在企業IT維運的過程中，讓IT人員最難掌握的便是用戶端電腦的各項管理問題，而其中與安全性管理問題最為密切的就是上網的安全，這是因為許多資安災害的起火點往往都是從這裡開始的，這包括了中毒事件、資料外洩、系統損毀等等。

你相信嗎？只要一個用戶端電腦的使用者，不當的透過IE瀏覽器或任一款他牌瀏覽器，在正常連線企業網路的狀態下上網執行到最新的惡意程式碼，就有可能讓整個企業的資訊部門陷入雞飛狗跳的處境之下。

一旦各種的資安災害是由於瀏覽器上網的因素所造成，許多非專業的人士可能就會將矛頭指向瀏覽器本身的安全性設計不良，然而元兇真的是如此嗎？事實上根據調查，因為使用者上網所導致的資安事件，幕後真正的兇手，85%以上都是使用者本身的操作行為，而非瀏覽器的安全設計不良，原因很簡單，說明如下：

 自行下載來路不明的外掛程式：任一款瀏覽器都有許多外掛的程式可供採用，以便豐富與強化瀏覽器本身功能的不足，使用者往往在沒有確認該程式是否通過認證的情況之下，就逕自下載與安裝。

 隨意修改瀏覽器的安全性設定：在使用者權限的配置上，只要登入的使用者具備足夠的權限，便可以自行調整瀏覽器的安全性設定，在這種狀況下，便會很容易讓瀏覽器陷入相當不安全的處境。

 在不易識別的偽造網站上（釣魚網站）輸入私密資訊：既然使用者自行調整了瀏覽器本身的安全性設定，那麼就有可能在瀏覽一些偽造的釣魚網站時，毫不知情地輸入資料，因而造成嚴重的私密資訊外洩問題。

所有瀏覽器都提供與安全性相關的設定，以IE7.0瀏覽器來說，便可以在網際網路選項的「安全性」頁面中，確認「啟用受保護模式」的選項已經處於勾選的狀態，並且記住不可取消此設定。因為它可以保護電腦在瀏覽網站時，因不經意執行到惡意軟體而造成的可能危害，當其他標準使用者而非系統管理員身分的登入這臺電腦時，還可避免他們安裝一些不必要的外掛軟體。

集中控管IE瀏覽器的安全設定

目前公司內部有許多資訊安全的問題，大多來自於使用者不當使用IE瀏覽器上網所導致的，例如前面所提到的諸如自行修改不同區域的安全性等級設定、任意安裝許多來路不明的ActiveX外掛程式等等。面對這些問題，我們又不能夠直接禁止使用者上網的需求，透過群組的管理，是否能夠控管到使用者對特定安全性的禁止設定？

對於企業在IT資安政策的管理需求來說，建議管理人員先擬定好一份控管原則清單，透過IE群組原則的配置、來選擇，套用到特定的部門、電腦或使用者，基本上，用戶端使用的瀏覽器只要是IE，無論是5.0、6.0或是最新的7.0，都是可以透過群組原則強制某些設定的配置。

須特別注意的是，在網域控站上或是負責載入群組原則的用戶端電腦，如果安裝的是英文版的IE瀏覽器，在編輯群組原則時所出現的項目，也會是呈現為英文。此外，請注意！目前除了Microsoft IE瀏覽器之外，網路上所有其他的瀏覽器目前都尚未提供集中控管的安全機制。

接下來讓我們來了解常見的IE瀏覽器安全性配置有哪些？

 強制啟用網路釣魚程式的檢查功能：此功能是IE7才有的全新安全機制。在預設的狀態下當第一次啟動IE7瀏覽器時，系統便會詢問是否要啟用網路釣魚程式的檢查功能，如果你希望直接幫使用者完成設定，則可以在群組原則物件編編輯器中來針對使用者或電腦進行設定。只要切換到[系統管理範本]\[Windows Components]\[Internet Explorer]節點下，開啟[Turn off Managing Phishing filter]項目，即可設定自動、手動或是關閉。

 強制設定Proxy並且讓使用者無法變更Proxy設定：如果你企業中有專屬的Proxy伺服器（例如：ISA Server），這項功能可以讓使用者的IE瀏覽器自動完成指定的設定值，並且無法變更設定值。前者必須透過編輯器中的[使用者設定]\[Windows設定]\[Internet Explorer Maintenance]\[Connection]節點下的[Proxy Settings]項目裡面定義，後者則必須在[系統管理範本]\[Windows Components]\[Internet Explorer]節點下的[Disable changing proxy settings]項目中啟用。

 關閉特定的網際網路選項設定頁面：如果你希望使用者無法在IE網際網路選項的設定中，變更特定頁面中的組態，可以考慮乾脆將一整頁的設定功能全部關閉，如此一來使用者在進入選項設定頁面時，便無法看到被關閉的頁面。設定的方法很簡單，只要切換到在[系統管理範本]\[Windows Components]\[Internet Explorer]\[Internet Control Panel]節點之下，即可分別去選擇關閉一般、安全性、內容、連線、程式、私人與進階等七大設定頁面。

集中控管防火牆的安全設定

無論是Windows XP SP2、Windows Vista、Windows Server 2003 SP1以上的版本、甚至後續即將上市的Windows Server 2008，管理者都可以直接從群組原則編輯器中[Administrative Templates]\[Network]\[Network Connection]下的[Windows Firewall]項目，分別設定針對網域內的電腦（Domain Profile）以及網域外的電腦（Standard Profile）所要套用的防火牆設定原則。例如可以讓一些行動用戶端的使用者，在離開AD網域的環境中，自動開啟防火牆的服務；相反的，在每次登入Active Directory網域之後，則自動關閉防火牆服務（因為一般企業內的IP網段都有防火牆的保護），避免這些使用者在企業網域外的網路環境中，遭受到網路病毒的感染或駭客程式的攻擊。

可經由群組原則來設定的原則項目有：保護所有網路連線、不允許例外、定義程式例外、允許本機程式例外、允許遠端系統管理例外、允許檔案和印表機共用例外、允許ICMP例外、允許遠端桌面例外、允許UPnP架構例外、禁止通知、允許記錄、禁止單點傳送回應到多點傳送或廣播要求、定義連接埠例外，以及允許本機連接埠例外。以上項目，多數都可在用戶端自己的系統上自行設定，不過一旦管理者強制套用指定的原則，用戶端使用者將無法自行變更設定值。

建置垃圾郵件閘道篩選器

上網的威脅除了來自直接開啟瀏覽器的連線所導致，許多時候都是使用者在閱讀Email同時，直接點選郵件內容中的文字或圖片超連結所造成的，不過還好目前已經有許多的用戶端收發信軟體，以及網際網路上免費的電子郵件信箱（例如Yahoo、MSN Web Mail），都具備垃圾郵件篩選與自動封鎖郵件內容連結與圖片的功能，目的就是為了避免使用者不小心直接點選了夾帶惡意程式程式碼或釣魚網站的超連結。

以Outlook 2007為例，當使用者所接收的郵件被歸類到垃圾郵件資料夾時，所有郵件內容中的超連結、圖片的顯示、網頁的顯示格式都是關閉狀態的，直到使用者手動將該郵件拖拉到收件夾，才會恢復可以點選的狀態。

以企業的電子郵件伺服器的連線來說，雖然用戶端的收發信的軟體已經提供了這方面的基本防護功能，但面對大量蜂湧而來的垃圾郵件，在防護的安全強度上仍有不足。因此在整個垃圾郵件的自動篩選機制上，一般會建議採用三階段過濾的架構規畫，也就是一臺獨立的垃圾郵件閘道過濾伺服器、內建過濾機制的郵件伺服器、具篩選器的用戶端收發信軟體。其中最重要的，便是閘道端的垃圾郵件過濾伺服器，因為它將會負責篩選掉絕大多數的垃圾郵件。當避開了大部分的垃圾郵件，使用者端點選惡意超連結的機會便會大幅減少，所可能面臨的威脅也相對降低許多。

整合防毒系統的安全防護

企業中所使用的防毒軟體與一般個人的防毒軟體，不論是由哪一個廠商發行，在整體設計上都會有些許的不同。前者可方便管理員透過單一的主控臺集中監視與控管，後者則是僅限於單機的管理功能，但至少都可以預防病毒檔案的執行或傳播，甚至有些還會內建防火牆與間諜掃描程式的功能。

這些都只是現今大多數防毒軟體的基本功能，對於使用者上網安全的防護部分仍相當有限，因為通常僅能夠做到第二階段的保護措施，也就是說，當使用者去執行到含有惡意程式的連結或病毒時，系統才會發出警告與阻斷，而無法在使用者導覽這個網站時，就立即知道這個網站或網頁的安全性是否安全無虞。有些防毒軟體已朝這個方向，開始著手改良。

不定期的電腦安全教育訓練

有關使用者端上網的安全問題，透過各種技術層面的防護設定與安全工具的補強，只能夠做到治標而已，若想治標又治本，給予使用者不定期的安排相關安全議題的教育訓練是絕對必要的。藉此除了可以宣導企業在資安政策上的各項規定之外，最重要的是，還可以強化使用者在上網安全性上的了解與學習。如此一來，不僅可以讓企業網路的運作更加安全，相信也能夠逐漸減少用戶端電腦報修的頻率。

想要有效控管用戶端使用者上網的安全性問題，最關鍵的地方便是要做好集中管理的機制。實務上的做法大致可以區分為三種類型，分別是藉由Active Directory的群組原則、Terminal Services架構，以及防毒廠商所提供的中央主控臺機制來完成，否則在面對龐大數量的用戶端電腦，IT管理人員不僅只能夠乾瞪眼，看到眼前一幕幕災害不斷重演，而且始終還得扮演著救火隊隨時進行滅火的工作。由此可見，單單一個使用者的上網安全問題，就能夠讓IT人員人仰馬翻，至於最佳的解決之道，還是老話一句：「請從集中管理的解決方案做起吧！」

參考資料：《iThome企業資安技術應用專刊》作者/高傑信公司技術顧問顧武雄