適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法

技術面分類提要

• 網路架構
• 端點安全防護
  • 防毒軟體與軟體防火牆
  • 端點防護軟體
  • GCB
  • VANS
• 應用開發

設備第一個要上、也是最重要的就屬防毒軟體與防火牆，而由於新的 Windows 作業系統都已內建這兩個功能，因此最低限度只要啟用即可完成這篇的要求。

防毒軟體

新版 Windows 的內建防毒效果雖然不能跟付費的比，如果有預算限制，有啟用內建的防毒足矣。如果還要更強化，建議使用付費防毒軟體，不要再花時間使用免費的防毒，效果未必更好，也有可能花更多時間在調校。

內建防毒軟體 Windows Defender 的另外一個好處是有防勒索功能，可以保護特定的資料夾，避免不明程式修改(加密)，也可以再加一層自家的 OneDrive 達到受害時的版本恢復。

防火牆

防火牆的中心原則是白名單，不管對內對外都要一條條加入，避免發生資安事件時範圍擴大。如果使用內建的防火牆必須再注意規則是否設定妥當。大部份的內建規則沒有太大問題(開放DNS 53，不允許 445 網芳等)，但仍建議不需要的連線先關閉，有需要時再開啟，實務上大致分一般個人與主機使用:

• 一般個人: 對內禁止，對外開放
  • 對內原則上禁止所有連線。常見開啟的有共用資料夾TCP 445，但透過網芳攻擊的病毒屢見不鮮，建議還是用別的方案替代。
  • 使用對外較不受限制，也可採用白名單，大多允許網頁連線(80,443)。
• 主機: 對內、對外皆原則禁止
  • 對內僅開放提供的服務，並嚴格限制來源 IP
  • 對外原則不開放。常見開放的除了連接其他主機之外，還會加入系統更新、軟體更新的位址等。

最後提醒一下，在有套用 GCB 的情況下兩者都會強制啟用。而如果單位內有安裝第三方的防火牆(或是防毒軟體中內建防火牆)，記得在規則上要兩者都套用。不過實務上關掉內建防火牆會方便的多，以免同時維護兩套規則。GCB 方面只要記得在例外規則中註明已有安裝第三方防火牆即可。