確保 Windows Small Business Server 2003 網路的安全
Overview
發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日
本頁內容
簡介
開始之前
驗證您的拓撲及防火牆設定
設定存取安全的本機路由器
在執行 Windows Small Business Server 2003 的電腦上,設定網路、防火牆、網頁及電子郵件服務
保持您的軟體在最新狀態
執行強性密碼
設定本機網路的遠端存取
驗證使用者只有必要的權限
變更內建 Administrator 帳戶的帳戶名稱
設定執行 Windows Small Business Server 2003 電腦的安全性
執行防毒解決方案
升級用戶端電腦
監視執行 Windows Small Business Server 2003 電腦上的安全性問題
相關資訊
簡介
本文件將協助您為 Microsoft® Windows® Small Business Server 2003 網路設定更高的安全性。完成本文件的工作將協助保護您本機網路的可用性、完整性與私密性。本文件所包含可協助您確保您網路安全性的任務如下:
驗證您的拓撲與防火牆設定
設定安全存取的本機路由器
在執行 Windows Small Business Server 2003 的電腦上,設定網路、防火牆、網頁及電子郵件服務
保持您的軟體在最新狀態
執行強性密碼
設定本機網路的遠端存取
驗證使用者只有必要的權限
變更內建 Administrator 帳戶的帳戶名稱
確保執行 Windows Small Business Server 2003 電腦的安全性
實作防毒解決方案
將用戶端電腦升級
監視執行 Windows Small Business Server 2003 電腦上的安全性問題
除了本文所描述的確保您 Windows Small Business Server 網路的方式之外,在「安裝時」,便會預設很多安全性功能。如需關於「Windows Small Business Server 2003 安裝」預設設定值的更多資訊,請造訪 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=20122 中《Windows Small Business Server 2003 Getting Started Guide (英文)》的<Appendix D>。
**重要:**本文件所包含的所有逐步指引是使用在您安裝作業系統時,就預設會出現的「開始」功能表,而發展出來的。如果您已經修改了「開始」功能表,這些步驟可能會有點不一樣。
開始之前
本文件假設您已經完成了包含「待辦清單」的「Windows Small Business Server 2003 安裝」。「待辦清單」會出現在「安裝」的最後,並且是用來完成設定 Windows Small Business Server 2003。如果您沒有完成所有「待辦清單」上的工作,本文件將協助您完成這些設定您執行 Windows Small Business Server 2003 電腦安全性的工作。如果您已經完成所有「待辦清單」上的工作,本文件將協助您驗證您使用的是維護您網路安全的選項。
**注意:**若要返回「待辦清單」,請按一下 [開始],再按一下 [伺服器管理]。在主控台樹狀目錄中,按一下 [待辦清單]。
驗證您的拓撲及防火牆設定
如果您在 Windows Small Business Server 2003 使用的是寬頻 (高速) 網際網路連線,如果您有協助您保護本機網路的防火牆,實體拓撲 (您網路上裝置的實體配置) 一般來說會受到較好的保護。防火牆是設計來避免您本機網路的未授權存取。
使用下面的範例圖,識別 Windows Small Business Server 2003 網路的拓撲,然後驗證您拓撲的防火牆是否在正確的位置。
**注意:**如果您是撥接連線到網際網路,請參閱<在執行 Windows Small Business Server 2003 的電腦上,設定網路、防火牆、網頁及電子郵件服務>一節。它將說明如何啟用執行 Windows Small Business Server 2003 電腦上的防火牆。
基本上,有兩種寬頻拓撲:
一個使用 Windows Small Business Server 2003 提供的內部防火牆。這個拓撲在伺服器裡有兩張網路介面卡。
另一個使用外部防火牆。這個拓撲在伺服器上有一個路由器與一張網路介面卡。
使用 Windows Small Business Server 2003 提供的外部防火牆
若要在寬頻連線使用 Windows Small Business Server 2003 提供的防火牆,執行 Windows Small Business Server 2003 的電腦必須使用兩張網路介面卡。這樣的情形下,您的拓撲會以下列方式呈現:
如果您正在使用 Windows Small Business Server 2003 提供的內部防火牆來防止本機網路有未經授權的存取,但是您的拓撲反映的與範例圖不一樣,那麼您就必須修正相關設定。不然的話,Windows Small Business Server 2003 提供的內部防火牆將不會保護您的本機網路。
需求
執行 Windows Small Business Server 2003 的電腦必須使用兩張網路介面卡。一張網路介面卡連線到本機網路,另一張使用網際網路連線裝置連線到網際網路。如果您沒有兩張網路介面卡,您必須使用下一節所描述的外部防火牆,或是安裝第二張網路介面卡。
**注意:**即使您在執行 Windows Small Business Server 2003 用寬頻連線,而且有兩張網路介面卡,您還是可以使用外部防火牆。這樣的情形下,您可以使用 Windows Small Business Server 2003 提供的防火牆,或是路由器的防火牆,或者兩者都使用。如果您正在使用兩種防火牆,請確保您已將路由器設定為如<設定存取安全的本機路由器>一節中所討論的設定。
您必須以 Domain Admins 安全性群組成員的身份登入到執行 Windows Small Business Server 2003 的電腦。
這個程序假設您已經使用「設定電子郵件及網際網路連線精靈」連線到網際網路。如果您還沒有執行精靈,請依下列精靈指示說明完成它。當您找到 [寬頻連線類型] 頁面,請參閱下列程序的步驟 5 以取得關於如何完成網頁的更多資訊。如果您需要協助完成精靈,請按一下精靈頁面上的 [其他資訊]。
若要執行設定電子郵件及網際網路連線精靈
按一下 [開始],再按一下 [伺服器管理]。
在主控台樹狀目錄裡,按一下 [網際網路及電子郵件]。
在詳細資料窗格中,按一下 [連線到網際網路]。會出現「設定電子郵件及網際網路連線精靈」(CEICW)。
在 [連線類型] 的網頁上,確定 [寬頻] 已選取。
請在 [寬頻連線類型] 網頁上,確定 [直接寬頻連線] 已選取。如果您正在使用執行 Windows Small Business Server 2003 電腦上的防火牆與路由器上的防火牆,請確定 [有 IP 位址的本機路由器裝置] 已選取。
依照指示說明完成精靈。
在精靈的最後,如果您還沒有啟用密碼原則,在網路上使用強性密碼,請加以啟用。強烈建議您按一下 [是],啟用密碼原則。如需關於如何啟用密碼原則的詳細資訊,請參閱<執行強性密碼>一節。
使用外部防火牆
如果您在執行 Windows Small Business Server 2003 的電腦上只有一張網路介面卡,您的拓撲會以下列方式呈現:
如果您正在使用外部防火牆 (有可能與您的本機路由器是同一個裝置) 來防止本機網路發生來自網際網路的未授權存取情況,而且執行 Windows Small Business Server 2003 的電腦只使用一張網路介面卡,您的拓撲就應該會與範例圖相同,否則,您就必須修正設定值。網路拓撲設定不正確,會導致外部防火牆無法保護本機網路。
需求
執行 Windows Small Business Sever 2003 的電腦使用一張網路介面卡連線到網際網路及本機網路。如果它使用的是兩張網路介面卡,而您使用的是外部防火牆,那麼您的拓撲就會與前一節中的描述相似。
若要防止您的本機網路有未授權存取,請您新增一個外部防火牆,或是由網際網路連線裝置提供防火牆服務。在這個拓撲裡,您不能夠使在執行 Windows Small Business Server 2003 的電腦上使用防火牆,因為這個電腦並不是網際網路與用戶端電腦的閘道。如果您想使用防火牆,請您在執行 Windows Small Business Server 2003 的電腦上安裝第二張網路介面卡,並且使用前一節所描述的拓撲。
您必須用 Windows Small Business Server 網路需要的設定值,設定本機網路的外部防火牆。如需更多資訊,請參閱<在執行 Windows Small Business Server 2003 的電腦上,設定網路、防火牆、網頁及電子郵件服務>一節。若您變更了網路的拓撲,請依照<若要執行設定電子郵件及網際網路連線精靈>的程序,更新您的設定值。
設定存取安全的本機路由器
如果您正在使用本機路由器連線到網際網路,而且這個裝置提供無線網路或防火牆功能 (或兩者都有),請確保這個裝置設定正確,以協助設定您本機網路的安全性。請考慮採取下列步驟:
在路由器上設定無線存取點的安全性
在路由器上驗證防火牆設定
在路由器上設定無線存取點的安全性
如果路由器提供無線網路存取點 (也稱為基座),而您的網路上並沒有無線裝置,停用存取點可以協助您消除本機網路的未授權存取。如果您在網路上有無線裝置,您必須考慮設定存取點,如此它才會安全。這將協助您避免未授權的使用者藉由連線到您的無線存取點而存取您的本機網路。
若要停用路由器上的無線存取點
檢查路由器的製造商說明文件。如果路由器沒有無線存取點,請跳到<在路由器上驗證防火牆設定>一節。
如果路由器有無線存取點,但是網路上沒有裝置 (如筆記型電腦) 使用它,請停用路由器上的無線存取點。如需詳細資訊,請檢查您的製造商說明文件。在停用無線存取點後,請跳到<在路由器上驗證防火牆設定>一節。
若要協助設定路由器上的無線存取點的安全性。
藉由要求存取管理功能密碼 (通常是管理路由器的網頁),協助設定路由器的安全性。這個密碼必須是強性密碼。而且,它不能是由製造商所提供的預設密碼。除此之外,在安全的位置存取您的密碼記錄。如需關於強性密碼的詳細資訊,請參閱<執行強性密碼>一節。
啟用您無線路由器支援的安全性通訊協定。例如,啟用 802.1x 授權,或是「有線等位私密 (Wired Equivalent Privacy,WEP)」。
如果您的路由器支援 802.1x 驗證,請加以啟用。802.1x 是無線本機區域的安全性通訊協定,可以將透過無線電波從無線裝置傳輸到另一個無線裝置的資料加密,它是比「有線等位私密 (WEP)」更新更強的安全性通訊協定。如需關於設定 802.1x 驗證的詳細資訊,請看路由器的製造商說明文件。
啟用 WEP,WEP 是無線本機區域網域的安全性通訊協定。WEP 協助進行資料加密,而這些資料將透過無線電波從無線裝置傳輸到另一個無線裝置。設定 WEP 時,您應該手動設定祕密鑰匙 (在無線裝置與存取點中加密資料的鑰匙),而不是使用在無線裝置上自動設定的祕密鑰匙。除此之外,您應該要使用最長、可能的鑰匙長度。如需關於設定 WEP 的詳細資訊,請參閱路由器的製造商說明文件。
啟用「媒體存取控制」(Media Access Control,MAC) 篩選。MAC 位址用來識別網路上每個網路上的單一位址。藉由識別每個您本機網路上的無線網路上的 MAC 位址,您可以用 MAC 位址的清單,設定無線存取點是否被允許存取其他網路。
識別 MAC 每個本機網路上網路卡的 MAC 位址。在執行 Windows XP 或 Windows 2000 Professional 的電腦上,按一下 [開始],再按一下 [執行],再鍵入 Cmd。在命令提示字元裡,鍵入 IPconfig /all。
在顯示無線網路連線的區段,記錄 [實體位址]。您將會使用這個位址設定路由器上的 MAC 篩選。
依照路由器製造商的說明文件設定 MAC 篩選。
**注意:**在您啟用 MAC 之後,每次從本機網路新增或移除一個無線裝置時,您都需要更新 MAC 位址的清單。
在路由器上驗證防火牆設定
在執行 Windows Small Business Server 的電腦上,允許網路傳輸通過防火牆上的連接埠號,並只限存取已知服務,以協助保護您的網路。這些連接埠是在執行 Windows Small Business Server 2003 的電腦上,當您完成「待辦清單」上的「連線到網際網路」工作 (這個工作會開啟「設定電子郵件及網際網路連線精靈」) 時,自動設定的。
**注意:**開啟連接埠號也就是在一些路由器製造商的說明文件中的連接埠轉送功能。
需求
存取您的路由器的管理功能 (通常是您管理路由器的網頁)。如需關於如何存取管理功能的資訊,請參閱您路由器的製造商說明文件。
如果您並沒有完成「待辦清單」上「連線到網際網路」的工作 (這個工作將會開啟「電子郵件及網際網路連線精靈」),您在完成下列程序前,應該先完成。如需關於如何完成精靈的詳細資訊,請參閱<在執行 Windows Small Business Server 2003 的電腦上,設定網路、防火牆、網頁及電子郵件服務>一節。
若要在路由器上驗證防火牆設定
在下列表格中,使用「設定電子郵件及網際網路連線精靈」清單,檢視可在執行 Windows Small Business Server 2003 的電腦上設定的服務及相關連接埠號。
判定使用者是否正在使用這項服務。如果使用者並沒有在使用這項服務,請考慮封鎖 (而不是允許) 路由器上防火牆的輸入連接埠。
服務及 TCP 埠號
服務 TCP 埠號 輸入存取的建議 電子郵件 25 如果您是使用 Exchange 接收網際網路電子郵件,建議允許這項功能。 網頁伺服器 80 (對您網站的 HTTP 要求是必要的) 及 443 (在使用 Secure Sockets Layer (SSL)(可設定您伺服器及網頁瀏覽器通訊的安全性) 對 HTTPS 要求是必要的)。 允許網際網路使用者存取在您伺服器上的特定網頁服務。 使用連接埠 80 和/或連接埠 443 的網頁服務包括下列: - Microsoft® Office Outlook® Web Access,允許使用者使用網頁瀏覽器,從網際網路存取他們的電子郵件。
- Windows Small Business Server 2003 伺服器效能及使用報告,包含了關於您伺服器的整體狀況與使用情形的詳細資訊。
- Outlook Mobile Access,允許使用者從行動裝置存取電子郵件。
- 商業網站 (wwwroot),允許使用者從網際網路存取公司的網際網路網站。
- 經由網際網路的 Outlook,透過 HTTP 功能,使用「遠端程序呼叫 (Remote Procedure Call,RPC)」。
Windows SharePoint Services 內部網路網站 444 允許使用者是否能安全地從網際網路存取由 Microsoft® Windows® SharePoint™ Services 建立的內部網路網站。 遠端網路工作環境 4125 及 443 允許使用者安全地存取遠端網頁工作環境以: - 從 Outlook Web Access 連線到本機網路。
- 在本機網路建立直接「遠端桌面網頁連線」到用戶端電腦。
- 使用 Windows SharePoint Services 內部網路網站 (這也需要連接埠 444,如上面所提到)。
- 下載「連線管理員」設定遠端用戶端電腦的遠端存取 (使用遠端存取也需要開啟連接埠 1723,如上面所提到)。
虛擬私人網路 (Virtual Private Network,VPN) 1723 允許遠端用戶端如使用 VPN 連線安全地連線到網路,讓用戶端如同在本機登入般的使用資源。 終端機服務 3389 允許遠端使用者使用終端機服務連線到執行 Windows Small Business Server 2003 的電腦上。 檔案傳輸通訊協定 (File Transfer Protocol,FTP) 21 允許遠端使用者使用檔案傳輸通訊協定 (FTP) 連線到執行 Windows Small Business Server 2003 的電腦上。 檢查允許透過您路由器上防火牆的連接埠,以判定是否有其他允許的服務沒有列在表格中。如果您有其他允許透過防火牆的連接埠,您可以藉由查看 IANA 網站上的常用連接埠清單 (位於 https://go.microsoft.com/fwlink/?LinkId=22654) 來驗證開啟連接埠的目的。如需關於連接埠的進階資訊,請參閱《Security Guidance Kit (英文)》中的<Reference: Network Ports Used by Key Microsoft Server Products>。
檢查路由器製造商的說明文件,以判定這個路由器是否支援記錄。如果支援,建議您設定記錄監視記錄檔。
**注意:**如需關於這個表格所討論每項服務的詳細資訊,請參閱在 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=20122 上《Windows Small Business Server 2003 Getting Started Guide (英文)》的附錄。
在執行 Windows Small Business Server 2003 的電腦上,設定網路、防火牆、網頁及電子郵件服務
使用「設定電子郵件及網際網路連線精靈」可以在您將執行 Windows Small Business Server 2003 的電腦連線到網際網路時,協助您正確地設定網路、防火牆、網站安全性及電子郵件等的設定值 (在「待辦清單」上,這個工作稱為「連線到網際網路」)。這個精靈會自動設定這些服務,然而,您應該要檢查下列事項:
驗證防火牆設定,以確保只有必要的服務才能允許透過防火牆。
驗證移除電子郵件附件的選項已經啟用。
驗證防火牆設定
您可以使用這個精靈協助在執行 Windows Small Business Server 2003 的電腦上,正確地設定防火牆。在 Windows Small Business Server 2003 標準版中,這個精靈在「路由器和遠端存取」服務中,設定「基本防火牆」服務。在 Windows Small Business Server 2003 Premium Edition 中,它設定 Microsoft Internet Security and Acceleration (ISA) 伺服器。
當您啟用防火牆,您應該考慮只允許您伺服器存取網際網路或是使用者完成工作時,所需要用到的服務。例如,如果使用者使用「遠端網頁工作環境」,從網際網路連線到本機網路,您應該評估是否您也需要啟用「虛擬私人網路」(VPN)} 服務。
除此之外,如果您允許存取到商業網站 (wwwroot),或是所有網站,您的網站可能需要列在網頁搜尋網站 (如 Google) 上。例如,一個網頁搜尋網站可能會列出「遠端網頁工作環境」。若要避免這種情形發生,請造訪 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=18144 中的《Windows Small Business Server 2003 Troubleshooting (英文)》。
需求
您必須以 Domain Admins 安全性群組成員的身份登入。
若要透過伺服器上的防火牆,檢視與移除允許的服務
按一下 [開始],再按一下 [伺服器管理]。
在詳細資料窗格中,按一下 [網際網路及電子郵件],再按一下 [連線到網際網路]。會出現「設定電子郵件及網際網路連線精靈」。
在 [連線類型] 的頁面上,按一下 [不要變更連線類型]。
在 [防火牆] 頁面上,按一下 [啟用防火牆]。
在 [服務設定] 頁面上,清除所有您的使用者沒有使用,或是您的伺服器存取網際網路,所不需要用到的服務的核取方塊。
在 [網路服務設定] 的頁面上,清除所有使用者不需要用到的網頁服務的核取方塊。
依照指示說明完成精靈。
在精靈的最後,如果您還沒有在網路上啟用密碼原則強制強性密碼,請您啟用它。按一下 [是] 啟用強性密碼原則。這些原則提供額外的階層,防範未授權使用者存取您的網路。如需關於如何啟用密碼原則的詳細資訊,請參閱<執行強性密碼>一節。
驗證移除電子郵件附件的選項已經啟用。
如果 Exchange Server 已經安裝在執行 Windows Small Business Server 2003 的電腦上,您應該考慮使用這個精靈,正確地設定您的伺服器去透過網際網路傳送與接收電子郵件。當您啟用網際網路電子郵件,從傳入電子郵件移除特定類型附件的選項,預設會選取。從傳入電子郵件移除特定類型附件將協助您防止病毒或是惡意程式擴散到您的本機網路。
當您完成了「待辦清單」上「連線到網際網路」的任務,如果您選擇不要移除電子郵件附件,建議您再執行一次精靈,變更您的選擇。
需求
您必須以 Domain Admins 安全性群組成員的身份登入。
若要啟用移除電子郵件附件
按一下 [開始],再按一下 [伺服器管理]。
在詳細資料窗格上,按一下 [網際網路及電子郵件],再按一下 [連線到網際網路]。會出現「設定電子郵件及網際網路連線精靈」。
在 [連線類型] 頁面上,按一下 [不要變更連線類型]。
在 [防火牆] 頁面上,接受 [不要變更防火牆設定] 的預設值。
如果您允許存取網頁服務,會出現 [網頁伺服器憑證] 頁面。接受 [不要變更目前網頁伺服器憑證] 的預設值。
在 [網際網路電子郵件] 的頁面,接受 [啟用網際網路電子郵件] 的預設值。在每個下列頁面上,按一下 [下一步],直到您找到 [移除電子郵件附件] 的頁面。
在 [移除電子郵件附件] 頁面上,按一下 [啟用 Exchange Server 來移除有下列副檔名的網際網路電子郵件附件]。
依照指示說明完成精靈。
保持您的軟體在最新狀態
一個協助維護您運算環境安全性的方法,就是及時安裝軟體更新,也就是修正檔案、安全性補充程式、Service Pack 與安全性積存套件。軟體更新的不是修正軟體的程式弱點,就是引入額外的安全性功能。建議您在更新可用後,愈快安裝他們愈好。下列方式將協助維護您的軟體在最新狀態:
安裝 Software Update Services。
檢查伺服器應用程式的更新。
檢查 Microsoft Office 的更新。
檢查其他應用程式的更新。
安裝 Software Update Services
Microsoft Software Update Services (SUS) 可以用來更新執行 Windows XP Professional、Windows 2000 Professional、Windows 2000 Server 或是 Windows Server™ 2003。SUS 協助您收集、核准與散佈重大作業系統更新,以解決已知的安全性弱點與穩定性議題。
若要在 Windows Small Business Server 網路上安裝 SUS,請參閱在《Security Guidance Kit (英文)》的<Updating a Windows Small Business Server 2003 Network Using Software Update Services Server 1.0>。
如果您網路的作業系統不是用 Windows XP Professional、Windows 2000 Professional、Windows 2000 Server 或 Windows Server 2003,他們就不會被 SUS 自動更新。執行 Windows XP Home Edition 的使用者應該要設定電腦利用下列程序,自動更新。執行 Windows 95、Windows 98、Windows Millennium Edition 或是 Windows NT® Workstation 4.0 應該要使用 Windows Update 網站定期檢查需要安裝的更新。如需關於 Windows Update 的詳細資訊,請造訪 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22655。
需求
您必須以 Domain Admins 安全性群組成員的身份登入。
若要設定 Windows XP Home Edition 的自動更新
按一下 [開始],再按一下 [執行],然後再鍵入 Control。 按一下 [確定]。
按兩下 [系統]。會出現 [系統內容] 對話方塊。
按一下 [自動更新] 索引標籤。
按一下 [保持我的電腦在更新狀態] 核取方塊。
在 [設定值],選取 [自動下載更新,並在我指定的排程安裝它們],然後再指定電腦下載與安裝更新的時間。按一下 [確定]。
檢查伺服器應用程式的更新。
檢查所有您在執行 Windows Small Business Server 2003 的電腦上,所使用的應用程式更新,以協助確保您有最新的修正檔案、安全性補充程式、Service Pack 與安全性積存套件。例如,您應該要檢查 Exchange Server 2003 的更新。除此之外,如果您有 Premium Edition,您應該要檢查 ISA Server 與 SQL Server™ 2000 的更新。
若要檢查 Exchange Server 2003 的更新,請造訪 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22656。
若要檢查 ISA Server 的更新,請造訪 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22657。
**注意:**包含在 Windows Small Business Server 2003 Premium Edition 內的 ISA Server 2000,包含了 ISA Server 2000 Service Pack 1 及 Hotfix 177、255、256、257、265 及 277。
若要檢查 SQL Server 2000 的更新,請造訪 Microsoft 網站的 https://go.microsoft.com/fwlink/?LinkId=22658。
若要檢查所有 Microsoft 產品的更新,請造訪在 Microsoft 網站上 https://go.microsoft.com/fwlink/?LinkId=22659 的 Microsoft Download Center (英文)。
檢查 Microsoft Office 的更新。
由一些 Microsoft Office 應用程式建立的檔案,可能是用來傳輸病毒與其他惡意程式。若要避免這樣的情形,請依下列方式,保持在用戶端電腦的 Office 應用程式在最新狀態:
如需關於 Office Update (英文) 自動檢查系統的詳細資訊,請造訪 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=8241。下載 Outlook E-mail Security Update 可以協助保護您的電腦,不被流通在可執行檔或高風險附件中的病毒,與不被透過 Outlook 複製的蠕蟲攻擊侵入。
**注意:**若要從 Office Download Center (英文) 下載個別更新,請造訪 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=17163。
若要在發行新更新時,收到通知,您可以訂閱在 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22660 上的 Inside Office—Product Updates Alert Office Newsletter (英文)。
檢查其他應用軟體的更新
如果您執行其他軟體,請檢查製造商的網站,查看他是否支援應用程式的自動化更新,以協助保持您在本機網路上的電腦是安全且可靠的。如果這個軟體沒有支援自動化更新,定期檢查製造商網站的更新,以協助確保您有最新的修正檔案、安全性補充程式、Service Pack 與安全性積存套件。
執行強性密碼
使用強性密碼提供額外的防護層,防範未授權使用者存取您的網路。若要執行強性密碼,您可以依照下列步驟:
啟用密碼原則。
教育使用者。
啟用密碼原則
啟用密碼原則以強制強性密碼的使用,是協助您設定網路安全性的重要步驟。如果您執行「設定電子郵件及網際網路連線精靈」設定您的網際網路連線,在精靈的最後,要啟用密碼原則時,您會收到系統提示。如果在您啟用精靈後,您不確定您是否啟用了密碼原則,請完成下列步驟,啟用可以強制強性密碼的密碼原則,以協助限制您本機網路的未授權存取。
需求
您必須以 Domain Admins 安全性群組成員的身份登入。
若要啟用密碼原則
按一下 [開始],再按一下 [伺服器管理]。
在詳細資料窗格中,按一下 [使用者]。
在主控台樹狀目錄中,按一下 [設定密碼原則]。
選取 [最小長度]、[複雜性] 及 [最長使用期限],然後再變更 [設定密碼原則] 為 [立即]。按一下 [確定]。
最小長度判定一個密碼可以包含的最小字元數目。設定最小長度可以避免使用者有短或空白密碼,以協助保護您的網路。預設值是 7 個字元。
複雜性判定密碼是否須包含不同類型的字元。如果這個原則啟用了,密碼就不能夠包含所有或部份使用者帳戶名稱,而且必須包含下列四種類別的字元至少三種:大寫字母 (A 到 Z)、小寫字母 (a 到 z)、數字 (0 到 9) 及非英數字元 (如 !、$、# 或 %)。
「最大使用期限」判定在系統要求使用變更密碼前,所使用的期間 (以天來算)。預設值為 42 天。
在您啟用或變更密碼原則後,所有使用者都必須在下次登入時,變更他們的密碼。告知使用者他們在變更密碼時,所必須用到的需求,以協助確保他們了解如何選擇一個強性密碼。
教育使用者
在執行強性密碼原則後,教育使用者關於強性與弱性密碼。要求使用者將他們的密碼視為私人資訊,比如是信用卡的 PIN 碼。下面是在執行時的傳統指導方針,以協助確保您的網路的強性密碼,而且受到更多的保護。
一個密碼不應該包含下列之一:
使用者名字或是電子郵件別名
使用者的孩子、父母、配偶或是朋友的名字。
任何可以在字典裡找到的字
附加編號的舊密碼
生日
電話號碼
身份證字號或其他識別碼
任何容易取得的個人資訊
一個強性密碼是由下列組成:
它並沒有包含全部或部份的使用者帳戶名稱。
它包含至少六個字元。
它包含以下四種類型的字元至少三種類型:
大寫字母 (A 到 Z)。
小寫字母 (a 到 z)。
數字 (0 到 9)。
非英數字元 (例如 !、$、#、%)。
如需關於密碼原則的詳細資訊,請參閱《Security Guidance Kit (英文)》中的<Selecting Secure Passwords>。
設定本機網路的遠端存取
您可以有效地利用「遠端網頁工作環境」,遠端存取 Windows Small Business Server 本機網路。您也可以使用「虛擬私人網路」(VPN)。然而,對於已授權的使用者存取本機網路而言,使用「遠端網頁工作環境」是比 VPN 連線更容易的方法。
使用其中一種方法,告訴使用者在完成避免未授權使用者存取網路的工作階段後,他們應該要登出。
您可以使用下列選項的其中一個或兩者都使用,以協助安全地設定 Windows Small Business Server 2003 遠端存取:
使用遠端網路工作環境。
使用遠端存取精靈。
使用遠端網路工作環境
「遠端網頁工作環境」可以讓不在辦公室的使用者,存取 Windows Small Business Server 2003 的重要功能。使用「遠端網頁工作環境」的話,他們可以檢查電子郵件與行事曆,在工作時使用「遠端桌面」連線到他們的電腦,藉由下載「連線管理員」使用共用應用程式、存取公司的內部網站、檢閱效能報告或是加入一個電腦到 Windows Small Business Server 網路上。
如果使用者不需要遠端存取本機網路,停用「遠端網頁工作環境」,以協助限制可能的未授權使用者存取您的網路。若要停用「遠端網路工作環境」的存取,請完成<若要透過伺服器上的防火牆,檢視與移除允許的服務>中的程序。
**注意:**若要使用「遠端網路工作環境」連線到遠端的桌面,遠端的電腦就必須是執行 Windows 2000 Server 或 Windows XP Professional。執行任何其他作業系統的遠端電腦必須使用 VPN 或是撥接連線,如同在<使用遠端存取精靈>一節中所討論到的。
使用遠端存取精靈
使用「遠端存取精靈」,您可以使用「虛擬私人網路 (VPN)」存取,或撥接存取,或兩者都可。VPN 存取可以使遠端用戶端電腦透過網際網路安全地連線到您的本機網路。使用者先連線到他們的網際網路提供服務者 (Internet Service Provider,ISP),然後使用以 TCP/IP 為基礎的特殊通訊協定,叫做通訊協,安全地連線到本機網路。撥接連線允許遠端電腦透過電話線連線到執行 Windows Small Business Server 2003 的電腦上的數據機。
如果使用者沒有要求 VPN 或撥接存取,您應該要停用它們。
需求
您必須以 Domain Admins 安全性群組成員的身份登入。
若要停用 VPN 存取、撥接存取,或兩者
按一下 [開始],再按一下 [伺服器管理]。
在詳細資料窗格上,按一下 [網際網路及電子郵件],再按一下 [設定遠端存取]。會出現「遠端存取精靈」。
在 [遠端存取方式] 的網頁上,按一下 [停用遠端存取]。
注意: 如果「停用遠端存取」的選項是灰色的,那麼遠端存取並沒有在執行 Windows Small Business Server 2003 的電腦上啟用。
依照指示說明完成精靈。
驗證使用者只有必要的權限
您可以藉確保使用者只有他們做工作時、所需要的權限,與限制帳戶使用管理權利與權限,以協助設定網路安全性。若要驗證使用者只有他們所需要的權限,請依下列步驟:
使用正確的 Windows Small Business Server 範本。
對例行性工作不要使用 Administrator 或 Power User 帳戶。
指派權限到共用的匿名。
使用正確的 Windows Small Business Server 範本
Windows Small Business Server 2003 有為了給予使用者他們需要的存取層級所設計,而預先定義的範本。例如,以「使用者範本」為基礎的使用者帳戶,並沒有使用 VPN 連線遠端存取本機網路,但是以「行動使用者」範本為基礎的使用者帳戶有這個存取。以下有四個範本:
範本名稱與說明
範本名稱 | 說明 |
---|---|
使用者 | 以這個範本為基礎的帳戶可以存取共用資料夾、印表機與傳真機、電子郵件與網際網路。被指派這個範本的帳戶可以使用「遠端網頁工作環境」,從遠端位置存取本機網路。除此之外,被指派到這個範本的使用者帳戶可以開啟「遠端桌面連線」到執行Windows XP Professional 的電腦,而不是到執行 Windows Small Business Server 2003 的電腦上。 |
Mobile User | 以這個範本為基礎的帳戶擁有所以「使用者範本」的權限,而且可以利用「遠端網頁工作環境」或是遠端存取連線,從遠端位置存取本機網路。 |
Power User | 以這個範本為基礎的帳戶擁有所有 Mobile User 範本的權限,而且也可以執行委派的管理工作。Power User 可以遠端登入到執行 Windows Small Business Server 2003 的電腦上,但是他不能在本機登入。 |
系統管理員 | 以這個範本為基礎的帳戶有無限制的系統存取 Windows Small Business Server 網路的權限。 |