版）SuperXP……等

Service Pack 檔（有些已內建）更新檔（非必須，如 XP打包檔）驅動程式隨身碟、光碟（套件包、防毒軟體等）終極手段—— Ghost

如何重灌一台乾淨無毒的電腦

如何重灌一台乾淨無毒的

電腦

無網路環境防毒軟體、防火牆Windows Update進行備份保存（ Ghost）設定帳號、密碼

◦密碼檢查程式 http://www.microsoft.com/taiwan/athome/security/privacy/password_checker.mspx

安裝 Windows Server 2008

安裝Windows Server 2008

Windows Server 2008的底層採用與Windows Vista相同的核心

安裝Windows Server 2008

選擇版本，安裝後無法修改

安裝Windows Server 2008

安裝過程必須輸入產品金鑰，才能進入複製檔案到硬碟的步驟

安裝Windows Server 2008

一般人都是用自訂

安裝Windows Server 2008

直接點擊磁碟或點選「磁碟機選項」配置硬碟

安裝Windows Server 2008

點選「新增」來新增磁碟配置，並做其他設定

安裝Windows Server 2008

安裝Windows Server 2008

安裝Windows Server 2008

安裝Windows Server 2008

這裡才要設定（非常複雜的）密碼

安裝Windows Server 2008

安裝Windows Server 2008

檢查驅動程式、設定系統。

如何後續維護這個系統

如何後續維護這個系統

防毒軟體◦即時掃瞄服務◦更新◦全系統掃描

不隨便開不明的電子郵件◦ .exe◦ .scr

避免下載來路不明的軟體P2P 軟體資料夾分享權限的設定即時通訊軟體

◦不明檔案◦不明 URL 連結

熟悉網頁瀏覽器

資料來源

資料來源

HiNet防毒防駭　如何正確又安全地重灌電腦？

http://blog.xuite.net/antivirus/hisecure/16150510

i-Live Windows Server 2008安裝紀錄

http://ilive.it-note.org/2008/10/09/windows-server-2008_install/

如何安全安裝 windows基礎篇

本機安全性原則簡介 

本機安全性原則簡介

「本機安全性原則」為 Windows 作業系統用來提升系統安全的設定，主要包含四個安全性原則，帳戶原則、本機原則、公開金鑰原則及軟體限制原則，如下圖，本機安全性原則僅 適用於工作群組中的電腦，且該設定只會套用在本機當中，若您為網域環境 (AD+DC Server)，請利用  Group Policy Object (GPO) 群組原則來設定。

本機安全性原則簡介

帳戶原則：包括密碼及帳戶鎖定原則，可設定密碼最小長度、有效期限及帳戶登入失敗因應措施等。 

本機安全性原則簡介

本機原則：包括稽核原則、使用者權限指派及安全性選項，可用來控制使用者登入環境、設定裝置的預設行為和存取性、控制網路存取的層級、控制「系統關機」的行為及日誌稽核設定等。 

本機安全性原則簡介

公開金鑰原則：用來設定加密資料的修復代理，並分配憑證信任清單 (CTL)、信任授權單位等。 

本機安全性原則簡介

軟體限制原則：提供系統管理者用以識別軟體，並控制其在本機電腦上執行的能力。 

本機安全性原則簡介

在本機電腦上的 IP安全性原則：用來設定IPSec規則。

◦ IPsec(縮寫 IP Security)是保護 IP協議安全通信的標準，它主要對 IP協議分組進行加密和認證。 Client (Respond only) Means 'I will speak

IPSec if you wish'. Server (Request Security) Means 'I would

like to speak IPSec, but if you cannot comprehend IPSec then I will speak normally.

Secure Server (Require Security) Means 'I will only speak with clients who understand IPSec'.

系統登入安全性設定

取消歡迎畫面

功能：設定此項後，系統會同時取消「顯示歡迎畫面」及使用者「快速切換」的功能，使用者於登入系統時會回復成傳統登入方式─「請按  Ctrl+Alt+Del 開始」，不會再顯示所有使用者的帳號，若與「清除上次登入者的名稱」搭配，如此可避免本機帳號洩露的風險。

◦平台： XP Home、 XP Professional。

◦操作：開始→設定→控制台→使用者帳戶。設定：點選「變更使用者登入或登出的方式」→勾消「使用歡迎畫面」。

清除上次登入者的名稱

功能：啟用此設定後，系統於登入時，會同時要求輸入使用者名稱及密碼，而不再自動顯示上次登入的使用者名稱，如此可避免登入帳號洩露的風險。

◦操作：本機原則→安全性選項→啟用「互動式登入：不要顯示上次登入的使用者名稱」 。

取消登入對話框上的關機

按鈕

功能：停用此設定後，在登入的對話框中關機的按鍵就會消失，如此可避免重要系統被任意關機的風險。

◦操作：本機原則→安全性選項→停用「關機：允許不登入就將系統關機」 。

登入系統時，停用

CTR

L+

ALT

+D

EL

鍵

功能：啟用此設定後，系統登入時即自動出現要求輸入使用者名稱及密碼的畫面，不須再按「 CTRL+ALT+DEL 鍵」，在某些情況下，對於一些入侵程式可以增加入侵系統的困難度。

◦操作：本機原則→安全性選項→啟用「互動式登入：不要求按 CTRL+ALT+DEL 鍵」 。

關閉系統自動登入功能

功能：啟用此設定後，系統即關閉自動登入的功能，如此可以避免被重新開機，即可登入系統的風險。

◦操作：開始→執行→ control userpasswords2→確定。

◦設定：勾選 「必須輸入使用者名稱和密碼，才能使用這台電腦」。

密碼強度設定

密碼強度設定

弱的密碼只是糟蹋強固的防護什麼是弱的密碼

◦741122◦20030406

英文呢◦passwd◦TWPADDY

=> 10秒

=> 立刻

=> 30秒=> 13分

密碼強度設定

我們不要再設國中生的密碼了大小寫加數字Example: Passw0rd

密碼長度 破解時間3 馬上4 2秒以內5 1分半6 1個半小時7 41天8 253天

密碼強度設定

複雜度密碼Example: P@ssw0rd

密碼長度 雙核心 PC 工作站 超級計算機3 馬上 馬上 馬上4 8.5秒 馬上 馬上5 13分 30秒 1分 15秒 8秒6 22小時 2小時 13分7 87天 8.5天 20小時8 23年 2.25年 83.5天

密碼最小長度至少 8

碼

功能：設定此項後，使用者變更的密碼長度必須在  8 個字元以上，可避免密碼過短導致容易猜測的風險。

◦操作：帳戶原則→密碼原則→設定「最小密碼長度： 8 個字元」。

密碼最大使用期限為 3

0

天功能：設定此項後，系統會在  30 天後，要求使用者變更密碼，可避免密碼因長期未更換，遭致暴力破解。

◦操作：帳戶原則→密碼原則→設定「密碼最長有效期： 30 天」 。(註：依系統的重要性來衡量天數，建議至少 180天需更新一次 )

使用強度複雜密碼

功能：啟用此設定後，系統會要求使用者變更的密碼必須包含英數及特殊符號混合的密碼，可避免密碼遭暴力破解。

◦操作：帳戶原則→密碼原則→啟用「密碼必須符合複雜性需求」 。

密碼歷史紀錄 5

次

功能：設定此項後，系統會記住五組您先前輸入過的帳號，且系統會要求使用者變更的密碼不能與先前五組相同。

◦操作：帳戶原則→密碼原則→設定「強制執行密碼歷程記錄： 5 記憶的密碼」。

其他安全性設定

螢幕保護程式(

以密碼保

護)功能：設定此項後，系統會在無人操作的情況下，於等候時間到時，自動跳入螢幕保護程式鎖住系統，如此可避免電腦資料洩露的風險。

◦操作：於桌面空白處按滑鼠右鍵→內容→螢幕保護裝置。設定：等候  10 分鐘，勾選「繼續後，以密碼保護」 。

變更系統預設的管理者帳

號 Ad

min

istra

tor

功能：設定此項後，可修改系統預設的系統管理員帳號  Administrator 為其他帳號，如下圖 (Chris)，可增加惡意人士猜測系統管理員帳號密碼的困難度。

◦操作：本機原則→安全性選項→設定「帳戶：重新命名系統管理員帳戶」 。

關閉來賓(G

uest)

帳戶

功能：設定此項，可查詢電腦中 Guest 帳戶是否已關閉，可避免 Guest 帳戶遭利用而登入電腦。

◦操作：在「我的電腦」圖示上按滑鼠右鍵→管理→本機使用者及群組→使用者。

◦設定：在  Guest 帳戶上按右鍵→內容→勾選「帳戶已停用」 。

如何安全安裝 windows進階篇

網路傳輸安全設定

設定網路存取共用限於本

機帳戶

功能：修改此項設定後，即限制必須是本機使用者帳戶，才可從遠端存取本機資料，且登入時需要輸入使用者帳號及密碼，才能存取，藉此，可提高網路存取的安全性。

◦操作：本機原則 →安全性選項 →網路存取：共用和安全性模式用於本機帳戶 →選擇「傳統 － 本機使用者以自身身分驗證」 。

限制匿名使用者的權限

功能：停用此項設定，即可讓匿名的 Windows 使用者無法執行某些作業，例如：列舉網域帳戶與網路共用的名稱。可避免未經授權的使用者以匿名的方式列出帳戶名稱及共用的資源，利用以上資訊猜測密碼，或是執行社交工程攻擊，因此，建議您停用此項設定。

◦操作：本機原則 →安全性選項 →停用「網路存取：讓 Everyone 權限套用到匿名使用者」 。

Internet Explorer 瀏覽器安全設定

甚麼是 Active X 控制項？

在瀏覽網頁時，有時會遇到要求某些的 Active X控制項，其實 Active X是Windows系統的一項共享功能，以供Windows的程式使用。瀏覽器透過 Active X控制項 (Active Control)來使用Active X功能，它可放在網頁內以備執行。

關閉IE

的「表單上使用

者和密碼自動完成功能」

功能：Windows IE 瀏覽器會自動記憶網頁表單的使用者帳號及密碼，建議您將此功能關閉，以避免他人利用 IE 所記憶的使用者及密碼自動登入其他系統。可降低帳密遭竊取、外洩的風險。

◦操作：打開  IE 瀏覽器 →工具 →網際網路選項 →內容。

◦設定：於「自動完成設定」頁面中，勾消「表單上的使用者名稱和密碼」及「提示我儲存密碼」。

關閉IE

網際網路區域的「未簽

章Activ

eX

的下載及執行功

能」

功能：停用此設定後， IE 瀏覽器將不會自動進行下載及執行未簽章的ActiveX 元件，若當使用者在瀏覽不明網站時，可降低使用者瀏覽網頁遭植入惡意程式或中毒的風險。

◦操作：打開  IE 瀏覽器 →工具 →網際網路選項 →安全性 →區域：網際網路 →自訂層級。

◦設定：於下載未簽署的 ActiveX 控制項，點選停用，再按確定離開。

參考資料

http://blog.xuite.net/antivirus/hisecure/16707442

http://blog.xuite.net/antivirus/hisecure/16841728