Windows Vista

利用 Windows Vista 新的安全性功能保護您的個人電腦

Justin Harrison

摘要:

• 使用 Windows 資訊安全中心
• 設定和管理使用者帳戶控制設定
• 使用 Windows Defender 掃描間諜軟體

在數年前，Microsoft 總裁 (也是當時的首席軟體架構設計師) 比爾蓋茲指示員工將「值得信賴的運算技術」作為公司的最高指導原則。隨著這項聲明，Microsoft 開發軟體的方式有了一系列的改變。

Windows Vista™ 是第一套完全在安全性開發生命週期 (SDL) 的指導方針下開發出的作業系統，其著重安全性的工程程序將安全性視為軟體設計的首重要務；所有廣泛部署的 Microsoft 產品都必須遵循這些指導方針 (如需有關 SDL 的詳細資訊，請見 The Security Development Lifecycle 一書，作者 Michael Howard 和 Steve Lipner，Microsoft Press®，2006)。

Windows Vista 還包括新的和升級的內建安全性技術，會主動偵測和防止安全性威脅。這些變更代表 Windows Vista 是目前為止最安全的 Windows® 版本。本文中將討論新的安全性 [控制台] 小程式、Windows 資訊安全中心及內建的防護，包括 Windows Defender、Windows 防火牆，以及使用者帳戶控制。

安全性控制台

當您開啟 Windows Vista 中的 [控制台] 時，將會發現 [控制台] 整理成十個功能區，其中大部分與安全性相關的小程式都分佈在 [安全性]、[程式集] 及 [網路及網際網路] 之間。您可以使用 [安全性] 小程式存取許多保護 Windows Vista 的新安全性技術，如 [圖 1] 所示。

Figure 1 Windows Vista 中的安全性技術

您也可以檢查 Windows Updates、開啟 BitLocker™ 磁碟機加密、刪除 Cookie、清除歷程記錄，以及設定喚醒電腦時提示輸入的密碼。

[安全性] 小程式還可讓您輕鬆存取資訊安全中心，是您用來管理和檢查電腦安全性設定及內建防護狀態的集中位置。

集中式安全性

直到 Windows XP Service Pack 2 (SP2) 中提供資訊安全中心之前，處理所有 Windows 安全性設定一直是十分棘手的工作。現在，您只需要資訊安全中心就能集中管理重要的 Windows 安全性設定，而且在 Windows Vista 中更為實用。

Windows 資訊安全中心會在背景執行，並主動監控四種類別的功能，如 [圖 2] 所示。防火牆、自動更新、惡意程式碼 (病毒和間諜軟體) 防護，以及其他安全性設定 (網際網路及使用者帳戶控制設定)。

圖 2** 集中管理安全性設定 **(按影像可放大)

有了 Windows 資訊安全中心，您就能夠看見做為電腦的防火牆，或防間諜軟體和防毒解決方案執行的程式。您也可以檢查防火牆、自動更新及使用者帳戶控制設定的狀態。Windows 資訊安全中心的獨特之處在於，除了內建的 Windows 技術之外，它還會監控協力廠商應用程式的狀態。此外還會檢查下列項目：

• 是否已安裝防火牆，以及防火牆是否開啟。
• 是否已安裝防毒程式，以及病毒碼是否為最新、即時掃描是否已啟用。
• 是否已安裝防間諜軟體程式，以及定義檔是否為最新、即時掃描是否已啟用

Windows 資訊安全中心會使用兩種方法偵測協力廠商的防毒和防火牆應用程式。在手動模式中，Windows 資訊安全中心會搜尋登錄機碼以及可偵測出軟體狀態的檔案。同時會查詢傳回功能狀態之參與廠商提供的 Windows Management Instrumentation (WMI) 提供者。這表示，您可以使用非 Microsoft 解決方案處理防毒、防間諜軟體或防火牆問題，同時繼續使用 Windows 資訊安全中心監控及防護電腦。

Windows 資訊安全中心可藉由群組原則控制。根據預設，在網域環境中為停用狀態。若要開啟 Windows 資訊安全中心，請存取 [電腦設定\系統管理範本\Windows 元件\資訊安全中心] 節點。開啟資訊安全中心的原則名稱為 [開啟資訊安全中心 (僅網域 PC)]。

Windows 資訊安全中心還會監控 [使用者帳戶控制] 設定以及 [網際網路安全性] 設定的狀態。[使用者帳戶控制] 可讓您以標準使用者而非管理員的身分使用電腦，這樣做較為安全。身為標準使用者，您所做的任何變更都不會影響整個系統，而且您安裝的任何軟體能造成的傷害也相當有限。

在 Windows Vista 中，如果您以標準使用者身分執行不屬於網域的電腦，而軟體需要執行會影響整個系統的動作，則作業系統會提示您輸入管理員帳戶的密碼。如果您以管理員身分執行，Windows Vista 會提示您提供執行整個系統動作的許可，如此您就會在執行之前注意到 (及允許) 這個動作。

使用者帳戶控制是由群組原則在網域環境中進行管理。如果電腦不屬於網域的一部分，則會由本機安全性原則處理。原則設定可在 [本機安全性原則] 編輯器或 [群組原則] 編輯器中的 [電腦設定\系統設定\本機原則\安全性選項] 找到。您可在 [控制台] 的 [系統和維護] | [系統管理工具] 下找到 [本機安全性原則]。

如 [圖 3] 所示，Windows 資訊安全中心會監控許多網際網路安全性選項。

Figure 3 網際網路安全性設定

如果選項變更為不安全的狀態，[網際網路內容] 便會指出「您的安全性設定會讓電腦處於風險 (Your security settings put your computer at risk)」，而 Microsoft Internet Explorer® 將顯示資訊列，告訴您「您目前的安全性設定會讓電腦處於風險。請按一下此處變更您的安全性設定... (Your current security settings put your computer at risk.Click here to change your security settings...)」。Windows 資訊安全中心還會通知您「您未使用建議的安全性設定 (You're not using recommended security settings.)」。如果您開啟 [網際網路安全性設定]，不安全的設定將會以紅色強調 (請參閱 [圖 4])。

圖 4** 強調的不安全設定 **(按影像可放大)

Windows 資訊安全中心可以將不安全的安全性設定還原為安全狀態。只要按一下 [立即還原我的網際網路安全性設定 (Restore my Internet security settings now)] 即可完成這項操作，如 [圖 5] 所示。

圖 5** 移除危險的設定 **(按影像可放大)

Windows Defender

Rootkit、木馬程式、間諜軟體及其他惡意軟體已成為令人頭痛的問題。它們會讓您的資訊處於風險中、降低電腦的效能，且可能造成系統當機。Microsoft 於 2004 年與 Giant Software 合作提供防間諜軟體技術以保護客戶。您會發現 Windows Vista 中內建了這項稱為 Windows Defender 的新技術 (同時也可供 Windows XP 的使用者下載)。

安裝 Windows Vista 之後，不必立即變更任何 Windows Defender 設定。由於 Windows Defender 會預先設定為以最低限度的中斷提供最大程度的安全性，因此您可以專注在使用電腦上，而不必忙著保護其安全。Windows Defender 啟動後隨即提供即時防護，且會在每天凌晨兩點自動檢查及下載更新的間諜軟體定義，並自動移除所有高威脅性的風險。您可以在 Windows Defender 中選取 [工具] | [一般設定] 來調整這些設定。

即時防護表示 Windows Defender 會持續小心監控電腦上可疑的行為。它會使用 [圖 6] 中列出的九種安全性代理程式監控系統的各個部分是否有間諜軟體特徵的應用程式行為。Windows Defender 安全性代理程式會共同監控幾乎所有常見的間諜軟體進入點。

Figure 6 Windows Defender 安全性代理程式

威脅回應

Windows Defender 會在發現可能的惡意軟體或偵測到可疑的行為時警示您。當無害的 (低威脅) 變更發生時，Windows Defender 會在系統匣中顯示驚嘆號通知您。如果是更嚴重的威脅 (中或高)，Windows Defender 便會根據威脅等級顯示黃色或紅色對話方塊，如 [圖 7] 所示。這些威脅需要立即回應。

圖 7** 紅色視窗表示高度威脅 **(按影像可放大)

Windows Defender 執行的所有動作都會記錄在系統事件日誌中，且其來源為 "Windows Defender"。這類動作包括定義更新和間諜軟體掃描及移除。

Windows Defender 威脅警示相當聰明，因此您可以透過它們繼續執行工作。列出的威脅可能有許多個，而您可以在威脅警示對話方塊中選擇回應所有威脅 ([全部移除])。您也可以設定威脅警示根據未分類的威脅和已知允許執行的軟體分別回應。若要設定威脅警示，請開啟 Windows Defender，然後按一下 [工具 | 選項]。向下捲動到 [即時防護選項] (Real-time protection options)，然後選擇 Windows Defender 是否應通知您尚未按風險分類的軟體，以及允許執行的軟體對您的電腦所做的變更。

請注意，如果 Windows Defender 未正確分類您建立或使用的應用程式，您可以到 microsoft.com/athome/security/spyware/software/isv/cdform.aspx (英文) 提出廠商爭議。如果將應用程式誤認為間諜軟體，您可以在 microsoft.com/athome/security/spyware/software/isv/fpform.aspx (英文) 提出誤報。

隨選防護

雖然 Windows Defender 會小心監控可能的惡意軟體，但您也可以在需要時隨時啟動間諜軟體掃描。Windows Defender 提供三種類型的掃描：

• 「快速掃描」會迅速檢查電腦上最有可能受到間諜軟體感染的位置。
• 「完整掃描」會掃描硬碟上的所有檔案、執行中的應用程式、登錄以及其他位置。
• 「自訂掃描」可讓您掃描特定檔案或資料夾，並且會在啟動時自動執行「快速掃描」。

若要起始掃描，請啟動 Windows Defender，然後按一下 [掃描 (Scan)] 按鈕旁的向下箭頭，接著選取您要啟動的掃描類型，如 [圖 8] 所示。

圖 8** 選擇掃描類型 **(按影像可放大)

Windows Defender 在掃描期間偵測到威脅時，會顯示威脅的說明，以及您可採取以解決威脅的動作。根據預設會顯示可採取的最佳動作。如果找到多個威脅，您可以選取回應並按一下 [套用動作 (Apply Actions)] 一次套用所有動作，或是按一下 [全部移除 (Remove All)] 移除所有威脅。您可採取的動作包括：

• 移除：從系統中將威脅完全移除。
• 忽略：忽略威脅。下一次掃描時，Windows Defender 會再次偵測到該威脅。
• 隔離：暫時停用威脅。您可以藉此測試移除威脅對於系統是否會有任何不良影響。而且可以固定從 Windows Defender 內還原動作。
• 永遠允許：停止偵測威脅並將它加入允許項目清單中。您可以按一下 Windows Defender 中的 [工具] | [選項]，從允許項目清單中移除項目。

防止網路入侵

Windows Vista 中的 Windows 防火牆是雙向狀態的防火牆，包含了許多比 Windows XP 版更進階的功能。在 Windows Vista 中，Windows 防火牆會同時篩選連入和連出流量。您還可以設定下列規則：

• Active Directory 帳戶和群組
• IP 通訊協定編號
• 特定類型的介面
• 服務
• 根據類型和程式碼的 ICMP 和 ICMPv6
• 來源和目的地 IP 位址
• 所有 TCP 或 UDP 通訊埠，或指定的通訊埠

在 Windows Vista 中，您還可以透過例外清單允許特定程式存取網路或拒絕流量。若要存取例外清單，請按一下 [開始] | [控制台] | [安全性]，然後按一下 [允許程式通過 Windows 防火牆 (Allow a program through Windows Firewall)]。

根據預設，Windows 防火牆會封鎖所有連入流量 (除非是明確要求的或符合規則)，並且允許所有連出流量 (除非符合規則)。

Windows Vista 包括稱為「具有進階安全性的 Windows 防火牆」的新 Microsoft Management Console (MMC) 嵌入式管理單元 (請參閱 [圖 9])，可讓管理員設定遠端電腦上的 Windows 防火牆設定。若要存取新的嵌入式管理單元，請按一下 [控制台] 中的 [系統和維護]，然後按一下 [系統管理工具]，再按一下 [具有進階安全性的 Windows 防火牆]。

圖 9** 建立進階規則保護電腦不受網路威脅 **(按影像可放大)

若要加入規則，您也可以使用群組原則編輯器嵌入式管理單元存取 [電腦設定\Windows 設定\安全性設定\具有進階安全性的 Windows 防火牆]。您甚至可以使用 netsh advfirewall，從命令列設定新的 [進階安全性] 設定。

每次連線新的網路時，Windows Vista 都會建立該網路專屬的設定檔。當您再次連線到該網路時，Windows Vista 就會使用該設定檔中儲存的設定。連線新的網路時，作業系統會詢問的其中一項首要事項是此為公用或私人網路。這會決定 Windows 防火牆載入設定和規則的設定檔。如果您要編輯設定檔，請按一下 [具有進階安全性的 Windows 防火牆] 嵌入式管理單元中的 [Windows 防火牆內容]，然後按一下 [私人設定檔] 或 [公用設定檔] 索引標籤，如 [圖 10] 所示。

您可以在連線之後，依喜好從 [網路和共用中心] 變更與網路相關的設定檔。若要執行這項操作，請至 [控制台] | [網路和網際網路] | [網路和共用中心]。若要變更網路設定檔，請按一下已連線網路名稱旁的 [自訂]。

圖 10** 根據網路類型自訂防護 **(按影像可放大)

結論

Windows Vista 是自數年前「值得信賴的運算技術」聲明後的第一套完整的作業系統版本。Windows Vista 是遵照 Security Development Lifecycle (安全性開發生命週期) 指導方針所開發，且其中包含多項內建的防護，例如 Windows Defender、Windows 防火牆，以及使用者帳戶控制，並同時為獨立式系統與網域內部的系統提供無可比擬的防護。Windows 資訊安全中心、Windows 防火牆和使用者帳戶控制全都提供群組原則設定，可讓您在網域環境中有效部署，或在個人電腦上進行相當廣泛的設定。

SpyNet 社群

安全性威脅日新月異，有時候甚至每天更新也無法掌握電腦可能遭遇的所有安全性威脅。為了在間碟軟體定義的更新外提供更多的保護，Microsoft 亦在 SpyNet 社群中聚集使用者，這是一個分享間諜軟體資訊的線上群組。

Spynet 社群是自願性的全球 Windows Defender 使用者社群，會向 Microsoft 提報間諜軟體的新發現。參與這個社群的使用者在決定哪些可疑應用程式最後將分類為間諜軟體方面，扮演了相當重要的角色，同時還協助迅速發現新的威脅，讓所有 Windows Defender 使用者獲得更佳防護。

SpyNet 社群為「選擇加入」(Opt-in) 形式。.您必須明確決定參與。您可以選擇不成為成員，如此一來，當您可能已遭受間碟軟體感染時，任何相關資訊都不會傳送至 SpyNet。如果電腦上發現未分類的可能惡意軟體，您將不會收到通知。未分類的可能惡意軟體最後可能會在定期的間諜軟體定義更新中分類。

如果您選擇參與，共有兩種等級的成員資格：

進階成員資格： 參與者傳送關於未分類軟體及所採取動作的資訊至 Microsoft。進階參與者會收到可能不安全的最新未分類軟體的警示。某些個人資訊可能會傳送出去，但是 Microsoft 不會使用這些資訊與您連絡。

進階成員會收到移除統計資料，顯示其他進階成員遭遇相同威脅時的反應方式。這項資訊可幫助您決定目前未分類的可能惡意軟體是否具有危險。例如，如果新應用程式將散佈到網際網路，而 Windows Defender 偵測到該應用程式並視為可疑，則部分進階使用者會將它提報至 SpyNet 並將它移除。SpyNet 將告訴您有多少進階成員提報並移除該應用程式，如此您就能運用這項資訊好好決定接下來的動作。

基本成員資格： 關於可疑軟體的基本資訊會傳送至 Microsoft。個人資訊也可能會傳送出去，但是 Microsoft 不會使用這些資訊與您連絡。基本參與者不會收到未分類軟體的警示。

若要加入 Spynet 社群，請開啟 Windows Defender 並選取 [工具]，然後按一下 [Microsoft SpyNet]。

Justin Harrison Justin Harrison (justin@harrison.org) 是 Windows 安全性、數位媒體技術與數位文件方面的專家。他曾任職於 GE Energy 以及 Microsoft 的數位文件團隊與娛樂遊戲團隊。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利；未經允許，嚴禁部分或全部複製.