PDF《因应微软公司 Windows XP 作业系统终止支援服务之防护措施...》

9 资料来源:本计画整理 图9 将「不允许」设成预设值 (5) 按一下「是(Y)」. 资料来源:本计画整理 图10 确认将「不允许」设成预设值 (6) 按两下「软体限制原则」?「强制」,选取「所有软体档案,不包 含程式库」与「所有使用者,除了本机系统管理员」,然后按一下 「确定」. 本文件之智慧财产权属行政院资通安全办公室所有.

10 资料来源:本计画整理 图11 设定强制内容 (7) 用滑鼠右键按一下「软体限制原则」?「其他原则」,然后按一下 「新增路径规则」. 本文件之智慧财产权属行政院资通安全办公室所有.

11 资料来源:本计画整理 图12 选取「新增路径规则」 (8) 「路径」 中输入 chrome.exe 路径, 「安全性等级」 选取 「没有限制」 , 然后按一下「确定」.若有其他允许使用者执行的软体,请重复执 行此步骤. 本文件之智慧财产权属行政院资通安全办公室所有.

12 资料来源:本计画整理 图13 输入路径内容 (9) 以「受限制的」的使用者身分登入后,可正常执行已授权的软体(例如:chrome.exe).若执行其他未授权软体(例如 IE),则会出现 「Windows 无法开启这个程式,因为它被软体限制原则所阻止」之 讯息. 资料来源:本计画整理 图14 无法执行 IE 讯息 本文件之智慧财产权属行政院资通安全办公室所有.

13 针对已安装之所有应用程式即时进行更新,避免应用程式漏洞危害系统安 全. 3.2.3. 监控防御 确实安装防毒软体,即时更新病毒码,并至少每周执行一次完整扫描与检 视防毒软体扫描纪录. 安装主机端入侵防御系统(H-IPS),提升 XP 电脑防御能力. 在闸道端部署防火墙设备,并透过严谨的白名单管理机制,有效管理网路 连线行为. 利用安全资讯与事件管理(SIEM)进行跨设备关联式分析与监控,确实掌握 使用 XP 电脑之资安事件与安全防护状态. 3.3.保留 XP 映像档与使用还原卡 当XP 於2014/4/8 正式终止支援服务后,机关内重新安装之 XP 作业系统已 无法连线至微软公司更新伺服器进行更新作业,若机关仍需继续使用 XP, 建议可进行下列保护 XP 作业系统环境措施: 建置乾净的 XP 作业系统环境母机,持续更新至 2014/4/8,并保留该母机 之映像档,供日常电脑维护之用. 将作业环境与资料分开存放,并透过还原卡保护系统安全,使得电脑开机 后可回复系统碟至原始乾净母机状态. 3.4.透过网路区隔加强管理使用 XP 电脑 机关内若同时存在不同作业系统版本之电脑,可透过下列措施集中管理与 加强监控使用 XP 电脑(详见图 15): 本文件之智慧财产权属行政院资通安全办公室所有.

14 利用 VLAN 进行网路区隔,将使用 XP 电脑放入独立 VLAN,除便於进行 集中管理外,亦可避免影响其他 VLAN 内之电脑. 针对风险较高之使用 XP 电脑 VLAN,加强网路流量监控,以有效掌握异 常连线行为. 资料来源:本计画整理 图15 使用 XP 电脑集中管理与加强监控示意图 3.5.执行 XP 弱点持续监测计画 技服中心将持续进行 XP 弱点监测与通报作业,包含: L集共通弱点与揭露(CVE)网站[4]、美国国家弱点资料库(NVD)[8]、微软 公司网站[9]及其他相关安全性网站 XP 弱点资讯. 针对新发现之 XP 弱点资讯,即时通知各机关注意. 汇整政府机关已通报之 XP 相关资安事件,掌握整体影响情形. 本文件之智慧财产权属行政院资通安全办公室所有.