過往的防範都著重在外部的入侵防禦,但是最近常見很多機關資料外洩的疑慮是人為造成的,因此本篇文章將著重在設定 伺服器的安全性 加上層層把關,介紹各種加強避免資料外洩的系統設定,以下以 Windows Server 2022 為例。
一、Windows 安全性 – 病毒與威脅防護
Windows Server 2022 內建病毒與威脅防護,搭配 Windows update 每日定期更新安全情報。
善用 Windows 惡意軟體移除工具,定期掃描惡意軟體潛伏,請開啟【執行】,並輸入「mrt」以啟動惡意軟體移除工具。
二、Windows 防火牆
開啟 Windows 防火牆,檢視不需要的規則進行關閉。
也可以善用 Windows 防火牆進階規則,設定並允許領域來加強控管。
舉例,開啟遠端桌面的規則,並於領域中設定只允許192.168.0.0/24網段的IP位址可以連線。
三、加強密碼原則
更改預設值,並以更嚴謹的規則來加強密碼安全性,例如:密碼不能與前2次相同、變更密碼1天後才能再次變更密碼、密碼最少8位數並搭配英文字母大小寫、特殊符號。
四、禁止使用 USB 外接式磁碟
此原則可拒絕執行 USB 的外接式磁碟,但不會影響其他 USB 裝置(例如:USB 鍵盤、滑鼠),避免有心人士利用 USB 外接式磁碟複製資料。
五、遠端桌面關閉本機磁碟資源、剪貼簿重新導向
遠端桌面預設可允許操作的人員進行複製、貼上等功能,也支援本機磁碟可讓遠端主機存取。此功能雖然很便利,但也違反了資訊安全的守則,造成資料外洩。有鑑於此,利用 Windows Server 本機群組原則來進行關閉。
六、禁止使用 Windows 內建的剪取工具
Windows 附屬應用程式提供了一個方便的螢幕畫面剪取工具,雖然方便但也會有資料外洩的風險,建議禁止使用。
七、紀錄帳戶的登入事件
啟用稽核原則,紀錄本機帳戶的登入事件。啟用後就可以追蹤檢視帳戶的登入是否合法。
八、隱藏上次登入的使用者名稱
啟用此原則,可避免登入畫面顯示上次登入的使用者,避免被猜到帳戶名稱。
九、禁止利用瀏覽器上網
善用 Windows 防火牆規則,禁止 Edge 或是 IE 瀏覽器上網,將伺服器的資料透過 WEB MAIL 或是社群網站洩漏資料,設定方式請到【Windows 防火牆 > 進階設定 > 輸出規則 > 新增規則】。
以封鎖 Edge 為例,選擇程式路徑:%ProgramFiles% (x86)\Microsoft\Edge\Application\msedge.exe
選擇「封鎖連線」。
最後輸入規則名稱。
規則建立完成後,開啟 Edge 瀏覽器即可封鎖網際網路存取。
同理,只要找到程式安裝路徑,也可以封鎖 IE、Chrome 等其他瀏覽器上網。
十、停用本機Guest帳戶
停用此帳戶,避免未知的使用者存取伺服器。
上述10點是善用 Windows 內建的防護措施,盡可能地阻擋駭客或是有心人士未獲授權的存取,避免資料外洩。